Fünf Faktoren, die die Entwicklung von Security Awareness Trainingsprogrammen bestimmen

Sicherheitsbewusstsein

Elena Molchanova, Head of Security Awareness Marketing bei Kaspersky, erörtert, wie sich das Sicherheitsbewusstsein mit den heutigen Anforderungen und Risiken entwickelt.

Unter den zahlreichen Gründen, die Cybersicherheitsvorfälle verursachen, bleibt die unangemessene Nutzung von IT-Ressourcen durch Mitarbeiter eine Herausforderung für Unternehmen. Im Jahr 2019 war die Hälfte (52 % Unternehmen, 50 % KMU) der Unternehmen aus diesem Grund mit einer Datenschutzverletzung konfrontiert, wie in a Kaspersky-Umfrage unter IT-Entscheidern. Überraschenderweise erlebten Unternehmen dies fast so oft wie die Infektion ihrer Geräte mit Schadsoftware.

Dies zeigt, dass Unternehmen ihren Mitarbeitern erklären müssen, wie sie „gefährliche“ Situationen erkennen und sicherstellen müssen, dass sie wissen, wie sie angemessen reagieren können. Schulungsprogramme zur Sensibilisierung für Sicherheit sollen wichtige Cybersicherheitshygiene lehren.

Um sicherzustellen, dass Kurse die gewünschten Ergebnisse liefern, sollten sie den Anforderungen moderner Lernender und den aktuellen Trends in der betrieblichen Bildung entsprechen. Zahlreiche Faktoren haben zur Entwicklung des Sicherheitsbewusstseins beigetragen, sei es die Entwicklung neuer Technologien oder Veränderungen in der Unternehmenskultur. In diesem Artikel beschreiben wir fünf Trends, die bestimmen, wie Cybersicherheitsschulungen in Unternehmen aussehen werden.

Das Training enthält Tipps, wie Sie in Ihrer Freizeit online gehen können 


Unternehmen untersuchen seit langem die Möglichkeiten der Fernarbeit, und die Coronavirus-Pandemie hat dazu beigetragen, diesen Prozess zu beschleunigen. Einige Firmen haben beschlossen, den Mitarbeitern auch nach dem Ende der COVID-19-Sperrmaßnahmen die Möglichkeit zu geben, aus der Ferne zu arbeiten. Bald werden viele Menschen feststellen, dass ihre Wohnzimmercouch zu ihrem gemeinsamen Arbeitsplatz wird, anstatt ein Bürotisch und ein Stuhl. Dabei verschwimmen jedoch die Grenzen zwischen Arbeit und Privatleben. Beispielsweise sind sich Benutzer möglicherweise nicht so bewusst, wenn es darum geht, Arbeitsgeräte für private Aktivitäten zu verwenden und umgekehrt.

Diese Änderung wird sich zunächst in der Schulungsagenda widerspiegeln. Es wird notwendig werden, den Mitarbeitern Regeln für sicheres Verhalten im Allgemeinen beizubringen, nicht nur speziell am Arbeitsplatz. Außerdem sollten Sicherheitsbewusstseinskurse die Verwendung privater Geräte und Konten für Arbeitszwecke behandeln und erklären, wie persönliche und geschäftliche Ressourcen miteinander verbunden werden können.

Darüber hinaus kann diese Tendenz angewendet werden, um Mitarbeiter dazu zu bringen, sich die Grundlagen der Cybersicherheit anzueignen. Einige Unternehmen setzen Panikmache ein, um Mitarbeiter zum Lernen zu motivieren. Zum Beispiel warnen sie die Mitarbeiter, dass sie Boni verlieren oder sogar entlassen werden, wenn sie eine Datenschutzverletzung verursachen (tatsächlich 26 % Unternehmen und 24 % KMU taten dies). Leider funktioniert Angst nicht als langfristige Lösung, um Menschen effektiv zu motivieren. Es ist, als würde man eine Person, die nicht schwimmen kann, ins Wasser werfen – sie oder er erreicht vielleicht das Ufer, nachdem er sich angestrengt hat, aber es ist höchst unwahrscheinlich, dass er oder sie das Schwimmen lieben wird. Stattdessen kann ein Unternehmen einen Security-Awareness-Kurs als Gelegenheit nutzen, nützliche Informationen zu erhalten, die auch in der Freizeit der Mitarbeiter angewendet werden können. Beispielsweise wird eine Person, der gesagt wurde, wie sie Phishing-Versuche am Arbeitsplatz erkennen kann, weniger wahrscheinlich Kreditkartendaten eingeben, wenn sie eine E-Mail von Betrügern in ihrem persönlichen Postfach erhält. 

