TIPPS FÜR UNTERNEHMEN

Cybersecurity Awareness Training: Digitale Sicherheits-Workouts für Mitarbeiter

Lesedauer 7 Min.

Hacker knacken ein vierstelliges Passwort innerhalb weniger Millisekunden. Selbst ein siebenstelliges unter einer Minute. Der Großteil an Cyberangriffen führt nicht aufgrund grandioser Skills von Angreifern zum gewünschten Erfolg, sondern weil Anwender Gefahren oftmals unterschätzen oder zu wenig darüber wissen. Längst reichen rein auf Technologie basierende IT-Security-Systeme nicht mehr aus, um immer perfidere Angriffsmethoden sicher abzublocken. Die stärkste Abwehr ist und bleibt die Sensibilität und Aufmerksamkeit aller Mitarbeiter gegenüber möglichen Bedrohungen. Dies gilt vor allem in Zeiten von hybridem Arbeiten, massiver Zunahme an Internetkriminalität und dem ausufernden Cyberkrieg zwischen der Ukraine und Russland. Aber auch rechtliche Auflagen wie die Datenschutzgrundverordnung (DSGVO) oder die Umsetzung von Security by Design-Konzepten erfordern, dass Mitarbeiter geschult und sensibilisiert werden – und zwar so praxis- und realitätsnah wie möglich.

Im Bereich der Cybersecurity spricht man vom Menschen als schwächstes Glied in der Abwehrkette. Bedrohungsakteure verfügen über gewiefte Techniken und Tricks, leichtgläubige oder unvorsichtige Mitarbeiter auszunutzen. Schlimmer noch: Nur die wenigsten gehen davon aus, jemals gehackt zu werden. Die gilt aber nicht nur für Angestellte, sondern auch für die Firmenlenker vor allem in kleinen und mittelständischen Unternehmen. Dabei stehen gerade sie ganz oben auf der Angriffsliste. Denn der Aufwand für Hacker ist weitaus geringer, 100 KMU zu knacken als einen „großen Fisch“. Cybersecurity Awareness Trainings helfen Unternehmen, ihre Mitarbeiter nach allen Regeln der Sicherheitskunst auf Social Engineering-Maschen, speziell Phishing-E-Mails, schwache Passwörter und Datenschutzmaßnahmen zu sensibilisieren.

Untersuchungen zeigen, dass bei 82 Prozent der im Jahr 2021 analysierten Datenschutzverletzungen das "menschliche Element" eine Rolle spielt. In der Studie Cyberpsychologie: Welchen Einfluss menschliche Verhaltensweisen auf die IT-Sicherheit von Unternehmen haben, beleuchten ESET und das Unternehmen für Geschäftspsychologie Meyer-Briggs, wie sich menschliche Verhaltensweisen auf die IT-Sicherheit von Unternehmen auswirken und ob es Verbindungen zwischen Persönlichkeitstypen und deren Anfälligkeit für Cybercrime gibt. Fakt ist, dass Mitarbeiter mittlerweile ein Hauptziel für Angreifer darstellen. Doch wenn man ihnen das nötige Wissen vermittelt, um die Warnzeichen eines Angriffs zu erkennen und zu verstehen, wann sie sensible Daten einem Risiko aussetzen, können Unternehmen das Risiko stark minimieren.

Warum Security Awareness Trainings?

