Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Wie viel Security Training ist notwendig?

M.Sc. Jan Hörnemann

Im Bereich der Cybersecurity ist es relativ normal, dass Studien, Analysen und Protokolle geprüft werden. Es geht darum herauszufinden, was wirklich notwendig ist und wo Schwachstellen zu finden sind bzw. eben nicht. Das geschieht auch innerhalb verschiedener Benchmarks, die dann häufig aufzeigen sollen, wie viel Security Training am Ende tatsächlich notwendig ist, um das Sicherheitsempfinden zu verbessern.

Laden Sie jetzt unsere kostenfreien ISO 27001:2022 Vorlagen herunter

Über 40 Vorlagen die Sie für den Aufbau Ihres Informationssicherheitsmanagementsystems nutzen können.

Kostenfrei. Jetzt anfordern

In vielen Unternehmen herrscht nämlich recht häufig die Einstellung, dass ein abgeschlossenes Security Awareness Training bereits vollkommen ausreicht, um für entsprechend mehr Sicherheit im laufenden Betrieb zu sorgen. Doch meist ist genau das Gegenteil der Fall. Bevor Mitarbeiter das Thema Cybersicherheit verinnerlicht und verstanden haben, vergehen oft viele Wochen, manchmal sogar Monate.

Was ist also notwendig und wie lange dauert ein entsprechendes Security Awareness Training, bevor es Früchte trägt? Haben wir uns auch gefragt und uns dafür verschiedene Reportings, Fallstudien und Benchmarks genauer angesehen. Zusammen mit unseren eigenen Erfahrungen präsentieren wir Ihnen hier nun unsere Ergebnisse diesbezüglich.

Es sind vorwiegend Phishing-Angriffe

Was ganz klar gesagt werden muss, ist, dass es in erster Linie Phishing-Angriffe sind, die nicht sofort verstanden werden. Die Gefahr, dass jeder im Unternehmen Opfer einer solchen Attacke werden kann, ist größer denn je. Trotz dieser Gefahr haben viele Mitarbeiter Probleme damit, sich selbst als das Ziel eines Angriffs zu betrachten. Das Resultat ist, dass sie die Gefahr nicht ernst nehmen.

Somit wird es wichtiger denn je, dass Mitarbeiter entsprechend geschult sind. Zeigen Sie ihnen mögliche Einfalltore, geben Sie konkrete Beispiele, führen Sie eine Live Hacking Show durch oder präsentieren Sie entsprechende Echtwelt-Beispiele von realistischen Angriffsszenarien oder Attacken, die geglückt sind. Auf diese Weise fängt das Verstehen an und Mitarbeiter verinnerlichen, auf welche Weise auch sie angegriffen werden können.

Das ist auch deshalb so wichtig, weil viele Studien nahelegen, dass fast jeder Angriff mit einer Phishing-Attacke beginnt. Ist das Vertrauen oder der Zugang einmal erschlichen, kommt es plötzlich zu realen Bedrohungen und weiteren Attacken, etwa über E-Mail Anhänge oder direkte Zugänge zu Serverstrukturen.

Security Awareness Trainings als Gegenmaßnahme

Wer die Sicherheit im eigenen Unternehmen maßgeblich erhöhen möchte, setzt daher auf Schulungen in Form entsprechender Security Awareness Trainings. Die meisten Sicherheitsfirmen bieten dies inzwischen an, da sie sich darüber im Klaren sind, dass Mitarbeiter ein großes Risiko darstellen, wenn ihnen das Verständnis für die Art von Attacken fehlt.

Auch wir haben als AWARE7 GmbH sehr früh auf Live Hacking Shows und Security Awareness Trainings gesetzt und uns dabei auch stark spezialisiert. Weil wir ebenfalls schon früh bemerkt haben, dass es überwiegend auf die Strukturen und Mitarbeiter ankommt. Und weil wir feststellen konnten, dass nur über einen längeren Zeitraum hinweg tatsächlich gelernt wird und in Form echter Beispiele, die eine Gefahrensituation noch einmal deutlich nahelegen und regelrecht unterstreichen.

