Definition

Im Großen und Ganzen geht es bei einem Security Awareness Training darum, dass jede/r Einzelne bestimmte Praktiken versteht und befolgt, um die Sicherheit einer Organisation zu gewährleisten. So gesehen gibt es diese Schulungen schon seit langer Zeit, insbesondere wenn man an die Notwendigkeit der Sicherheit beim Militär denkt.

Heute geht es bei den Schulungen jedoch vor allem um Informationssicherheit und insbesondere um Cybersicherheit. Schnelle Fortschritte in der Informationstechnologie kombiniert mit Innovationen von Cyberkriminellen führen dazu, dass Angestellte und andere Endnutzer regelmäßig spezifische Schulungen benötigen. Diese sollen verhindern, dass sie einem Angriff zum Opfer fallen und sicherstellen, dass ihre persönlichen Informationen sowie die ihrer Arbeitgeber zu jeder Zeit geschützt sind.

Dieser Artikel ist eine Einführung zu Security Awareness Trainings: Wir besprechen, warum Organisationen die Schulungen einsetzen, wie sie sich im Laufe der Jahre entwickelt haben und wie sie dazu beitragen, die Bedrohung durch Cyberangriffe und andere Sicherheitsverletzungen zu verringern. Abschließend stellen wir einige Tools für ein wirksames Security Awareness Training vor.

Warum Führen Organisationen Security Awareness Trainings Durch?

Die Schulung des Sicherheitsbewusstseins ist wichtig, um ernsthafte Bedrohungen der Cybersicherheit zu minimieren, die den Endnutzern durch Phishing-Angriffe und Social Engineering drohen. Typische Schulungsthemen sind Passwortverwaltung, Datenschutz, E-Mail-/Phishing-Sicherheit, Web/Internet-Sicherheit sowie physische Sicherheit und Sicherheit im Büro.

Wie im Bericht der Aberdeen-Gruppe mit dem Titel "Security Awareness Training: Small Investment, Large Reduction in Risk“ dargestellt wird, gibt es darüber hinaus auch wirtschaftliche Argumente für die Schulungen. Die Forscher führten einen Workshop mit führenden Vertretern der Unternehmenssicherheit durch, um herauszufinden, warum sie in Security Awareness und Schulungen investieren. Das fanden sie heraus:

  • 91% möchten das mit dem Benutzerverhalten verbundene Cyber-Sicherheitsrisiko reduzieren.
  • 64% möchten das Benutzerverhalten ändern.
  • 61% führen Schulungen durch, um regulatorische Anforderungen zu erfüllen.
  • 55% führen Schulungen durch, um interne Richtlinien einzuhalten.

why conduct security awareness training

Wie aus diesen Statistiken hervorgeht, setzen einige Organisationen Security Awareness Trainings einfach deshalb ein, weil sie dies tun müssen, um interne oder externe Anforderungen zu erfüllen. Aber diese Schulungen sind dem Bericht zufolge auch finanziell sinnvoll: „Im Durchschnitt reduziert eine inkrementelle Investition in Security Awareness Trainings das jährliche Risiko von Phishing-Angriffen um etwa 50 % und steigert die jährliche Rendite um etwa das Fünffache.“

Die Entwicklung Von Security Awareness Trainings

Obwohl die Kernkonzepte der Schulungen nicht neu sind, hat das Thema erst vor kurzem das Bewusstsein der breiten Öffentlichkeit erreicht. Entschieden dazu beigetragen hat die Einführung des „National Cyber Security Awareness Month“ im Jahr 2004 in den USA. Die Initiative, die von der National Cyber Security Alliance und dem US-Heimatschutzministerium ins Leben gerufen wurde, sollte den Menschen helfen, online sicher und geschützt zu bleiben, indem gute Praktiken (wie die regelmäßige Aktualisierung von Antiviren-Software) angeregt wurden.

evolution of security awareness training

Seitdem hat der jährlich stattfindende Monat der Cybersicherheit ähnliche Veranstaltungen in anderen Ländern inspiriert, seine Themen und Inhalte ausgeweitet und zu einer verstärkten Beteiligung von Industrie und Regierung, Universitäten, gemeinnützigen Organisationen und der allgemeinen Öffentlichkeit geführt.

Der Schwerpunkt, die Methoden und die Wirksamkeit von Security Awareness Trainings haben sich im Laufe der Jahre erheblich verändert. Im Jahr 2004 waren die meisten Programme noch von der Notwendigkeit bestimmt, gewisse Vorschriften einzuhalten, d. h. es ging einfach nur darum, gesetzliche Anforderungen zu erfüllen. Heute werden die Schulungen zur Steigerung des Sicherheitsbewusstseins verstärkt als ein Mittel gesehen, um organisatorische Risiken zu identifizieren und zu mindern.

Auch die Schulungsmethoden selbst sind im Laufe der Zeit gereift. Im Jahr 2004 war das vorherrschende Paradigma die jährliche Präsentation, entweder als Präsenzveranstaltung oder als computergestützte Langzeitschulung. Leider führen diese langen, seltenen Sitzungen nicht dazu, dass sich das Wissen im Gedächtnis verankert. Eine allmähliche Verlagerung hin zu kurzen, fokussierten Schulungen zu einzelnen Themen stellte eine Verbesserung dar, aber auch diese Schulungen fanden zu unregelmäßig statt, sodass sich das Wissen mit der Zeit verflüchtigte.

