Die Zahlen der durch fehlendes IT-Security-Know-how oder menschliches Fehlverhalten ermöglichten Cyberangriffe auf Unternehmen ist alarmierend. Um Security-Verstöße zu verringern und die Security Awareness in Unternehmen zu fördern, müssen entsprechende Strategien entworfen und Initiativen durchgeführt werden.
Seit die Corona-Pandemie Arbeitnehmende ins Homeoffice trieb, ist die Zahl der Cyberattacken explodiert. Daher müssen Unternehmen der Netzwerk-, Daten- und Cloud-Security die höchste Priorität einräumen. Allerdings ist eine der größten Schwachstellen immer noch der Mensch. Denn „die Kriminellen nutzen den ‚Faktor Mensch‘ als vermeintlich schwächstes Glied der Sicherheitskette aus, um etwa sensible Daten wie Passwörter zu erhalten“, besagt eine aktuelle Umfrage des Digitalverbandes Bitkom e.V.1 Deswegen ist die Förderung der Security Awareness und die Durchführung entsprechender Initiativen im Kampf gegen Cyberangriffe von entscheidender Bedeutung.
Von Datenfischern, Hackern und anderen Risikofaktoren
Mitarbeitende bleiben anfällig für Phishing, Smishing, Vishing und ähnliche Social Engineering-Angriffe, die darauf abzielen, vertrauliche Informationen, Passwörter oder Benutzerdaten abzugreifen. Zwar können Sicherheitstools dazu beitragen, diese Bedrohungen einzudämmen, doch können die Daten nur dann sicher bleiben, wenn alle Mitarbeiterinnen und Mitarbeiter lernen, Angriffe zu erkennen und entsprechend darauf zu reagieren. So müssen sie ständig über neue Arten von Bedrohungen auf dem Laufenden sein und können es sich nicht leisten, die bereits erlernten Vorsichtsmaßnahmen zu vergessen. Um das Bewusstsein für Risiken zu schärfen und eine Sicherheitskultur zu etablieren, bieten die meisten Unternehmen ihren Arbeitnehmenden entsprechende – oftmals sogar verpflichtende – Trainings an. Dennoch finden Angreifer ständig Wege, Sicherheitskontrollen zu umgehen, da „digitales Arbeiten, digitalisierte Prozesse, Vernetzung von Zulieferketten, Industrie 4.0 sowie Künstliche Intelligenz (KI) und Internet of Things (IoT) stetig neue Angriffsflächen“ bieten.2
Was erfolgreichen Security-Awareness-Programmen im Weg steht
Die Mammutaufgabe, Angriffsmethoden zu kennen und zu erkennen und darauf adäquat zu reagieren und somit Hackern keine Angriffsfläche zu bieten und ständig mit den aktuellen Bedrohungen vertraut zu sein, stellt Unternehmen und ihre Mitarbeitenden vor enorme Herausforderungen:
-
Der Tragödie erster Teil – nur ein singuläres Event: Viele Awareness-Inhalte sind schnell überholt. Obwohl viele Sicherheitsgrundsätze grundlegend sind, müssen Mitarbeitende auch über die neuesten Ereignisse und Technologien informiert bleiben. Um dies zu erreichen, sollten sie fortlaufend an flexible Trainings teilnehmen. Da jährliche Schulungen nicht ausreichen, müssen Unternehmen das Wissen ihrer Mitarbeiterinnen und Mitarbeiter durch kontinuierliche Weiterbildung auf dem neuesten Stand halten. Cyberkriminelle warten nicht, bevor Mitarbeitende über alle Risiken informiert sind. Daher sollten auch Security-Trainings nicht auf sich warten lassen.
-
Der Tragödie zweiter Teil − Sisyphusarbeit für Administratoren: Programme zur Förderung der Security Awareness können für Administratoren eine Menge zusätzliche Arbeit bedeuten. Denn sie sind oftmals für die Auswahl und Zuweisung von Kursen sowie die Nachbereitung verantwortlich. In einigen Fällen ist es zugleich die Aufgabe des Administrators Inhalte aufzubereiten − ein äußerst zeitintensiver Prozess. Infolgedessen sind Administratoren durch den manuellen Betriebsprozess eines Sicherheitstrainingstools häufig überfordert. Um dem entgegenzuwirken, können Unternehmen mit Anbietern von Security-Awareness-Programmen kooperieren, die die Erstellung, Zuweisung und Bereitstellung fortlaufender Sicherheitstrainings übernehmen. Dies gibt den Administratoren nicht nur die Möglichkeit, sich auf ihre eigentlichen Aufgaben zu konzentrieren, sondern stellt auch sicher, dass die Inhalte auf dem neuesten Stand sind.