Die Kursdauer und die erforderlichen Cybersicherheitskompetenzen werden geregelt


Heutzutage machen es viele Regierungen und Branchenanforderungen erforderlich, dass Unternehmen Sicherheitsbewusstseinsschulungen durchführen. Die Krankenversicherungs-Portabilitäts- und Rechenschaftsgesetz (HIPAA) macht es Unternehmen zur Pflicht, „ein Sicherheitsbewusstseins- und Schulungsprogramm für alle Mitarbeiter (einschließlich des Managements) zu implementieren“. Und gem DSGVO, ist ein Datenschutzbeauftragter für die „Sensibilisierung und Schulung des an Verarbeitungsvorgängen beteiligten Personals“ zuständig. Nichtsdestotrotz erzwingen die meisten Regulierungsbehörden heute kein bestimmtes Kursformat oder eine bestimmte Dauer.

In der Praxis tun Unternehmen, was sie können, um diese Anforderungen zu erfüllen, und implementieren oft alle verfügbaren Schulungen, um zu sagen, dass sie konform sind, aber mit wenig Substanz. Die obigen Statistiken haben gezeigt, dass dieser Ansatz nicht die gewünschten Ergebnisse bringt. Deshalb glauben wir, dass die Vorschriften in Branchen, in denen Cyberangriffe geschäftskritischer sind, detaillierter und strenger werden. Beispielsweise kann es Anforderungen an die Mindestzeit für Sicherheitsschulungen oder formale Kompetenzmatrizen für Nicht-Sicherheitsfachkräfte geben. Wir gehen davon aus, dass die Unternehmen in diesem Fall ihre Herangehensweise an die Durchführung von Schulungen überdenken müssen. Und für die Mitarbeiter wird sich die Wahrnehmung von einer reinen Formsache hin zu einer gewinnbringenden und wertschätzenden Möglichkeit wandeln, um die für den Arbeitsmarkt erforderlichen Fähigkeiten zu erwerben.

Neue Cyberangriffsszenarien kommen, daher werden die Kurse aktualisiert


Cyberkriminelle entwickeln immer ausgefeiltere Methoden, um ihre Angriffe durchzuführen. Hier ein außergewöhnliches Beispiel: Im vergangenen Herbst deckten Forscher diese Betrüger auf als CEO ausgegeben eines deutschen Unternehmens, indem er deren Stimme per Deepfake nachahmte und einen Mitarbeiter zwang, 220,000 Euro zu überweisen. Nun rät das Security Awareness Training Mitarbeitern, die einen verdächtigen Brief erhalten haben, anzurufen und den Adressaten zu fragen, ob er dies wirklich verlangt hat. Aber leider hilft dieser Rat in diesem Fall nicht weiter.

Wir können nicht mit Sicherheit sagen, ob diese Art von Angriffen üblich sein werden, aber dieser Fall zeigt, dass die Trainingspläne für das Sicherheitsbewusstsein regelmäßig überprüft werden sollten. Zukünftige Grundkurse zur Cybersicherheit werden also Themen und Empfehlungen enthalten, die wir jetzt noch nicht einmal vorhersehen können.

Aber schon jetzt sollte ein effektives Training die Menschen nicht nur dazu bringen, sich an eine Reihe bestimmter Regeln zu erinnern, sondern auch Wachsamkeit und Fähigkeiten zur Mustererkennung entwickeln. Wenn Mitarbeiter also einer neuen Bedrohung ausgesetzt sind, können sie erkennen, dass etwas nicht stimmt, und die Regel auf diese spezifische Situation anwenden.

