Awareness / Fort-, Weiter- und Ausbildung

Security Awareness Training: Das Bewusstsein der Sicherheit

Veröffentlicht am

Angestellte im Unternehmen bestimmen die Sicherheit maßgeblich. Wird unerlaubt Software heruntergeladen, Adware installiert oder Phishing E-Mails angeklickt, so läuft das Unternehmen Gefahr, Opfer eines Cyberangriffs zu werden. Entscheidend hierbei ist vor allem die Security Awareness eines jeden Angestellten.

Security Awareness Kampagne als Problemlöser

Security Awareness kann mit einer Security Awareness Kampagne erhöht werden. Dabei handelt es sich um Maßnahmen, die Mitarbeiter:innen schulen und aufklären. Das ist wichtig, weil der Faktor Mensch sonst zur Schwachstelle werden kann. Der Fokus liegt hierbei auf der Weiterbildung der einzelnen Personen, um sie vor etwaigen Gefahren zu schützen.

Die Kampagnen sollen aufklären und aufzeigen, welche Sicherheitsrisiken es gibt, um diese anschließend vollständig vermeiden zu können. Sie erläutern den Angestellten im Unternehmen also, worauf zu achten ist.

Bewusstsein bei den Angestellten schaffen

Bei Security Awareness geht es in erster Linie um die Verständigung und Vermittlung. Menschen sind komplexe Wesen, die sich oft von ihren Gefühlen leiten lassen. Da ist schnell mal eine Mail geöffnet, die eigentlich von einem unbekannten Absender stammt oder aber ein Anhang wird heruntergeladen, um zu schauen, was genau da überhaupt angekommen ist.

Ihre Mitarbeiter:innen sehen darin keinen Fehler und wenn selbst Profis Fehler machen, wie kann man dann von Mitarbeitenden verlangen, alles Sicherheitsrelevante wissen zu können? Die Awareness Kampagne erzeugt bei Menschen ein Bewusstsein dafür, was okay ist und was ein entsprechendes Sicherheitsrisiko darstellen könnte.

Schnell mal ein Programm aus dem Internet laden, nur weil eine Datei sich nicht öffnet, ist ebenso tabu, wie der Download aus privaten Cloud-Speichern. Doch wer kein Bewusstsein dafür hat, dass hier gewaltig etwas schiefgehen kann, der wird ohne zu zögern einen Download starten oder sich schlichtweg keine Gedanken über mögliche Folgen machen. Awareness schafft in erster Linie also erst einmal das Bewusstsein dafür, was passiert, wenn solche Dinge ignoriert werden.

Wie Security Awareness Kampagnen helfen

Im Grunde ist das Prinzip von Awareness Kampagnen relativ einfach und simpel. Durch Aufklärung bezüglich möglicher Sicherheitslücken und Risiken wird ein Bewusstsein für genau diese geschaffen. Im Unternehmen wird somit recht klar, worauf zu achten ist und wo potenzielle Gefahren lauern. Beispielsweise bei Mail-Anhängen oder im Bereich von unbekannter Software aus dem Internet.

Der Faktor Mensch sollte hier nicht als Negativpunkt betrachtet werden. Vielmehr wird der Mensch selbst durch eine Security Awareness Kampagne zum Sicherheitsfaktor. Er verteidigt das Unternehmen, mit weitreichender Expertise und entsprechendem Wissen. Das Bewusstsein dafür erlernt er in den jeweiligen Awareness Kampagnen. Nicht umsonst wird das Thema Sensibilisierung und Schulungen auch im Baustein “Organisation und Personal” des IT-Grundschutzes des BSI behandelt.

Bei genau diesen kommt es stets auf ein gutes Gespür an. Welche Aspekte sind in einer Cybersecurity Awareness Kampagne also besonders wichtig und welche Punkte sollten entsprechend berücksichtigt werden?

Darauf kommt es bei einer Awareness Kampagne an

Am besten ist es, wenn Sie bei einer geplanten Awareness Kampagne alle Parteien mit einbeziehen. Das bedeutet auch, dass der Betriebs- oder Personalrat frühzeitig mit hinzugezogen werden sollte. Awareness Kampagnen beinhalten oft auch Phishing Simulationen, sodass alle Stellen eingeweiht sein sollten, damit es nicht zu versehentlichen Fehlalarmen kommt.

Ob Simulation, Penetrationstest oder Live Hacking Show – bei allen Maßnahmen in Bezug auf eine Awareness Kampagne sollte auch immer auf die jeweilige Unternehmenskultur Rücksicht genommen werden. So geht es auch immer darum, welche Probleme ganz konkret im jeweiligen Unternehmen zu finden sind oder was für Sicherheitsvorfälle bereits bekannt wurden und stattgefunden haben. Einfach dieselbe Awareness Kampagne zu fahren, wie immer, bringt das entsprechende Unternehmen im Einzelfall oft nicht weiter.

Es kommt also darauf an, realistische Maßnahmen zu ergreifen und dort anzusetzen, wo im Unternehmen noch Bedarf vorhanden ist. Außerdem sollten alle Ergebnisse reproduzierbar und vergleichbar bleiben. Vor allem auch deshalb, weil in der Regel weitere Awareness Kampagnen stattfinden sollten. Diese zukünftigen Maßnahmen können dann problemlos mit den vorherigen Kampagnen verglichen werden. Das gelingt aber eben nur dann, wenn die gewonnenen Daten und Erkenntnisse reproduzierbar und vergleichbar gehalten werden.

Auch wir führen verschiedene umfangreiche Security Awareness Kampagnen durch. Awareness ist Teil des Großen Ganzen und somit ein integraler Bestandteil einer jeden Strategie bezüglich höherer Cybersecurity. Wichtig ist nur, dass während der Kampagne die richtigen Schwerpunkte gesetzt werden. Wenn Sie entsprechende Kampagnen bei uns buchen möchten, dürfen Sie uns gerne unverbindlich kontaktieren.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.