Security Awareness: Herausforderungen, Tipps und Trainings für eine Kultur der Sicherheit

Security Awareness
Security Awareness - Gorodenkoff/Shutterstock.com
Picture of Thomas Kress
Thomas Kress

Founder and CEO

Bereits 2019 wurde jedes 4. Unternehmen Opfer einer Phishing-Attacke. Die Besonderheit: Sie basieren nicht auf Bugs und Exploits, sondern dem schwächsten Glied jeder IT-Infrastruktur: dem Endnutzer. Wie können Unternehmen ein Bewusstsein für die IT-Sicherheit schaffen und sich vor der wachsenden Zahl von Cyberangriffen schützen? Wir erklären, wie Security Awareness zu einem Teil der Unternehmenskultur wird!

Inhalt

IT-Security: Schwachstelle Mensch

Jede IT-Sicherheit ist nur so gut wie die Menschen, die sich innerhalb der IT-Infrastruktur bewegen. Laut einer Studie von Kaspersky ist menschliches Fehlverhalten für 39 Prozent aller kritischen Sicherheitsvorfälle verantwortlich. Dieses Fehlverhalten steht aber nicht im luftleeren Raum: Systematische Wissensvermittlung findet in der deutschen KMU nur selten statt. Laut einer Umfrage des WIK ist die Internetrecherche das wichtigste Werkzeug, um sich zum Thema IT-Sicherheit zu informieren. Auf der anderen Seite fehlen häufig klare Richtlinien, die den Umgang mit der digitalen Infrastruktur verbindlich und transparent für alle Mitarbeiter regeln. In kleineren KMU verfügen nur zwischen 20 und 30 Prozent über Regeln für IT-Sicherheit, die private Nutzung von PCs und anderer Hardware und die Beschaffung mobiler Endgeräte.

Security Awareness Schritt für Schritt systematisch trainieren

Richtlinien und Handlungsempfehlungen bilden nur einen Handlungsrahmen für die Akteure innerhalb der Organisation. Ihre Wirksamkeit hängt davon ab, inwieweit sie von der Belegschaft wirklich umgesetzt und gelebt werden. Erfolgreiche IT-Sicherheit ist daher immer auch eine Frage der Unternehmenskultur. Mit diesen 5 Tipps schaffen Unternehmen mehr Awareness für Sicherheitsfragen innerhalb der Belegschaft:

  • Stakeholder einbeziehen: Regeln werden von den umsetzenden Mitarbeitern getragen und leben von einer breiten Akzeptanz quer durch die Belegschaft. Bei der Planung von Security Awareness Kampagnen sollten daher alle wichtigen Stakeholder einbezogen werden, um wirksame Maßnahmen zu erarbeiten, die alle betroffenen Abteilungen und Mitarbeiter erreichen.
  • Gemeinsame Sprache entwickeln: Eine der größten Herausforderungen für die Schaffung von Cyber-Security Awareness ist daher das Entwickeln einer gemeinsamen Sprache, die von allen Akteuren verstanden wird, Verständnis für technische Zusammenhänge variiert quer durch das Unternehmen deutlich. Konkrete Beispiele aus der Praxis helfen den Mitarbeitern, einen Bezug der abstrakten IT-Realität zum eigenen Arbeitsalltag herzustellen
  • Vorteilskommunikation priorisieren: Sicherheit hat ein Imageproblem und wird von vielen im Wesentlichen als ein lästiges Hindernis gesehen, das man während seiner täglichen Arbeit überwinden muss. Gute Security-Kommunikation stellt die Vorteile sicherer Infrastrukturen in den Vordergrund und bietet klare, leicht umsetzbare Handlungsempfehlungen statt abstrakter Verbote.
  • Maßgeschneiderte Schulungen anbieten: Nicht jeder Mitarbeiter hat dieselben Berechtigungen und ist im selben Umfang in die digitale Infrastruktur eingebunden. Durch segmentierte Awareness-Kampagnen und Schulungen reduzieren Sie den Aufwand auf ein Minimum und stellen sicher, dass die entscheidenden Informationen bei den richtigen Personen ankommen.
  • Simulationen und Pen-Tests durchführen: IT-Security ist für einfache Anwender abstrakt und Sicherheitsrichtlinien scheinen ihnen häufig übertrieben. Weil die IT-Security weitgehend funktioniert, schätzen Mitarbeiter die Gefahrendimension zu niedrig ein und werden in ihrem Handeln nachlässig. Regelmäßige Penetrationstests machen die Gefahren real und schaffen ein Problembewusstsein bei den betroffenen Mitarbeitern. Gleichzeitig bieten Sie die Möglichkeit, die Wirksamkeit von Awareness Kampagnen und Trainings zu verifizieren.

Security Awareness Trainings: Bewusstsein schaffen & Wissenslücken schließen

Cyberkriminalität schläft nicht und die Angriffsmethoden entwickeln sich jedes Jahr weiter und auch eigentliche bekannte. Aber nur 1 von 5 Unternehmen setzt auf Security Awareness Trainings, um Angriffstechniken ins Bewusstsein der Mitarbeiter zu rufen und ihren Blick für verdächtige Ereignisse zu schärfen.