Corporate Education wird massiven offenen Online-Kursen ähneln


Wenn Sie während des Coronavirus-Lockdowns einen Online-Kurs besucht haben, sind Sie nicht allein – viele Online-Lernplattformen verzeichnete einen Anstieg der Anmeldungen. Und Lernen galt vor der Quarantäne als Freizeitbeschäftigung. Auch 2016 74 % der Erwachsenen in den USA nahmen daran teil an mindestens einer Bildungsmaßnahme, weil es für sie von persönlichem Interesse war. Dies verdeutlicht die Tendenz, dass Menschen sich auf lebenslanges Lernen einlassen wollen und sich nun auch nach dem Schul- oder Universitätsabschluss immer wieder neues Wissen aneignen.

Wie wird es sich insbesondere auf das betriebliche Lernen und die Entwicklung des Sicherheitsbewusstseins auswirken? Personen, die regelmäßig an Kursen teilnehmen und die unterschiedlichen Bildungsansätze sehen, haben wahrscheinlich spezifischere Anforderungen an betriebliche Schulungen. Wenn Online-Spanischkurse von einem mobilen Gerät aus angesehen werden können, wann immer der Benutzer es vorzieht, oder Online-Kurse zu Künstlicher Intelligenz oder Biostatistik schwierige Sachverhalte in einfachen Worten erklären können, warum sollte das Firmentraining nicht dasselbe sein? Um diese Anforderungen zu erfüllen, werden sich die Schulungen zur Sensibilisierung für Sicherheit sowohl in Bezug auf den Inhalt als auch auf die Form der Bereitstellung ändern.

Das Sicherheitsbewusstseinstraining wird stärker personalisiert


Die Menge der produzierten Informationen und verbraucht von Menschen wächst – diese Botschaft sind Sie sicher gewöhnt. Vielleicht sind Sie irritiert, dass ein Artikel Ihre Zeit verschwendet, da er Fakten wiederholt, die Sie bereits kennen. Und Mitarbeiter, denen Informationen beigebracht werden, die ihnen bereits vertraut sind – während es noch viele andere Dinge gibt, die sie lernen und sich merken müssen – fühlen sich möglicherweise genauso.

Daher wird das Sicherheitsbewusstseinstraining maßgeschneiderter. Diese Kurse berücksichtigen nicht nur die für eine Rolle relevanten und neuen Fähigkeiten und Regeln – eine gute Ausbildung sollte automatisch an den Wissensstand, das Lerntempo und die individuellen Lernpräferenzen eines Mitarbeiters angepasst werden. Dadurch wird sichergestellt, dass die Mitarbeiter nicht mit irrelevanten Informationen belastet werden und sich stattdessen mehr auf die Fähigkeiten konzentrieren können, die sie noch nicht haben.

Wir kommunizieren regelmäßig mit unseren Kunden und sehen, dass diese Trends bereits die Art und Weise verändern, wie Cybersicherheitsausbildung in Unternehmen organisiert wird. Dies ist ein langfristiger Prozess, und Änderungen in der Methodik geschehen nicht über Nacht. Daher empfehlen wir Lern- und Entwicklungsspezialisten, bereits jetzt darüber nachzudenken, was sie ändern können. Es lohnt sich zum Beispiel definitiv, Praktiken einzustellen, bei denen Mitarbeiter Angst vor möglichen Strafen haben, falls sie angebotene Schulungsprogramme nicht in Anspruch nehmen, und stattdessen die möglichen Vorteile hervorzuheben. Oder es wird höchste Zeit, sich daran zu erinnern, wann der Inhalt der Vorlesung zuletzt aktualisiert wurde. Diese kleinen Schritte werden die Cybersicherheits-Unternehmenskultur mit Hilfe von effektiven Security-Awareness-Trainings in Zukunft fördern.


Elena Moltschanowa

Elena Molchanova ist Head of Security Awareness Marketing bei Kaspersky.

Erzielen Sie Produktivitäts- und Effizienzsteigerungen durch Datenmanagement

Russ Kennedy • 04. Juli 2023

Unternehmensdaten sind seit vielen Jahren eng mit Hardware verknüpft, doch jetzt ist ein spannender Wandel im Gange, da die Ära der Hardware-Unternehmen vorbei ist. Mit fortschrittlichen Datendiensten, die über die Cloud verfügbar sind, können Unternehmen auf Investitionen in Hardware verzichten und das Infrastrukturmanagement zugunsten des Datenmanagements aufgeben.