Sicherheitsbewusstsein schaffen mit Empathie und Verstand

Sicherheitsbewusstsein schaffen mit Empathie und Verstand

Von Sensibilisierungsmaßnahmen zur Sicherheitskultur

Phishing, Phishing und wieder Phishing: Kein Sicherheitsbericht, keine Ransomware-Mitteilung kommt ohne die Erwähnung der Social Engineering-Technik aus. Das Ziel ist stets der Mensch. Die eigentliche Schwachstelle jedoch liegt in der Technik, da nach wie vor zu viele Phishing-E-Mails passieren, zahlreiche anonyme Anrufe, und schädliche Links die Sicherheitsmaßnahmen durchdringen.

Der Wettlauf zwischen Angriff und Abwehr, Kreativität und Konformität bleibt in seiner Intensität ungebrochen. Letztlich ist es immer wieder nur ein einziger Klick zu viel – sei es in stressigen Situationen oder aus Neugier während der Mittagspause. Das Problem dabei ist, dass dieser eine Klick den Beginn eines Sicherheitsvorfalls markiert, der Schäden in Millionenhöhe verursachen kann.

Die Grundlage für sicheres Verhalten: Bewusstsein-Effektiver Schutz vor Phishing kann nicht allein durch Technologie erreicht werden. Die Mitarbeiter müssen auch für die Bedrohungen sensibilisiert werden, die vom Social Engineering ausgehen. Hierzu ist die Zusammenarbeit aller Abteilungen erforderlich – IT, Personal, Marketing, Compliance und Rechtsabteilung. Das gemeinsame Ziel besteht darin, die Cybersicherheit und Widerstandsfähigkeit der Organisation nachhaltig zu stärken, indem alle Beteiligten befähigt werden.

Die Befähigung ist der Schlüssel. Es geht darum, die Mitarbeiter von der Notwendigkeit dieser Maßnahmen zu überzeugen. Methoden zur Erkennung und Abwehr von Social Engineering werden durch gamifizierte Ansätze und Informationskampagnen vermittelt. Zudem bieten Unternehmen den Mitarbeitern die Möglichkeit, das erlernte Verhalten in regelmäßigen Phishing-Simulationen zu vertiefen. Ziel ist es, Cybersicherheit als integralen Bestandteil der Unternehmenskultur zu etablieren, was letztlich zu einer Sicherheitskultur führt.

Die wesentlichen Aspekte für erfolgreiches Sicherheitsbewusstseinstraining umfassen sechs Hauptpunkte:

  1. Inhalte: Die Inhalte variieren sowohl in Darstellung als auch Medium und Thema. Es gibt auch kulturelle Unterschiede bei der Wissensvermittlung, die zu berücksichtigen sind. Die Inhalte sollten an die verschiedenen Rollen im Unternehmen angepasst werden.
  2. Unterstützung und Planung: Trainer benötigen unterstützende Materialien, um den Mehrwert des Programms zu verdeutlichen und Geschäftsleitung sowie Auditoren zu überzeugen.
  3. Kampagnen: Das Programm sollte als fortlaufende Kampagne gestaltet werden, die auf die Zielgruppe zugeschnitten ist und Engagement fördert. Ziel ist es, die Mitarbeiter persönlich mit den Zielen des Programms zu verbinden.
  4. Regelmäßiges Training: Wiederholung und Abwechslung der Trainingsinhalte sind erfolgskritisch. Nachhaltige Verhaltensänderungen erfordern gezielten Kompetenzaufbau.
  5. Metriken und Berichte: Trainer müssen die Effektivität der Trainings nachweisen können, was durch Berichte möglich ist.
  6. Umfragen und Bewertungen: Feedback dient dazu, die Inhalte und Aktivitäten zu verbessern.

Die proaktive Gestaltung einer Sicherheitskultur ist unerlässlich. Die gelebten Werte und Normen einer Organisation motivieren zu sicherem Verhalten. Eine Sicherheitskultur entwickelt sich jedoch auch ohne gezieltes Training. Die Umgangsweisen mit Technologie haben sich über Jahre hinweg entwickelt und zu ungeschriebenen Normen geführt. Ohne gezielte Gestaltung der Sicherheitskultur fehlt die Kontrolle über Verhaltensweisen. Die richtigen Maßnahmen können das ändern. Eine gut etablierte Sicherheitskultur ist der beste Schutz für Unternehmen.