Security-Maßnahmen verstehen ist das eine, anwenden das andere. Beim Cybersecurity-Wissen verhält es sich wie mit jedem anderen Gelernten: Was man nicht nutzt, verlernt man schnell. Schulungen haben daher zum Ziel, diese Lücke zu schließen – und zwar mehr als einmal im Jahr mit didaktisch wertvollen Lerninhalten, damit sie in den Köpfen der Mitarbeiter hängen bleiben und sie das Gelernte auch anwenden. Es geht im Grunde darum, Verhaltensweisen zu schärfen oder ggf. zu ändern, um die IT-Sicherheitskultur des gesamten Unternehmens zu erhöhen. Wie erkennt der Mitarbeiter eine mittlerweile täuschend echt gemachte Phishing-Mail oder einen CEO-Fraud (Geschäftsführer-Trick)? Wie regiert das Firmenpersonal richtig, wenn ein Sicherheitsverstoß vorliegt? Wie werden personenbezogene Daten nach DSGVO sicher verarbeitet? Welche Sicherheitsmaßnahmen gelten im Home-Office? Wie erstellt man richtig starke Passwörter und wie verwaltet man sie? Die Schulungen sorgen also dafür, dass die wichtigsten Cyber-Risiken und der Ernst der Lage von den Mitarbeitenden erkannt werden. Es gibt idealerweise dazu eine Reihe an Themenbereichen und Techniken, die sie am Ende befähigen, die richtige Entscheidung im Fall der Fälle zu treffen. Je mehr jeder Einzelne ein Bewusstsein für Gefahren entwickeln, desto sicherer wird der Arbeitsalltag.

Must-Have-Themen für Security Awareness Trainings

Mehrere Trends machen deutlich, dass Schulungsprogramme für das Sicherheitsbewusstsein dringend erforderlich sind:

Passwörter: Statische Anmeldedaten gibt es schon so lange wie Computersysteme. Und trotz der jahrelangen mantraartigen Warnungen von Sicherheitsexperten gelten sie nach wie vor als die beliebteste Methode der Benutzerauthentifizierung. Der Grund dafür ist einfach: Die Menschen wissen instinktiv, wie man sie anwendet. Das Problem aber ist, dass sie auch bei Hackern ganz oben auf der Zielliste stehen. Gelingt es ihnen, einen Mitarbeiter dazu zu bringen, Anmeldedaten auszuhändigen oder können Angreifer diese sogar erraten, steht dem vollen Netzwerkzugang oft nichts mehr im Wege.

Einer Schätzung zufolge hat über die Hälfte der amerikanischen Angestellten ihre Passwörter mit Stift und Papier aufgeschrieben. Schlechte Passwortpraktiken öffnen Hackern Tür und Tor. Und je mehr Anmeldeinformationen sich die Mitarbeiter merken müssen, desto größer ist die Wahrscheinlichkeit eines Missbrauchs.

Social Engineering: Der Mensch ist ein geselliges Lebewesen. Das macht ihn anfällig für Überzeugungsarbeit. Wir wollen den Geschichten, die uns erzählt werden, und der Person, die sie erzählt, Glauben schenken. Und die Internetkriminellen greifen mit Überzeugungstechniken wie Zeitdruck und Identitätswechsel tief in die Trickkiste, um ihre Opfer reinzulegen. Als besonders erfolgreich entpuppen sich dabei Phishing-E-Mails und ihre Varianten per SMS („Smishing“) oder Telefonanruf („Vishing“). Immer öfter werden sie auch bei sogenannten BEC-Angriffen („Business Email Compromise“) und anderen Betrügereien eingesetzt.

Der Markt der Cyberkriminalität: Heutzutage verfügen Bedrohungsakteure über ein komplexes und ausgeklügeltes Untergrundnetzwerk von Dark-Web-Sites, über die sie Daten und Dienstleistungen kaufen und verkaufen - von Hosting bis hin zu Ransomware-as-a-Service. Geschätzter Wert: Milliarden Dollar. Diese Professionalisierung der Cyberkriminalität führte dazu, dass die Angreifer ihre Bemühungen auf die Bereiche konzentrieren, in denen die Investitionsrendite am höchsten ist. In vielen Fällen bedeutet das, dass sie die Nutzer selbst ins Visier nehmen: Unternehmensmitarbeiter und Anwender. 

