Definition

Im Großen und Ganzen geht es bei einem Security Awareness Training darum, dass jede/r Einzelne bestimmte Praktiken versteht und befolgt, um die Sicherheit einer Organisation zu gewährleisten. So gesehen gibt es diese Schulungen schon seit langer Zeit, insbesondere wenn man an die Notwendigkeit der Sicherheit beim Militär denkt.

Heute geht es bei den Schulungen jedoch vor allem um Informationssicherheit und insbesondere um Cybersicherheit. Schnelle Fortschritte in der Informationstechnologie kombiniert mit Innovationen von Cyberkriminellen führen dazu, dass Angestellte und andere Endnutzer regelmäßig spezifische Schulungen benötigen. Diese sollen verhindern, dass sie einem Angriff zum Opfer fallen und sicherstellen, dass ihre persönlichen Informationen sowie die ihrer Arbeitgeber zu jeder Zeit geschützt sind.

Dieser Artikel ist eine Einführung zu Security Awareness Trainings: Wir besprechen, warum Organisationen die Schulungen einsetzen, wie sie sich im Laufe der Jahre entwickelt haben und wie sie dazu beitragen, die Bedrohung durch Cyberangriffe und andere Sicherheitsverletzungen zu verringern. Abschließend stellen wir einige Tools für ein wirksames Security Awareness Training vor.

Warum führen Organisationen Security Awareness Trainings durch?

Die Schulung des Sicherheitsbewusstseins ist wichtig, um ernsthafte Bedrohungen der Cybersicherheit zu minimieren, die den Endnutzern durch Phishing-Angriffe und Social Engineering drohen. Typische Schulungsthemen sind Passwortverwaltung, Datenschutz, E-Mail-/Phishing-Sicherheit, Web/Internet-Sicherheit sowie physische Sicherheit und Sicherheit im Büro.

Wie im Bericht der Aberdeen-Gruppe mit dem Titel „Security Awareness Training: Small Investment, Large Reduction in Risk“ dargestellt wird, gibt es darüber hinaus auch wirtschaftliche Argumente für die Schulungen. Die Forscher führten einen Workshop mit führenden Vertretern der Unternehmenssicherheit durch, um herauszufinden, warum sie in Security Awareness und Schulungen investieren. Das fanden sie heraus:

  • 91 % möchten das mit dem Benutzerverhalten verbundene Cyber-Sicherheitsrisiko reduzieren.
  • 64 % möchten das Benutzerverhalten ändern.
  • 61 % führen Schulungen durch, um regulatorische Anforderungen zu erfüllen.
  • 55 % führen Schulungen durch, um interne Richtlinien einzuhalten.

Nutzer führt am Laptop eine Schulung zum Thema Passwortsicherheit durch.

 

Wie aus diesen Statistiken hervorgeht, setzen einige Organisationen Security Awareness Trainings einfach deshalb ein, weil sie dies tun müssen, um interne oder externe Anforderungen zu erfüllen. Aber diese Schulungen sind dem Bericht zufolge auch finanziell sinnvoll: „Im Durchschnitt reduziert eine inkrementelle Investition in Security Awareness Trainings das jährliche Risiko von Phishing-Angriffen um etwa 50 % und steigert die jährliche Rendite um etwa das Fünffache.“

Die Entwicklung von Security Awareness Trainings

Obwohl die Kernkonzepte der Schulungen nicht neu sind, hat das Thema erst vor kurzem das Bewusstsein der breiten Öffentlichkeit erreicht. Entschieden dazu beigetragen hat die Einführung des „National Cyber Security Awareness Month“ im Jahr 2004 in den USA. Die Initiative, die von der National Cyber Security Alliance und dem US-Heimatschutzministerium ins Leben gerufen wurde, sollte den Menschen helfen, online sicher und geschützt zu bleiben, indem gute Praktiken (wie die regelmäßige Aktualisierung von Antiviren-Software) angeregt wurden.

Seitdem hat der jährlich stattfindende Monat der Cybersicherheit ähnliche Veranstaltungen in anderen Ländern inspiriert, seine Themen und Inhalte ausgeweitet und zu einer verstärkten Beteiligung von Industrie und Regierung, Universitäten, gemeinnützigen Organisationen und der allgemeinen Öffentlichkeit geführt.