Sicherheitsbewusstseinsmaßnahmen zahlen sich unmittelbar aus laut dem Benchmarking-Bericht 2023 von KnowBe4 klicken in den untersuchten Organisationen ein Drittel der Mitarbeiter auf Phishing-E-Mails. 90 Tage nach ersten Maßnahmen sinkt dieser Wert auf 20 Prozent und nach einem Jahr auf sechs Prozent. Der Phish-Prone™ Percentage (PPP) gibt die Wahrscheinlichkeit an, dass ein Nutzer auf einen infizierten Link in einer Phishing-E-Mail klickt. In der DACH-Region sank der durchschnittliche PPP-Wert 90 Tage nach monatlichen Security Awareness-Schulungen auf 20 Prozent. Nach einem Jahr Training und simulierten Phishing-Tests sank der Wert sogar auf sechs Prozent.

Der Wert von Mitarbeiterschulungen zeigt sich auch im Umgang mit Ransomware. Schnelle und angemessene Reaktionen können den Schaden begrenzen. Der Wert von Sicherheitsbewusstseinstrainings ist unbestritten.

Fazit Bewusstsein, Verhalten und Kultur sind die Schlüsselfaktoren, die den Unterschied zwischen einem riskanten Klick und einer rechtzeitig an die IT weitergeleiteten E-Mail ausmachen. Für Organisationen bedeutet dies den Schutz vor Rufschädigung, Kosten und Unsicherheit.

Facebook
LinkedIn
Twitter
XING
Email

Jüngste Beiträge

Kategorien
Schlagwörter
Nach oben scrollen
Die neuesten Cybernews

Melde dich zu unserem Newsletter an!

Sei deinen Angreifern immer einen Schritt voraus mit den aktuellen Cybersecurity News!

Privatsphäre-Einstellungen

Entscheiden Sie, welche Cookies Sie zulassen möchten. Sie können diese Einstellungen jederzeit ändern. Dies kann jedoch dazu führen, dass einige Funktionen nicht mehr zur Verfügung stehen. Informationen zum Löschen der Cookies finden Sie in der Hilfe Ihres Browsers. ERFAHREN SIE MEHR ÜBER DIE VON UNS VERWENDETEN COOKIES.

Mit dem Schieberegler können Sie verschiedene Arten von Cookies aktivieren oder deaktivieren:

  • alles blockieren
  • Wesentliches
  • Funktionalität
  • Analytik
  • Werbung

Diese Website wird

Diese Website wird nicht

  • Remember which cookies group you accepted
  • Grundlegend: Merken Sie sich Ihre Cookie-Berechtigungseinstellungen
  • Wesentlich: Session-Cookies zulassen
  • Wichtig: Sammeln Sie Informationen, die Sie in Kontaktformulare, Newsletter und andere Formulare auf allen Seiten eingeben
  • Grundlegend: Verfolgen Sie, was Sie in einen Einkaufswagen eingeben
  • Wichtig: Authentifizieren Sie, dass Sie in Ihrem Benutzerkonto angemeldet sind
  • Grundlegend: Merken Sie sich die von Ihnen gewählte Sprachversion
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
  • Merken Sie sich Ihre Login-Daten
  • Grundlegend: Merken Sie sich Ihre Cookie-Berechtigungseinstellungen
  • Wesentlich: Session-Cookies zulassen
  • Wichtig: Sammeln Sie Informationen, die Sie in Kontaktformulare, Newsletter und andere Formulare auf allen Seiten eingeben
  • Grundlegend: Verfolgen Sie, was Sie in einen Einkaufswagen eingeben
  • Wichtig: Authentifizieren Sie, dass Sie in Ihrem Benutzerkonto angemeldet sind
  • Grundlegend: Merken Sie sich die von Ihnen gewählte Sprachversion
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
Speichern & Schließen