2023 / Security Research / Strategie

Wie viel Security Training ist notwendig?

Im Bereich der Cybersecurity ist es relativ normal, dass Studien, Analysen und Protokolle geprüft werden. Es geht darum herauszufinden, was wirklich notwendig ist und wo Schwachstellen zu finden sind bzw. eben nicht. Das geschieht auch innerhalb verschiedener Benchmarks, die dann häufig aufzeigen sollen, wie viel Security Training am Ende tatsächlich notwendig ist, um das Sicherheitsempfinden zu verbessern.

In vielen Unternehmen herrscht nämlich recht häufig die Einstellung, dass ein abgeschlossenes Security Awareness Training bereits vollkommen ausreicht, um für entsprechend mehr Sicherheit im laufenden Betrieb zu sorgen. Doch meist ist genau das Gegenteil der Fall. Bevor Mitarbeiter das Thema Cybersicherheit verinnerlicht und verstanden haben, vergehen oft viele Wochen, manchmal sogar Monate.

Was ist also notwendig und wie lange dauert ein entsprechendes Security Awareness Training, bevor es Früchte trägt? Haben wir uns auch gefragt und uns dafür verschiedene Reportings, Fallstudien und Benchmarks genauer angesehen. Zusammen mit unseren eigenen Erfahrungen präsentieren wir Ihnen hier nun unsere Ergebnisse diesbezüglich.

Es sind vorwiegend Phishing-Angriffe

Was ganz klar gesagt werden muss, ist, dass es in erster Linie Phishing-Angriffe sind, die nicht sofort verstanden werden. Die Gefahr, dass jeder im Unternehmen Opfer einer solchen Attacke werden kann, ist größer denn je. Trotz dieser Gefahr haben viele Mitarbeiter Probleme damit, sich selbst als das Ziel eines Angriffs zu betrachten. Das Resultat ist, dass sie die Gefahr nicht ernst nehmen.

Somit wird es wichtiger denn je, dass Mitarbeiter entsprechend geschult sind. Zeigen Sie ihnen mögliche Einfalltore, geben Sie konkrete Beispiele, führen Sie eine Live Hacking Show durch oder präsentieren Sie entsprechende Echtwelt-Beispiele von realistischen Angriffsszenarien oder Attacken, die geglückt sind. Auf diese Weise fängt das Verstehen an und Mitarbeiter verinnerlichen, auf welche Weise auch sie angegriffen werden können.

Das ist auch deshalb so wichtig, weil viele Studien nahelegen, dass fast jeder Angriff mit einer Phishing-Attacke beginnt. Ist das Vertrauen oder der Zugang einmal erschlichen, kommt es plötzlich zu realen Bedrohungen und weiteren Attacken, etwa über E-Mail Anhänge oder direkte Zugänge zu Serverstrukturen.

Security Awareness Trainings als Gegenmaßnahme

Wer die Sicherheit im eigenen Unternehmen maßgeblich erhöhen möchte, setzt daher auf Schulungen in Form entsprechender Security Awareness Trainings. Die meisten Sicherheitsfirmen bieten dies inzwischen an, da sie sich darüber im Klaren sind, dass Mitarbeiter ein großes Risiko darstellen, wenn ihnen das Verständnis für die Art von Attacken fehlt.

Auch wir haben als AWARE7 GmbH sehr früh auf Live Hacking Shows und Security Awareness Trainings gesetzt und uns dabei auch stark spezialisiert. Weil wir ebenfalls schon früh bemerkt haben, dass es überwiegend auf die Strukturen und Mitarbeiter ankommt. Und weil wir feststellen konnten, dass nur über einen längeren Zeitraum hinweg tatsächlich gelernt wird und in Form echter Beispiele, die eine Gefahrensituation noch einmal deutlich nahelegen und regelrecht unterstreichen.

In neueren Berichten ist daher die Rede davon, dass Unternehmen Security Awareness Trainings möglichst häufig und mindestens für drei Monate durchführen sollten. Im Schnitt dauert es wirklich um die drei Monate, bevor Mitarbeiter ein echtes Verständnis dafür aufgebaut haben, welche Gefahren und Angriffsmöglichkeiten es gibt. Finden solche Trainings gar nicht erst statt, kommt es beim Thema der Sicherheit zu keinerlei Durchbruch oder Verinnerlichung der Gefahrensituation in modernen Unternehmen.

Lösungen für Security Trainings müssen erarbeitet werden

Auch wenn wir Ihnen im Absatz zuvor bereits deutlich gemacht haben, wie wichtig das entsprechende Security Awareness Training ist, möchten wir dies dennoch in keiner Weise pauschalisieren. Lösungen für mehr Cybersicherheit müssen stets erarbeitet werden. Kein Unternehmen ist wie das andere und jeder Anwendungsfall ist stets als individuell zu betrachten. So sehen wir das jedenfalls und nach diesem Prinzip arbeiten wir auch.

Viel wichtiger als stumpfes Training ist am Ende, sich die Strukturen im eigenen Unternehmen genauer anzusehen. Lassen Sie uns gemeinsam analysieren, wo mögliche Angriffspunkte zu finden sind. Welche Schwachstellen gibt es in Ihrem Unternehmen in Bezug auf die IT-Infrastruktur? Welche Mitarbeiter bilden potenzielle Gefahren durch höherwertige Zugänge oder Zugriff auf bestimmte oder besonders gesicherte Bereiche?

Sicherheitslösungen müssen immer auf eine gewisse Art und Weise erarbeitet werden. Was bringt schon eine Alarmanlage, wenn der Einbrecher den Code kennt. Oder wenn der Mitarbeiter den Code auf einem Zettel notiert hat? Security Awareness hilft immer auch dabei, dass Mitarbeiter verstehen, worauf es beim Thema Cybersicherheit ankommt. Auf diese Weise werden sie sich den potenziellen Gefahren bewusst und können im Alltag automatisch darauf achten.

Automatismen benötigen viel Zeit

Genau das ist auch der Knackpunkt bei der ganzen Sache. Sicherheit ist etwas, was im Unternehmensbereich nicht durch Denken stattfinden darf. Kein Mitarbeiter wird bei jeder E-Mail darüber nachdenken, ob dies ein Phishing-Angriff sein könnte oder nicht. Tut er es doch, ist dies ein aktiver Prozess, der wiederum seine Arbeitsleistung beeinflussen wird.

Worauf es ankommt, ist vielmehr, dass Ihre Mitarbeiter eben nicht mehr darüber nachdenken müssen. Statt aktiv zu prüfen, ob es eine Phishing-Attacke ist, sollte vielmehr ein Automatismus bereitstehen. Statt sich also die Frage nach einem Angriff zu stellen, scannt das Auge einfach ganz nebenbei die typischen Muster. Ist die E-Mail Adresse wirklich korrekt und passt ihre Signatur? All das sollte nicht aktiv, sondern automatisch und im Hintergrund passieren. Ganz ohne, dass darüber nachgedacht werden muss.

Automatismen benötigen allerdings Zeit und entstehen nicht von jetzt auf gleich. Das ist einer der Gründe dafür, warum es eben keine einmalige Schulung benötigt, sondern ein regelmäßiges Training verlangt. Und natürlich dafür, dass es mehrere Monate dauert, bevor Mitarbeiter die Richtlinien in Bezug auf Cybersecurity für sich verstanden und zu einem Automatismus ausgebaut haben.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.