Werbung

Security Awareness: 5 Tipps für die richtige Vorgehensweise

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Security Awareness: 5 Tipps für die richtige Vorgehensweise

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Security Awareness kommt mit jeder erfolgreichen Phishing-E-Mail, aus der auch eine Malware-Infektion entsteht, wieder auf die Tagesordnung der Geschäftsleitung. Oftmals, weil das eigene Unternehmen bereits getroffen und ein Sicherheitsvorfall aufgeklärt werden muss.
Security-Awareness-Training

Quelle: Den Rise/Shutterstock

Bei der Frage nach vorbereitenden Schutzmaßnahmen fällt immer öfter der Begriff Security Awareness Training, sogar im Mittelstand wird das Thema vermehrt diskutiert. Die Erkenntnis, dass ein Schutz mit traditionellen Sicherheitstechnologien nicht mehr ausreicht, reift, nun muss sie sich setzen, dass Investitionen in neue Technologien allein das Problem nicht lösen können. Vielmehr muss in organisatorische Maßnahmen und damit in das Training der Mitarbeiter investiert werden.

Doch hier gibt es Missverständnisse, denn ein einmaliges Security Awareness Training, im einfachsten Fall sogar als Schulung in einer Klassenraum-ähnlichen Atmosphäre, wird nur zu kurzfristigen, aber nicht zu den eigentlich gewünschten langfristigen Effekten führen. Deshalb braucht es auch keines Security Awareness Trainings, es braucht ein Security Awareness Programm. Allein der Begriff zeigt schon, dass es sich hier um eine kontinuierliche Fort- und Weiterbildung handelt. Doch wie sollte ein solches Programm aussehen und welche Möglichkeiten zur Gestaltung gibt es?

Die fünf folgenden Tipps dienen zur Orientierung bei der Umsetzung eines Security Awareness Programms:

1. Sicherheits-Policies anpassen

Zunächst sollten die bestehenden Sicherheits-Policies überprüft und auf den aktuellen Stand gebracht werden, alle Mitarbeiter müssen dieses Dokument gelesen und unterschrieben haben. Darüber hinaus hilft es allen Mitarbeitern, wenn klare Vorgaben zum Umgang mit erkannten Phishing-E-Mails formuliert werden. In aller Regel sollten diese an die Sicherheitsabteilung weitergeleitet und in die dafür vorgesehenen Spam-Ordner verschoben werden. Ein Poster oder ein Cheat-Sheet mit einem Überblick über die wichtigsten sogenannten roten Flaggen hilft bei der schnellen Erkennung der Anzeichen für eine Phishing E-Mail

2. Security Awareness Trainings müssen regelmäßig stattfinden

Die Trainings sind durchaus sinnvoll, aber es muss sich eine Lernkurve messen lassen. Diese Kurve kann nur dann erreicht werden, wenn die Mitarbeiter sich regelmäßig solchen Trainings unterziehen und getestet werden. Eine Frequenz von einer halben Stunde alle zwei bis drei Wochen hat sich bewährt. Darüber hinaus sind echt wirkende aber in Wahrheit ungefährliche Test-Phishing-E-Mails eine gute Ergänzung zu eher theoretischen Inhalten.

Die Trainings müssen ein Teil des Programms sein und dementsprechend mit flankierenden Maßnahmen unterstützt werden. Es kann durchaus sinnvoll sein, eine Reihe von spielerischen Ansätzen, die Wettbewerbscharakter haben begleitend einzustreuen. Hier können verschiedene Teams oder Abteilungen gegeneinander antreten und um eine kleine Trophäe (durchaus auch ein Wanderpokal) wetteifern. Selbstredend sollten alle neuen Mitarbeiter bereits beim On-Boarding-Prozess entsprechend trainiert und mit Security Awareness-Maßnahmen konfrontiert werden

