Erfolgreiche Cyberangriffe sind das dominierende Geschäftsrisiko dieses Jahres. Teils sind mangelnde technologische Schutzmaßnahmen der Grund dafür, teils aber auch menschliches Fehlverhalten.
So ging mehr als ein Drittel (37 Prozent) der Cybersicherheitsvorfälle zwischen 2021 und 2023 bei in Deutschland beheimateten Unternehmen auf Fehlverhalten durch Mitarbeiter zurück, während beispielsweise Hacker lediglich 27 Prozent ausmachten.
Unternehmen müssen daher sicherstellen, dass sie ihre Mitarbeiter dafür sensibilisieren, wie anfällig diese wirklich für die Methoden und Taktiken von Cyberkriminellen sein können. Ein probates Mittel dafür sind Security-Awareness-Schulungen für die gesamte Belegschaft. Darin lernen Mitarbeiter unter anderem, welche Cybersicherheitsbedrohungen für das Unternehmen bestehen, wie sie potenzielle Gefahren, wie beispielsweise Phishing oder Malware, frühzeitig erkennen und entsprechende Maßnahmen ergreifen können, um Datenverluste und Sicherheitslücken zu vermeiden. Ein wichtiger Punkt ist zudem, dass Mitarbeiter wissen, wen im Unternehmen sie gegebenenfalls schnellstmöglich über Sicherheitsvorfälle informieren sollten, denn im Falle eines Angriffs ist Zeit ein entscheidender Faktor.
One Size does not fit all – Individuelle Schulungen sind erfolgreicher
Solche Schulungen müssen für jeden Mitarbeiter – unabhängig von dessen Position – durchgeführt werden, angefangen vom Empfangsmitarbeiter bis hin zur Geschäftsleitung. Dabei sollten die Schulungen individuell auf die Rollen der einzelnen Mitarbeiter und deren Aufgabenbereiche sowie Kompetenzen zugeschnitten sein.
Worauf sollten Unternehmen bei der Auswahl eines Trainings genau achten? Individualität und Anpassbarkeit sind hier die Stichworte. Denn eine adaptive Lernmethodik ermöglicht es Unternehmen, unbewusste Wissenslücken innerhalb ihres Personals zu erkennen und diese aktiv zu schließen – ohne die Mitarbeiter mit unnötiger Theorie zu überfordern. Individuell zugeschnittene Trainings sind auch deshalb erfolgreicher, weil sie direkt auf die beruflichen Anforderungen der Teilnehmenden abgestimmt sind und lediglich hierfür relevante Inhalte vermitteln. Durch den Einsatz intelligenter Algorithmen können durch gezielte Fragen der Kenntnisstand von Nutzern sowie deren Vertrauen in das erworbene Wissen ermittelt und die Trainingsinhalte entsprechend angepasst werden. Je nach Kenntnisstand ist es möglich, einzelne Inhalte zu überspringen oder Themen zu vertiefen. Die Schulungszeiten lassen sich somit sinnvoller nutzen.
Entsprechende Lerninhalte sollten in etwa folgende Module umfassen:
- Passwörter
- E-Mail-Sicherheit
- Web-Browsing
- Soziale Netzwerke und Messenger-Dienste
- Endgerätesicherheit
- DSGVO-Themen und andere relevante und neue Regularien
Dabei sollten die Themen generell in kleineren Häppchen, in sogenannten Mikro-Lerneinheiten, abgearbeitet werden, um die Aufmerksamkeitsspanne bei den Mitarbeitern hochzuhalten und die Schulung realistisch in den normalen Arbeitsalltag integrieren zu können.
Datenschutz geht vor! Auch bei Schulungen
Unternehmen sehen sich heute mit einer Vielzahl an Regularien und Compliance-Vorgaben konfrontiert. Daher sollten sie frei entscheiden können, ob sie ein Training über die Cloud oder on-premises nutzen wollen. So ist zum Beispiel Kaspersky Automated Security Awareness Platform auch als On-premises-Lösung für Unternehmen verfügbar, damit auch Unternehmen mit strengen Sicherheitsrichtlinien diese Art der Trainingsplattform nutzen können. Ein entsprechendes On-premises-Modell unterstützt insbesondere Unternehmen sicherheitssensibler Branchen wie Finanzen, Fertigung, Gesundheit und Behörden dabei, die Cybersicherheitskompetenz ihrer Mitarbeiter weiter auszubauen und die Vorgaben der EU-weiten NIS-2-Richtlinie einzuhalten.
Was sagen die Mitarbeiter zu solchen Schulungen?
Viele Mitarbeiter zeigen sich höchst interessiert an Security Awareness-Trainings. So zeigte kürzlich eine Kaspersky-Umfrage zum Thema Spam und Phishing, dass die Hälfte der Befragten (48 Prozent) in Deutschland zwar darauf vertraut, dass Sicherheitslösungen eingehende Phishing- und Spam-Mails automatisch löschen, allerdings ist der Wunsch nach Schulungen, die zeigen, wie man Phishing erkennt und sich davor schützt, weit verbreitet. Etwa 48 Prozent der Befragten wünscht sich mehr Schulungsangebote, allerdings haben 61 Prozent in den vergangenen zwölf Monaten keine solche Schulungen erhalten. Dies weist auf einen deutlichen Nachholbedarf seitens der Arbeitgeber hin.
Security Awareness als fortlaufender Prozess
Security Awareness ist keine einmalige Maßnahme, sondern muss als kontinuierlicher Prozess verstanden werden. Zum einen, weil Gelerntes bei Nicht-Anwendung in Vergessenheit gerät, und zum anderen, weil sich die Methoden und Taktiken der Cyberkriminellen stetig weiterentwickeln. Unternehmen sollten daher ihre Mitarbeiter regelmäßig schulen und Gelerntes von Zeit zu Zeit überprüfen – beispielsweise in Form von Phishing-Simulationen. Denn nur so bleibt das Sicherheitsbewusstsein der Mitarbeiter und damit auch das Sicherheitslevel von Unternehmen auf einem stetig hohen Niveau, um vor den zunehmenden Gefahren durch Cyberangriffe und Kompromittierungen geschützt zu sein.
Sören Kohls, Head of Channel Germany bei Kaspersky