Das Cybersicherheitsbewusstsein von Mitarbeitern kann bei der Verhinderung von Datenlecks und Malware-Infiltrationen eine enorme Rolle spielen – Organisationen müssen jedoch die von ihnen angebotenen Schulungsmaßnahmen verbessern. Wie eine Studie von Egress zeigte, glauben mehr als drei Viertel der Führungskräfte, dass Mitarbeiter im vergangenen Jahr Unternehmensdaten aus Versehen gefährdet hätten, 92 Prozent der Mitarbeiter gaben allerdings an, nichts getan zu haben, um Daten zu gefährden. Dieses Phänomen ist häufig anzutreffen: Menschen sind zwar überzeugt, die Regeln zu kennen, aber zwischen Theorie und Praxis klafft oft eine Lücke. Schulung kann hier einen großen Unterschied machen – wenn alles richtig läuft. Es gibt drei wesentliche Strategien, die bei der Erstellung eines funktionierenden Programms helfen können, an dessen Ende ein verbessertes Bewusstsein für Cybersicherheit steht.

Schulungsmaßnahmen an unterschiedliche Mitarbeitergruppen anpassen.

Mitarbeiter auf unterschiedlichen Verantwortlichkeitsebenen und mit unterschiedlichem Wissen benötigen unterschiedliche Maßnahmen zur Schulung des Cybersicherheitsbewusstseins. In Bezug auf die drei Hauptgruppen im Unternehmen sind folgende Ansätze in Betracht zu ziehen:

• IT- und Cybersicherheitsexperten — Personal, das für IT-Sicherheit und andere Personen mit privilegiertem Zugriff auf IT-Systeme verantwortlich ist, erfordert eingehendere Schulung. Der Fokus sollte auf situationsbedingten Schulungen liegen. Dabei sollten auch moderne Techniken zum Schutz vor Cyberbedrohungen aufgezeigt werden.

• Nicht-IT-Mitarbeiter — Schulungen für Nicht-IT-Mitarbeiter müssen regelmäßig, spannend, kurz und für ihre Jobfunktion relevant sein. Das Hauptaugenmerk muss auf Grundkenntnissen über Cybersicherheitsrisiken und gute Sicherheitsgewohnheiten.

• Führungskräfte und Direktoren — Schulungen für das Management sollten stärker auf die Geschäftsbedürfnisse ausgerichtet werden: Sie sollte grundlegende Sicherheitsprinzipien umfassen, aber auch Details zu den Folgen von sicherheitsrelevanten Ereignissen für das Unternehmen und seine Stakeholder. Das Management sollte sowohl über Geldstrafen bei Sicherheitslücken als auch über den bleibenden Schaden für die Reputation des Unternehmens Bescheid wissen.

Spannende Schulungen regelmäßig führen.

Zu viele Unternehmen bieten Cybersicherheitsschulungen nur zum Zeitpunkt der Einstellung oder im Rahmen einer jährlichen Update-Übung an. Damit Cybersicherheitsschulungen effektiv sind, muss sie in kleinen, verdaulichen Einheiten angeboten werden, die für die Mitarbeiterzielgruppe spannend sind.

Beispielsweise ist ein fünfminütiges Schulungsvideo, das reale Situationen nachstellt, wahrscheinlich besser geeignet, die Aufmerksamkeit eines Geschäftsanwenders zu fesseln als ein dickes IT-Schulungshandbuch. Und höchstwahrscheinlich wird der Unterricht auch besser verinnerlicht und wiederholt.

Doch auch bei den Schulungsvideos gibt es ein paar Dinge zu beachten: Videos, die ihre Inhalte mit Hilfe einer Prise Humor vermitteln, sind bei Zuschauern häufig beliebter als dröge aufgelistete „Dos and Don’ts“. Auch sollten die Schulungen per Video eine gewisse Qualität aufweisen und im besten Fall von einem darauf spezialisierten Unternehmen gedreht werden. So wird sichergestellt, dass sowohl die Qualität stimmt als auch die Inhalte auf die bestmögliche Art und Weise vermittelt werden.

