Markus Mainka - Fotolia
IT-Trainings: Security-Schulungen für Mitarbeiter planen
Der Faktor Mensch ist ein wichtiger Aktivposten bei der Gesamtsicherheit von Unternehmen. Entsprechend sorgfältig sollten IT-Teams bei der Schulung der Anwender vorgehen.
Schulungen in Sachen Cybersicherheit spielen eine entscheidende Rolle, wenn es darum geht, Mitarbeiter über die sich verändernde Bedrohungslandschaft zu informieren. Dazu zählt auch das Bewusstsein der eigenen Rolle beim Schutz des Unternehmens.
Leider erfahren diese Schulungsprogramme häufig nicht die Aufmerksamkeit, die sie verdient hätten. Das kann dann zu potenziell veralteten und wenig motivierenden Inhalten führen, was eine aktive Einbindung der Mitarbeiter in die IT-Sicherheit nicht fördert. Dies erschwert es anvisierte Ziele in der Gesamtsicherheit zu erreichen.
Nahezu jeder kennt die Situation: Man wird zu einer Art obligatorischen Firmenschulung verdonnert, die außerhalb des eigentlichen Fachgebietes liegt und eigentlich von der Arbeit ablenkt, die man gerne dringend erledigen möchte. Wenn man dann auf Nachdruck das Online-Training oder Schulungsvideo öffnet, erfolgt die Teilnahme oft nur halbherzig und mit dem Ziel die Schulung möglichst zügig zu absolvieren.
Diese Situation müssen IT-Teams bedenken, wenn sie Schulungsprogramme für die Mitarbeiter des Unternehmens entwickeln. Wenn das Training nicht überzeugend ist, um diese Situation aufzubrechen, wird es seine Zielgruppe nicht wirklich erreichen. Und das hat Folgen für die Sicherheit des Unternehmens bei der der Faktor Mensch ein ganz wichtiger Aktivposten ist.
Warum Security-Schulungen für Unternehmen so wichtig sind
Wenn Mitarbeiter Security-Bedrohungen und ihre eigene Rolle beim Schutz von Systemen und Daten nicht verstehen, kann dies erhebliche Folgen haben. Dies kann dazu führen, dass sie versehentlich oder absichtlich Aktionen ausführen, die Sicherheitsmaßnahmen untergraben. In der Folge können Angreifer Benutzerkonten kompromittieren, Schadsoftware auf Systemen installieren oder andere Sicherheitsverletzungen erfolgreich durchführen.
Bei einer Umfrage in den USA der National Cyber Security Alliance (NCSA) im September 2020 haben 73 Prozent der Mitarbeiter angegeben, dass sie sich sicher sind, eine bösartige Mail oder einen entsprechenden Link zu erkennen.
Von denjenigen, die durch die Pandemie bedingt im Home-Office arbeiten, fühlen sich weniger als die Hälfte gut darauf vorbereitet, sicher auf Daten und Systeme aus der Ferne aus zuzugreifen. Diese Ergebnisse unterstreichen die Bedeutung von Schulungsprogrammen von Mitarbeitern. Im Ernstfall genügt ein einzelner nicht gut informierter Anwender, um einen ernsthaften Sicherheitsvorfall mit weitreichenden Folgen auszulösen.
Ein effektives Security-Schulungsprogramm erstellen
Natürlich legt kein Unternehmen absichtlich ein ineffektives Trainingsprogram auf. Mitarbeiter sollten motiviert und besser auf die heutige Bedrohungslage vorbereitet werden. Doch viele Schulungen erreichen diese Ziele nicht. Nachfolgend haben wir einige Schritte zusammengestellt, die dabei helfen können, dass Schulungen ihre Ziele erreichen:
Mitarbeiter einbinden. Ansprechende Inhalte sind durch nichts zu ersetzen. Wenn Schulungsmaterialen langweilig sind, laufen sie mitunter im Hintergrund und unbeachtet einfach ab. Das bedeutet nicht, dass zwangsweise bunte und unterhaltende Geschichten erzählt werden müssen. Wichtiger ist es, die Sichtweise der Mitarbeiter anzusprechen. Dann kann man auch Anekdoten einflechten, die einen Bezug zwischen den Botschaften der Cybersicherheit und dem konkreten Arbeitsumfeld des Mitarbeiters herstellen. Die Länge der Videos oder Schulungseinheiten kann eine entscheidende Rolle spielen. Hier ist weniger oft mehr.
Inhalte aktuell halten. Die Schulungsunterlagen sollten aus zwei Gründen regelmäßig aktualisiert werden. Die Schulungen sollten ja regelmäßig durchgeführt werden und kein Anwender möchte Wiederholungen von Security-Inhalten sehen. Darüber hinaus ändert sich die Bedrohungslage und auch die Betriebsumgebung des Unternehmens ständig. Die Schulungen sollten sich an die sich ändernden Anforderungen angepasst werden.