3. Abteilungsinterne Trainings durchführen

Eine weitere Empfehlung ist, in das Programm auch Inhalte einzubauen, die Abteilungsspezifisch sind. Die Buchhaltung wird mit anderen Phishing-E-Mails konfrontiert als die Geschäftsführung. Das Marketing bekommt beispielsweise mehr Angebote zugeschickt, die Personalabteilung erhält Phishing-E-Mails in Form von Bewerbungen und Rechnungen werden bevorzugt an Geschäftsführung und Buchhaltung versendet. Dementsprechend muss sich auch ein Training mit solchen Beispielen auseinandersetzen und im Dialog mit den Mitarbeitern feststellen, welche Formen bereits bekannt sind und welche bislang eher wenig vorkamen

4. Abwechslungsreicher und verständlicher Content

Und nun zum eigentlich wichtigsten Thema bei einem Security Awareness Programm, nämlich die Inhalte. Sie müssen abwechslungsreich sein, sie müssen verständlich sein, sie müssen den Mitarbeiter da abholen, wo er bei seiner täglichen Arbeit mit der Security in Berührung kommt. Mal kann ein Poster auf der Toilette hilfreich sein, mal ist es aber auch ein kleiner Comic neben dem Bildschirm, der täglich daran erinnert, welches die ersten und wichtigsten Warnhinweise für Phishing sind. Nicht bei jedem Mitarbeiter funktioniert der gleiche Inhalt, deshalb ist Abwechslung wichtig.

5. Security-Kultur einführen

Ziel eines jeden Programms sollte sein, dass am Ende eine Veränderung der Unternehmenskultur stattfindet, in der eine Security-Kultur Einzug hält. Niemand braucht paranoide Mitarbeiter, die nichts und niemandem trauen, dies ist eindeutig der falsche Weg, genauso wie mit Bestrafung zu arbeiten. Mitarbeiter müssen motiviert und aufgeklärt werden, nicht abgeschreckt. Aus diesem Grund sind ständiger Dialog und ständiger Austausch von Informationen über das gelehrte und gelernte wichtig.

Mitarbeiter müssen nicht geführt, sondern gefördert werden. Wird dieser Leitspruch beherzigt, so ist es möglich eine echte Security Kultur zu schaffen, die aus Mitarbeitern besteht, die Security ernst nehmen, aber dem Thema souverän und ohne Angst begegnen, ohne viele technische Details kennen zu müssen. Eine gesunde Sicherheitskultur ermöglicht es den Mitarbeitern, Bedrohungen zu erkennen, zu verstehen, warum sie eine Bedrohung darstellen, und sicher zu handeln.

Zunehmende Bedeutung von Security Awareness

Security Awareness steigt in ihrer Bedeutung, die Berichte über Unternehmen mit IT-Sicherheitsproblemen werden immer detaillierter, auch weil Leser durch die eigene Erfahrung mit der Digitalisierung immer mehr in Berührung mit Cybercrime kommen. Nicht zuletzt dieser Trend führt dazu, dass Unternehmen, wenn sie in Training investieren, auf aufmerksame Mitarbeiter stoßen. Diese Anfangsneugier darf aber nicht mit langweiligem Frontalunterricht gebremst werden. Wer dagegen begeisternde Inhalte in verschiedenen Formaten liefert, der gewinnt den Hauptpreis: Security-sensibilisierte Mitarbeiter.

Knowbe4 Wieringa
Jelle Wieringa ist Security Awareness Advocate bei Knowbe4.

Über den Autor: Jelle Wieringa ist Security Awareness Advocate bei Knowbe4.

Lesen Sie auch: Coronavirus: Wie man sich im Homeoffice vor Phishing-Mails schützt

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Das Institut der deutschen Wirtschaft (IW) und der Bundesverband Digitale Wirtschaft (BVDW) e.V. haben erstmals gemeinsam den neuen „KI-Monitor“ veröffentlicht. Ergebnis: Die Wirtschaft ist der größte Treiber, aber die Rahmenbedingungen verschlechterten sich.
Werbung

Top Jobs

Data Visualization App/BI Developer (m/f/d)
Simon-Kucher & Partners, Germany/Bonn or Cologne
› weitere Top Jobs
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Apps, Portale, Software – Prozesse effizienter gestalten

Automatisierung

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.