Hybrides Arbeiten: Erste Studien deuten darauf hin, dass Heimarbeiter eher auf Phishing-Links klicken und risikoreicheres Verhalten an den Tag legen als im Firmenbüro. Ursache dafür könnte sein, dass sie beispielsweise Arbeitsgeräte für private Zwecke nutzen. Die neue Ära des hybriden Arbeitens spielt Angreifern in die Hände, denn sie nehmen Mitarbeiter dann ins Visier, wenn sie am anfälligsten sind. Ganz zu schweigen von der Tatsache, dass private Netzwerke und Computer möglicherweise weniger gut geschützt sind als ihre Pendants im Büro.

Warum sind Schulungen nicht nur wichtig, sondern auch notwendig?

Eine schwerwiegende Sicherheitsverletzung, sei es durch einen Angriff von Dritten oder durch eine versehentliche Datenweitergabe, kann in großen finanziellen und Reputationsschäden enden. Insbesondere die Datenschutzgrundverordnung kennt kein Pardon und verhängt empfindliche Geldbußen bei Fehlverhalten. Eine kürzlich durchgeführte Studie ergab, dass 20 Prozent der Unternehmen, die von einem ernsten Sicherheitsvorfall betroffen waren, daraufhin fast in Konkurs gingen. Einzelne Untersuchungen haben ergeben, dass die durchschnittlichen Kosten für eine Datenschutzverletzung weltweit höher sind als je zuvor: über 4,2 Millionen US-Dollar.

Wie man Awareness-Programme zum Erfolg führt

Wir haben das „Warum“ erklärt, aber was ist mit dem „Wie“? CISOs sollten zunächst die Personalabteilung oder das IT-Team konsultieren, die in den meisten Fällen für die Schulungsprogramme des Unternehmens verantwortlich sind. Sie können möglicherweise Ad-hoc-Beratung oder koordinierte Unterstützung anbieten.

Zu den zu Themenbereichen könnten gehören:

- Social Engineering und Phishing/Vishing/Smishing

- Versehentliche Weitergabe von Informationen per E-Mail

- Schutz im Internet (sicheres Suchen und Nutzung von öffentlichem WLAN)

- Bewährte Praktiken bei Passwörtern und Multi-Faktor-Authentifizierung

- Sichere Fern- und Heimarbeit

- Wie man Insider-Bedrohungen erkennt

Denken Sie vor allem daran, die Lektionen sollen:

- Spaß machen und spielerisch sein (lieber auf das Prinzip der positiven Verstärkung setzen als auf angstmachende Botschaften)

- auf realen Simulationsübungen basieren

- das ganze Jahr über in kurzen Lektionen (10-15 Minuten) durchgeführt werden

- alle Mitarbeiter einbeziehen, einschließlich Führungskräfte, Teilzeitbeschäftigte und Auftragnehmer

- Ergebnisse vorweisen, die zur Anpassung der Programme an die individuellen Bedürfnisse genutzt werden können

- speziell für verschiedene Rollen zugeschnitten sein

Für die Umsetzung in der Praxis sollten Sie im gesamten Unternehmen die Augen aufhalten. Vielleicht gibt es in der Grafikabteilung Spezialisten, die die Lerninhalte optisch ansprechend erstellen können. Oder Programmierer, die eine Lern-App nach dem Vorbild des „Gamification“ aus dem Hut zaubern. Oder generell Mitarbeitende in allen Abteilungen, die eine pädagogische Vorbildung aufweisen und gewinnbringend einsetzen könnten. Alternativ gibt es genügend externe Trainer und Schulungsanbieter, die sich auf diese Thematik spezialisiert haben.

Die gute Nachricht zum Schluss: Erfolgreiche Security Awareness Trainings müssen nicht zwangsläufig teuer sein. Im Internet finden Sie ein reiches Angebot zu fairen Preisen, darunter auch kostenlose Tools. Auch ESET bietet ein hervorragendes Training an, probieren Sie es doch einfach mal aus.