Seit etwa 2014 finden Security Awareness Trainings mehr und mehr als kontinuierliche Schulung statt. Fortlaufende Zyklen aus Tests und Schulungen bestimmen hierbei die Programme. Zu den jüngsten Entwicklungen gehören „Just-in-time“- und kontextbezogene Schulungen, die die Möglichkeit bieten, auf ein schlechtes Cyber-Sicherheitsverhalten des Endnutzers, wie z. B. unsicheres Surfen im Internet, zu reagieren.

Tools Für Die Schulung Von Endnutzern

Wie aus unserem State-of-the-Phish™-Bericht 2019 hervorgeht, verwenden die Infosec-Fachleute heute eine Vielzahl von Tools zur Schulung von Endnutzern. Das vorherrschende Tool – und eines der beliebtesten – ist die computergestützte Bewusstseinsschulung.

  • 79% nutzen computergestützte Bewusstseinsschulung
  • 68% nutzen Phishing-Simulationsübungen
  • 46% nutzen Sensibilisierungskampagnen (Videos und Poster)
  • 45% nutzen persönliches Security Awareness Training
  • 38% nutzen monatliche Benachrichtigungen oder Newsletter

Gut konzipierte Schulungsprogramme kombinieren mehrere dieser Instrumente. Zudem ist es wichtig, dass die Tools systematisch und methodisch so eingesetzt werden, dass der Fortschritt verfolgt und gemessen werden kann.

Unsere hocheffektiven Schulungslösungen basieren auf unserem Ansatz der kontinuierlichen Schulung und bewährten wissenschaftlich bestätigten Lernprinzipien , die die Lernenden einbeziehen.

Tools for Training End Users

Die Effektivität der von uns eingesetzten Lernprinzipien wurde durch Forschungsarbeiten der Carnegie Mellon University bestätigt.

Wie Effektiv Sind Security Awareness Trainings?

Unsere eigenen Fallstudien und Momentaufnahmen zeigen überzeugende Ergebnisse:

95%

Über einen Zeitraum von zwei Jahren verzeichnete ein Finanzinstitut einen 95-prozentigen Rückgang von Malware und Viren sowie ein größeres Bewusstsein für Bedrohungen der Cybersicherheit.

90%

Eine Hochschule im Nordosten der USA berichtete über einen deutlichen Rückgang von Malware und Viren, eine 90-prozentige Verringerung erfolgreicher Phishing-Angriffe, deutlich weniger Support-Anfragen, ein größeres Bewusstsein für Sicherheitsfragen und mehr Benutzer, die Vorfälle und Angriffe melden

89%

Eine gemeinnützige Organisation konnte die Phishing-Anfälligkeit um mehr als 89% reduzieren, nachdem sie unsere Test- und Schulungsmodule zu Kernkomponenten ihres Schulungsprogramms gemacht hatte.

80%

Die Schulung des Sicherheitsbewusstseins half den Mitarbeitern der Stadtverwaltung, die durchschnittliche Klickrate innerhalb eines Jahres um 80% zu senken und einen raffinierten Überweisungsbetrug zu vermeiden.

Schulungsprogramm Für Ein Erhöhtes Sicherheitsbewusstsein

Wir bieten eine vollständige Palette von Produkten für Ihr Schulungsprogramm zur Steigerung des Sicherheitsbewusstseins: von Wissensbewertungen und Phishing-Simulationen bis hin zu interaktiven Schulungen, leistungsstarken Berichten und benutzerfreundlichen Dashboards.

Anti-Phishing Training Suite

Anti-Phishing Training Suite

Unsere Kunden konnten mit unserem Schulungsprogramm für Phishing-Schutz und unserem Ansatz der kontinuierlichen Schulung erfolgreiche Phishing-Angriffe und Malware-Infektionen um bis zu 90% reduzieren. Machen auch Sie unseren einzigartigen kontinuierlichen Zyklus aus Tests, Schulungen, Festigung und Auswertung zur Grundlage Ihres Schulungsprogramms für Phishing-Schutz.

Simulated Phishing Attacks

Simulated Phishing Attacks

Quickly and effectively assess how susceptible your employees are to phishing and spear phishing attacks with our ThreatSim® Phishing Simulations. End users who fall for simulated phishing attacks are automatically presented with a Teachable Moment. This “just-in-time” guidance lets users know what they did wrong and offers tips to help them avoid future threats.

Security Awareness Training

Security Awareness Training

We recommend that your security awareness training program include organization-wide phishing education as well as targeted anti-phishing training. Our unique approach andinteractive training modules help you deliver effective cybersecurity education in a flexible, on-demand format that minimizes disruption to daily work routines.

PhishAlarm Email Reporting Tool

PhishAlarm Email Reporting Tool

Reinforcing best practices is critical to improving retention. Our PhishAlarm® email reporting tool enables end users to report a suspected phishing email with a single mouse click, reinforcing positive behaviors. Our optional PhishAlarm Analyzer email prioritization tool maximizes PhishAlarm’s capabilities and streamlines response and remediation efforts on reported emails.