Schulung sollte eine kontinuierliche und fesselnde Erfahrung sein, und darauf ausgerichtet, die Verhaltensweise und Einstellung von Mitarbeitern zu ändern. Die Anzeichen für einen Angriff sollten bekannt sein und es gilt, die Mitarbeiter zu ermutigen, sofort die IT-Abteilung zu kontaktieren, wenn etwas verdächtig erscheint. Telefonnummern und andere Kontaktinformationen müssen bekannt und erreichbar sein, damit alle wissen, wer anzurufen ist.

Unterschiedliche Formate verwenden.

Die Kombination einer Vielzahl von Formaten kann das Schulungsprogramm wirksamer machen. Hier einige Optionen, die zu erwägen sind:

• Schulung im Frontalunterricht — Ein wesentlicher Nutzen der interaktiven Schulung ist die Anwesenheit einer realen Person, die schwierigere Themen erklärt und Fragen für eine ganze Gruppe beantwortet. Einige Unternehmen bieten sowohl Live- als auch webbasierte Schulung an und nutzen eine Vielzahl von Methoden, wie Rollenspiele und Simulationsspiele, damit die Interaktion eher wechselseitig als einseitig ist. Webinars sind eine gute Möglichkeit bei geografisch verteilten Mitarbeitern.

• Eine Webseite für das Sicherheitsbewusstsein — Die Webseite könnte in unterschiedliche Abschnitte aufgeteilt sein, die Gebiete wie Malware, Falschmeldungen, Dateifreigabe und Copyright umfassen. Sie könnte auch Übungslektionen zum Selbststudium für Nutzer enthalten, mit Miniquizzen am Ende eines jeden Abschnitts, um sicherzustellen, dass das Material tatsächlich gelernt wurde.

• Hilfreiche Hinweise — Verantwortliche könnten überlegen, Schulungen mit Tipps und Erinnerungen zu ergänzen, die beim Einloggen oder bei anderen Gelegenheiten auf den Nutzerbildschirmen angezeigt werden. Diese Tipps können Schlüsselpunkte wiederholen, die während der Schulung besonders betont wurden, wie beispielsweise “Bewahren Sie Ihr Passwort niemals an einem Ort auf, der außer von Ihnen auch für andere zugänglich oder einsehbar ist.“

• Penetrationstest — Es ist klug, die Effektivität des Programms anhand regelmäßiger Penetrationstests zu bewerten. Sie können zum Beispiel sehen, welche Nutzer auf Links in einer Phishing-Email klicken und welche das über die vorgeschriebenen Kanäle melden. In einem zweiten Schritt können diejenigen Mitarbeiter, die auf die gefälschten E-Mails hereingefallen sind, erneut gesondert geschult werden. Hier gilt es, keine dem Mitarbeiter gegenüber bedrohliche Atmosphäre zu schaffen, sondern sein Bewusstsein für mögliche Bedrohungen zu schärfen.

Fazit

Der Aufbau einer starken Cybersicherheitskultur kann nicht gewährleisten, dass es niemals zu Sicherheitsvorfällen kommen wird. Es wird immer irgendjemanden geben, der die grundlegenden Sicherheitspraktiken vernachlässigt und Daten gefährdet. Darüber hinaus besteht stets die Gefahr, dass Sie Opfer eines Hackerangriffs oder einer böswilligen Insideraktivität zu werden.

Cybersicherheitsschulung ist zwar ein wichtiger erster Schritt zur Reduzierung von Risiken für die Datensicherheit, doch müssen Sie auch Verfahren und Instrumente einführen, mit denen Sie die Möglichkeit haben, Ihre Daten und Systeme zu kontrollieren. Idealerweise sollten Sie ein profundes Verständnis dafür erlangen, welche Daten Sie besitzen und was am meisten zu schützen ist. Darüber hinaus sollten Sie in der Lage sein, schnell verdächtige Aktivitäten rund um diese Daten zu erkennen. Das wird Ihnen helfen, die Sicherheit Ihrer sensiblen Daten zu gewährleisten, Geld zu sparen und gleichzeitig den Ruf Ihres Unternehmens zu wahren.