Unterschiedliche Formate verwenden. Verschiedene Anwender lernen auf unterschiedliche Weise gut. Je mehr Mechanismen genutzt werden, um die Botschaften zu vermitteln, desto wahrscheinliche ist es, dass die verschiedenen Mitglieder der Zielgruppe erreicht werden.
Es können Online-Schulungen mit E-Mail-Newslettern, Live-Diskussionen in Teambesprechungen und anderen Formaten kombiniert werden. Das kann immer sehr von der Zielgruppe abhängen und sollte entsprechend angepasst werden. Dabei kann man durchaus experimentieren und die Formate weiter nutzen, die offensichtlich funktionieren.
Die Wirkung der Schulungen messen. Es ist durchaus hilfreich, kreative Mittel einzusetzen, um die Effektivität des Schulungsprogramms für die Mitarbeiter anhand der Ziele zu bewerten. Quizfragen mit offensichtlichen, vorgegebenen Antworten erfüllen dieses Kriterium häufig nicht.
Diese sind in der Regel so einfach, dass nahezu jeder Anwender diese einfach richtig beantworten kann. Sind die Fragen zu schwierig ausgelegt, muss man damit rechnen, dass viele Mitarbeiter den Test nicht bestehen. Versuchen Sie stattdessen, Mechanismen wie Phishing-Simulationen einzusetzen.
Damit lässt sich der tatsächliche Kenntnisstand der Belegschaft besser einordnen. Inzwischen sind viele Angebote verfügbar, mit denen sich simulierte Phishing-Kampagnen verwalten und durchführen lassen und dabei helfen Folgemaßnahmen auch zielgerichtet durchzuführen.
Die wichtigsten Themen für Security-Schulungen
Wenn man sich darüber klar geworden ist, mit welchen Maßnahmen man vorgehen möchte, gilt es die angesprochenen Themen zu bestimmen. Diese Liste muss auf der Grundlage der Bedürfnisse des eigenen Unternehmens entwickelt werden. Hier sind vier wichtige Themengebiete, die in jeder Security-Schulung berücksichtigt werden sollten:
Phishing-Angriffe sind eine der ältesten Bedrohungen und gehören immer noch zu den effektivsten Angriffsformen. So hat der DBIR 2020 (Data Breach Investigations Report) von Verizon ergeben, dass Phishing-E-Mails die häufigste Bedrohung bei Security-Verstößen waren. Daher müssen Mitarbeiter geschult werden, um diese Sicherheitsbedrohung zu erkennen und angemessen damit umzugehen.
Social-Engineering-Angriffe erfolgen nicht immer IT-basiert oder per Phishing-Mail. Das kann auch mal ein einfacher Telefonanruf von einem vermeintlichen Geschäftspartner oder Servicetechniker sein. Die Anwender sollten sich mit den Techniken der Social-Engineering-Attacken vertraut machen. Dies kann sie dazu befähigen, auch außerhalb der IT-nahen-Angriffe wachsam zu sein und entsprechende Versuche abzuwehren.
Die Passworthygiene ist ein Dauerthema in der IT-Sicherheit. Viele Unternehmen sind der Bedrohungen im Bereich Zugangsdaten und Passwörter inzwischen mit Maßnahmen wie Zwei- oder Multifaktor-Authentifizierung begegnet.
Aber Passwortsicherheit bleibt ein wichtiges Thema, da sich nicht alle Systeme so absichern lassen. Mitarbeiter, die identische Kennwörter für mehrere Systeme oder Dienste nutzen, können so schnell ein Sicherheitsrisiko erzeugen. Awareness-Programme können diese Teammitglieder über die Risiken aufklären und ihren den Umgang mit Passwortmanagern erklären. Damit fällt es den Anwender leichter, für jeden Dienst und jede Website starke, einzigartige Passwörter zu nutzen.
Sicheres Arbeiten im Home-Office und unterwegs hat an Bedeutung gewonnen. Vielerorts haben sich die Arbeitsweisen im Jahr 2020 signifikant verändert. Und häufig ohne darauf wirklich vorbereitet zu sein, auch in Sachen Sicherheit. Hier sollten Schulungen Mitarbeiter sensibilisieren, dass sie auch außerhalb der Arbeit im Büro die Unternehmensrichtlinien zur Speicherung von sensiblen Informationen und Zugriff darauf beherzigen.
Fazit
Bei der Betrachtung der Themen mag manchem auffallen, dass es da um die großen „Klassiker“ in der IT-Sicherheit geht. Allein damit ist in der Gesamtsicherheit aber bereits sehr viel erreicht. Sie sollten die Schulungen zwar immer aktuell halten, aber das bedeutet nicht, dass man sich mit exotischen Themen beschäftigen muss. Die meisten Sicherheitsverletzungen sind das Ergebnis relativ einfacher Bedrohungen. Effektive Maßnahmen, um Mitarbeiter im Hinblick auf die Bedrohungen zu sensibilisieren, erhöhen die Sicherheit grundlegend.