-
Aller schlechten Dinge sind drei – fehlende Integration in den Arbeitsalltag: Sind Security-Trainings so konzipiert, dass sie einen hohen Zeitaufwand benötigen oder eher unattraktiv gestaltet sind, schwindet deren Akzeptanz unter den Mitarbeitenden. Und: Je schwieriger der Zugang zu Lektionen ist, desto geringer ist die Wahrscheinlichkeit, dass die Nutzer diese abschließen. Bei Programmen, die ein kontinuierliches Lernen erfordern, müssen sich Mitarbeitende mehrmals im Monat anmelden, um ihre Trainings zu absolvieren. Zusätzliche Reibungsverluste entstehen, wenn bestimmte Zeiten für Trainings vorgegeben sind. Um die freiwillige Programmteilnahme der Mitarbeiterinnen und Mitarbeiter zu begünstigen, sollten Trainings und deren Inhalte so komfortabel wie möglich aufbereitet werden. Sie sollten sich leicht in die tägliche Routine der Mitarbeitenden integrieren lassen und lediglich kurze Lerneinheiten beinhalten, die stets dieselbe Dauer in Anspruch nehmen, so dass gegen die Teilnahme an ihnen kein Widerstand unter der Belegschaft entsteht.
-
Vier Herausforderungen und ein Ernstfall – repetitive Inhalte: Viele Security-Awareness-Programme bedienen sich wiederholender Inhalte, die uninteressant aufbereitet sind oder versuchen, zu viele Informationen in einer Einheit abzudecken. Wenn Mitarbeitende die Trainings als überflüssig erachten, kann es sein, dass sie nicht genau zuhören oder die Teilnahme gänzlich vermeiden möchten.Dagegen helfen gut ausgearbeitete Lerneinheiten, die relevante und spannend aufbereitete Inhalte bieten. Schulungstechniken wie Interaktivität, Gamification und Einsatz von Videos ermöglichen den ansprechenden Transport von Inhalten. Mitarbeitende sollten nicht gezwungen sein, bereits erfolgreich absolvierte Lerneinheiten nach einer bestimmten Zeit zu wiederholen, sondern sollten an neuen Content herangeführt werden, der auf früherem Material aufbaut und neue Perspektiven bietet.
-
Fünf vor zwölf − Erinnerungslücken: Laut der Ebbinghaus‘schen Vergessenskurve ist die Effizienz des menschlichen Gedächtnisses eher von begrenzter Natur. So bleiben nach sechs Tagen lediglich 23 Prozent neuer Lerninhalte im Gedächtnis haften; auf lange Sicht sind es sogar nur 15 Prozent.3 Ein jährlich angebotener Security-Awareness-Kurs bedeutet, dass die Mitarbeitenden schlicht vergessen, was sie Monate zuvor gelernt haben. Fortlaufende Trainings unterstützen Mitarbeitende hingegen dabei, erlerntes Security-Wissen beizubehalten. Unternehmen sollten daher stetig Microlearning-Angebote zur Verfügung stellen, die Inhalte strategisch in ansprechende Lektionen von ca. drei Minuten unterteilen. Die Auffrischung des Gedächtnisses der Mitarbeitenden ist der Schlüssel zum Erinnern an gelernte Inhalte. Da beim Microlearning die Lektionen kurz sind, ist der Inhalt zudem extrem fokussiert und konzentriert sich auf ein Schlüsselkonzept.
-
Setzen, sechs! – Ergebnisorientierung fehlt: Trainings allein helfen nicht umfassend vor Compliance- und Sicherheitsverstößen. Security-Awareness-Bemühungen sollten anhand der messbaren Verringerung von Sicherheitsverletzungen und Schäden beurteilt werden, zumal entsprechende Trainings kostenintensiv sind. Nur wenn die Programme ergebnisorientiert sind, entwickelt sich im Unternehmen wie auch unter deren Belegschaft eine Sicherheitskultur und rechtfertigen so die erheblichen Kosten. Entsprechende Trainings sollten dazu beitragen, dass alle Mitarbeitenden teilnehmen, lernen, sich erinnern und das Gelernte routinemäßig anwenden.
Fazit: Security-Bewusstsein, -Tools und -Analysen – der Dreiklang der Cybersecurity
Die vermehrten Meldungen von Cyberangriffen der vergangenen zwei Jahre haben Unternehmen bewusst gemacht, dass die Gefahr von Cyberkriminellen ins Visier genommen zu werden, auch sie betrifft. Der Einsatz von Security-Tools sowie umfassende Analysen verringern das Risiko, Cyberangriffen zum Opfer zu fallen. Aber die Angriffsfläche, die unachtsame oder ahnungslose Mitarbeiterinnen und Mitarbeiter bieten, kann nur durch gezielte und gut ausgearbeitete