Mit den Security Awareness Trainings von Proof Points schaffen Sie ein Bewusstsein für die Sicherheitsrisken ihrer Organisation und vermitteln die nötigen Kompetenzen für einen sicheren Umgang mit der digitalen Infrastruktur. und adressieren neue Angriffsmuster. Kleine Schulungseinheiten zu diesen 5 Themen ergänzen Unternehmen zu einem maßgeschneiderten Schulungsprogramm, das Mitarbeiter optimal auf die Herausforderungen von Morgen vorbereitet:

  • E-Mail-Phishing: In jedem Unternehmen gehen jeden Tag unzählige E-Mails ein und jede von ihnen ist ein potenzielles Einfallstor für Ransomware und andere Schadsoftware oder Phishing-Attacken. Durch gefälschte E-Mails mit fingierten Absendern versuchen sie, eine fremde Identität vorzutäuschen und das Opfer zur Preisgabe sensibler Daten zu bewegen. Unsere Schulungsmodule klären über die Gefahren von E-Mails und Anhängen auf, sensibilisieren und schaffen Souveränität im Umgang mit verdächtigen Nachrichten.
  • Kennwortschutz: Passwörter öffnen das Tor zu digitalen Systemen – und trotzdem ist der durchschnittliche Nutzer nachlässig in Bezug auf Passwortsicherheit. Gleichzeitig können Cyberkriminelle immer schneller auch lange Passwörter automatisiert erraten. Moderne Zugangssysteme setzen daher auf Mehrfaktor-Authentifizierung. Trotzdem ist sicherer Kennwortschutz kein Selbstläufer. Mit unseren Modulen schaffen wir ein Problembewusstsein und vermitteln das Handwerkszeug, um (mobile) Endgeräte effektiv zu schützen.
  • Bedrohung durch Insider: Die Zahl der durch Insider verursachten Sicherheitsvorfälle steigt und jeder Vorfall kostet das betroffene Unternehmen im Durchschnitt mehr als 600.000 Euro. Gleichzeitig wird die Gefahr häufig unterschätzt. Unsere Schulungsmodule bieten einen systematischen Überblick über die Gefahren durch Insider und erklären, wie Organisationen sich schützen können.
  • Personen zentrierte Sicherheit: Der moderne Mitarbeiter ist mobil und sein Arbeitsplatz hybrid – und daraus ergeben sich vielfältige Angriffspunkte. Vom Smartphone über die Nutzung sozialer Netzwerker und das Surfen im WWW bis zur physischen Sicherheit und Sicherheit für Führungskräfte. Mit unseren Seminaren vermitteln wir Mitarbeitern konkrete Kenntnisse zu den dringendsten Gefahren und schaffen ein Bewusstsein für sicheres Verhalten am Arbeitsplatz.
  • Datenschutz: Die DSGVO hat dem Umgang mit personenbezogenen Daten im Unternehmen klare Grenzen gesetzt. Richtig verinnerlicht und umgesetzt bieten die neuen Regelungen aber auch eine Chance. Sie schaffen Klarheit, wo vorher oft Unsicherheit und Angst vor Verstöße vorherrscht. Unsere Schulungen bieten einen einfachen, praxisbezogenen Einstieg in die DSGVO für Unternehmen und vermittelt konkrete Handlungsempfehlungen für Mitarbeiter im Kontakt mit personenbezogenen Daten.

Fazit: Awareness schaffen und Unternehmen nachhaltig schützen

Immer mehr Unternehmen werden Opfer von Cyberangriffen und häufig steht ein unachtsamer Mitarbeiter am Anfang der Ursachenkette. Der effektive Schutz vor Angriffen fängt bei der Belegschaft an. Vor dem Hintergrund einer wachsenden Zahl von Endpunkten und Nutzern können Unternehmen sich nicht auf eine technische Basiskompetenz ihrer Mitarbeiter verlassen. Erst du systematische Security Awareness Trainings schaffen sie Problembewusstsein und Handlungskompetenzen, um den Gefahren der Cyberkriminalität souverän zu begegnen.

Sie wollen Ihr Unternehmen effektiv vor Cyberangriffen schützen? Machen Sie ihre Mitarbeiter fit für die Cyberattacken von Morgen und schließen Sie Sicherheitslücken, bevor sie zum Problem werden!

Computer-Sicherheit

SaaS-Sicherheit

SaaS-Sicherheit verstehen Da sich viele Unternehmen auf SaaS-Umgebungen verlassen, ist die SaaS-Sicherheit von entscheidender Bedeutung. SaaS-Umgebungen wie Google Workspace und Microsoft 365 sind in Unternehmen

Weiterlesen »

Im Notfall ist es zu spät – Sie müssen sofort handeln

Blog abonieren

Sicherheit im Digitalzeitalter

Sicherheit im Digitalzeitalter: Die entscheidende Rolle der Geschäftsführung bei der Absicherung von Informationstechnologien Inhalt In einer Zeit, in der die Digitalisierung in allen Lebensbereichen voranschreitet,

Weiterlesen »

Zu den Blogartikeln

Hier finden Sie noch viele weiter spannende Blogartikel.

Egal ob Notfall oder nicht Ihre Systeme müssen sicher sein