In neueren Berichten ist daher die Rede davon, dass Unternehmen Security Awareness Trainings möglichst häufig und mindestens für drei Monate durchführen sollten. Im Schnitt dauert es wirklich um die drei Monate, bevor Mitarbeiter ein echtes Verständnis dafür aufgebaut haben, welche Gefahren und Angriffsmöglichkeiten es gibt. Finden solche Trainings gar nicht erst statt, kommt es beim Thema der Sicherheit zu keinerlei Durchbruch oder Verinnerlichung der Gefahrensituation in modernen Unternehmen.

Lösungen für Security Trainings müssen erarbeitet werden

Auch wenn wir Ihnen im Absatz zuvor bereits deutlich gemacht haben, wie wichtig das entsprechende Security Awareness Training ist, möchten wir dies dennoch in keiner Weise pauschalisieren. Lösungen für mehr Cybersicherheit müssen stets erarbeitet werden. Kein Unternehmen ist wie das andere und jeder Anwendungsfall ist stets als individuell zu betrachten. So sehen wir das jedenfalls und nach diesem Prinzip arbeiten wir auch.

Viel wichtiger als stumpfes Training ist am Ende, sich die Strukturen im eigenen Unternehmen genauer anzusehen. Lassen Sie uns gemeinsam analysieren, wo mögliche Angriffspunkte zu finden sind. Welche Schwachstellen gibt es in Ihrem Unternehmen in Bezug auf die IT-Infrastruktur? Welche Mitarbeiter bilden potenzielle Gefahren durch höherwertige Zugänge oder Zugriff auf bestimmte oder besonders gesicherte Bereiche?

Sicherheitslösungen müssen immer auf eine gewisse Art und Weise erarbeitet werden. Was bringt schon eine Alarmanlage, wenn der Einbrecher den Code kennt. Oder wenn der Mitarbeiter den Code auf einem Zettel notiert hat? Security Awareness hilft immer auch dabei, dass Mitarbeiter verstehen, worauf es beim Thema Cybersicherheit ankommt. Auf diese Weise werden sie sich den potenziellen Gefahren bewusst und können im Alltag automatisch darauf achten.

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Automatismen benötigen viel Zeit

Genau das ist auch der Knackpunkt bei der ganzen Sache. Sicherheit ist etwas, was im Unternehmensbereich nicht durch Denken stattfinden darf. Kein Mitarbeiter wird bei jeder E-Mail darüber nachdenken, ob dies ein Phishing-Angriff sein könnte oder nicht. Tut er es doch, ist dies ein aktiver Prozess, der wiederum seine Arbeitsleistung beeinflussen wird.

Worauf es ankommt, ist vielmehr, dass Ihre Mitarbeiter eben nicht mehr darüber nachdenken müssen. Statt aktiv zu prüfen, ob es eine Phishing-Attacke ist, sollte vielmehr ein Automatismus bereitstehen. Statt sich also die Frage nach einem Angriff zu stellen, scannt das Auge einfach ganz nebenbei die typischen Muster. Ist die E-Mail Adresse wirklich korrekt und passt ihre Signatur? All das sollte nicht aktiv, sondern automatisch und im Hintergrund passieren. Ganz ohne, dass darüber nachgedacht werden muss.

Automatismen benötigen allerdings Zeit und entstehen nicht von jetzt auf gleich. Das ist einer der Gründe dafür, warum es eben keine einmalige Schulung benötigt, sondern ein regelmäßiges Training verlangt. Und natürlich dafür, dass es mehrere Monate dauert, bevor Mitarbeiter die Richtlinien in Bezug auf Cybersecurity für sich verstanden und zu einem Automatismus ausgebaut haben.

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen