KnowBe4, Anbieter einer Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, veröffentlicht die Ergebnisse einer Security Awareness-Training Umfrage, an der 178 Verbraucher aus Deutschland im Juni 2021 teilgenommen haben.
Viele Menschen wissen nicht, was Security Awareness bedeutet und infolgedessen können sie sich unter Security Awareness-Trainings nichts Konkretes vorstellen. Dabei ist Security Awareness heutzutage sehr wichtig und wird auch zukünftig ein wichtiges Thema bleiben. Laut dem Forum Verlag bedeutet Security Awareness die „Sensibiliserung von Mitarbeitern zu IT-Sicherheit, Cybersecurity und Datenschutz“. Häufig sind die Mitarbeiter das leichteste Einfallstor im Bereich Phishing und anderer Cyber Attacken, wie CEO Fraud etc. Die „human firewall“ spielt bei der Abwehr dieser Gefahren eine wichtige Rolle, denn sensibilisierte Mitarbeiter werden nicht auf E-Mails klicken, die ihnen verdächtig vorkommen. Um sie zu dieser Einstellung zu bewegen, werden Security Awareness-Trainings zumeist von externen Trainern angeboten. Laut dem Hiscox Report liefen in Deutschland die höchsten durchschnittlichen Kosten für Angriffe (24.000 Dollar) auf. Darüberhinaus gaben wir am meisten für Sicherheit aus (durchschnittlich 5,5 Mio. Dollar). Und wenn die Benutzer ungeschult und deshalb unsicher sind und ein Unternehmen nicht in Benutzerschulungen investiert, wird dies später zu größeren Problemen führen.
Hälfte der Teilnehmer wusste Antwort nicht
Die Ergebnisse der Umfrage zeigen auf, dass fast die Hälfte der Teilnehmer vor Beantwortung der Befragung nicht wussten, was Security Awareness-Trainings sind (47%). Ungefähr 29 Prozent haben vereinzelt bereits davon gehört und ca. 24 Prozent schon häufiger. Bei der Frage, um was es sich bei einem Security Awareness-Training handelt, wussten 54 Prozent, dass es sich um eine Schulung für mehr Sicherheit im Umgang mit gefährlichen E-Mails und Online-Gefahren handelt. 13 Prozent dachten, es handele sich um ein Training nur für angehende Führungskräfte. Circa zwei Prozent hielten das Training für eine Computerschulung und knapp 31 Prozent wussten nicht, was Security Awareness eigentlich bedeutet.
Bei der dritten Frage ging es um bisherige Erfahrungen mit Security Awareness-Trainings. Fast 64 Prozent hatten noch keine Berührung mit Security Awareness-Trainings, ungefähr 14 Prozent hatten schon mal das Angebot ihrer Firma, an einem Training teilzunehmen, nahmen jedoch das Angebot nicht wahr. Ungefähr vier Prozent sind selbst in dem Bereich als Trainer tätig.
Ebenfalls untersucht wurde, wie die Menschen sich ein Training im besten Falle vorstellen. Dabei gaben 49 Prozent an, das Training sollte abwechslungsreich sein, idealerweise angereichert mit Umfragen, Erklär-Videos, Feedbackrunden und Chat-Sessions. Knapp 48 Prozent beschreiben das Training als interaktives Training mit Rückfragen zu verschiedenen Einzelthemen. Fast 22 Prozent stellen sich ein Training als PowerPoint Präsentation in einen Klassenraum vor.
Außerdem wurde abgefragt, wie Security Awareness-Trainings angeboten werden. 57 Prozent antworteten, dass es speziell darauf ausgerichtete Dienstleister gibt. Weitere 25 Prozent denken, es gäbe unternehmensinterne Experten dafür. Wiederum fast 18 Prozent meinen, man fände dafür kostenlose Websites.
Knapp 12 Prozent waren der Meinung, kein Unternehmen profitiere von Security Awareness-Trainings, fast 20 Prozent meinten, nur spezielle Unternehmen würden Trainings benötigen. Die restlichen 69 Prozent gaben an, dass viele Unternehmen einen Benefit aus den Trainings ziehen.
47 Prozent waren der Meinung, es wäre heutzutage üblich, jedoch konnten fast 42 Prozent diese These nicht beurteilen. 12 Prozent stimmten der Aussage zu. 67 Prozent waren der Ansicht, dass die Trainings für alle Mitarbeiter eines Unternehmens sinnvoll sind. Fast 18 Prozent fanden, die Trainings eignen sich nur für IT-Experten und ungefähr 15 Prozent glaubten, diese eignen sich nur für Geschäftsführer.
Fazit
Zusammenfassend lässt sich sagen, dass Security Awareness und die dazu angebotenen Trainings noch weitgehend unbekannt sind und nur wenige sich darunter etwas Konkretes vorstellen können. Die Angriffe auf Unternehmen und Privatpersonen werden zudem immer raffinierter, Arbeitnehmer – gerade auch im Home Office – sind folglich laufend komplexer werdenden Manipulationstechniken wie Social Engineering ausgesetzt und reagieren möglicherweise unvorsichtig. Schulungen in diesem Bereich sind deshalb eine wichtige Maßnahme, um dieses Einfallstor zu schließen.
https://www.knowbe4.de/