Der Schwerpunkt, die Methoden und die Wirksamkeit von Security Awareness Trainings haben sich im Laufe der Jahre erheblich verändert. Im Jahr 2004 waren die meisten Programme noch von der Notwendigkeit bestimmt, gewisse Vorschriften einzuhalten, d. h. es ging einfach nur darum, gesetzliche Anforderungen zu erfüllen. Heute werden die Schulungen zur Steigerung des Sicherheitsbewusstseins verstärkt als ein Mittel gesehen, um organisatorische Risiken zu identifizieren und zu mindern.

Auch die Schulungsmethoden selbst sind im Laufe der Zeit gereift. Im Jahr 2004 war das vorherrschende Paradigma die jährliche Präsentation, entweder als Präsenzveranstaltung oder als computergestützte Langzeitschulung. Leider führen diese langen, seltenen Sitzungen nicht dazu, dass sich das Wissen im Gedächtnis verankert. Eine allmähliche Verlagerung hin zu kurzen, fokussierten Schulungen zu einzelnen Themen stellte eine Verbesserung dar, aber auch diese Schulungen fanden zu unregelmäßig statt, sodass sich das Wissen mit der Zeit verflüchtigte.

Lupe enthüllt einen Fingerabdruck innerhalb von Zahlenreihen aus Einsern und Nullen.

 

Seit etwa 2014 finden Security Awareness Trainings mehr und mehr als kontinuierliche Schulung statt. Fortlaufende Zyklen aus Tests und Schulungen bestimmen hierbei die Programme. Zu den jüngsten Entwicklungen gehören „Just-in-time“- und kontextbezogene Schulungen, die die Möglichkeit bieten, auf ein schlechtes Cyber-Sicherheitsverhalten des Endnutzers, wie z. B. unsicheres Surfen im Internet, zu reagieren.

Tools für die Schulung von Endnutzern

Wie aus unserem State-of-the-Phish™-Bericht 2022 hervorgeht, verwenden die Infosec-Fachleute heute eine Vielzahl von Tools zur Schulung von Endnutzern. Das vorherrschende Tool – und eines der beliebtesten – ist die computergestützte Bewusstseinsschulung.

  • 79 % nutzen computergestützte Bewusstseinsschulungen.
  • 68 % nutzen Phishing-Simulationsübungen.
  • 46 % nutzen Sensibilisierungskampagnen (Videos und Poster).
  • 45 % nutzen persönliches Security Awareness Training.
  • 38 % nutzen monatliche Benachrichtigungen oder Newsletter.

Gut konzipierte Schulungsprogramme kombinieren mehrere dieser Instrumente. Zudem ist es wichtig, dass die Tools systematisch und methodisch so eingesetzt werden, dass der Fortschritt verfolgt und gemessen werden kann.

Unsere hocheffektiven Schulungslösungen basieren auf unserem Ansatz der kontinuierlichen Schulung und bewährten wissenschaftlich bestätigten Lernprinzipien, die die Lernenden einbeziehen.

State of the Phish.

 

Die Effektivität der von uns eingesetzten Lernprinzipien wurde durch Forschungsarbeiten der Carnegie Mellon University bestätigt.

Wie effektiv sind Security Awareness Trainings?

Unsere eigenen Fallstudien und Momentaufnahmen zeigen überzeugende Ergebnisse:

95 %

Über einen Zeitraum von zwei Jahren verzeichnete ein Finanzinstitut einen 95-prozentigen Rückgang von Malware und Viren sowie ein größeres Bewusstsein für Bedrohungen der Cybersicherheit.

90 %

Eine Hochschule im Nordosten der USA berichtete über einen deutlichen Rückgang von Malware und Viren, eine 90-prozentige Verringerung erfolgreicher Phishing-Angriffe, deutlich weniger Support-Anfragen, ein größeres Bewusstsein für Sicherheitsfragen und mehr Benutzer, die Vorfälle und Angriffe melden.

89 %

Eine gemeinnützige Organisation konnte die Phishing-Anfälligkeit um mehr als 89 % reduzieren, nachdem sie unsere Test- und Schulungsmodule zu Kernkomponenten ihres Schulungsprogramms gemacht hatte.

80 %

Die Schulung des Sicherheitsbewusstseins half den Mitarbeitern der Stadtverwaltung, die durchschnittliche Klickrate innerhalb eines Jahres um 80 % zu senken und einen raffinierten Überweisungsbetrug zu vermeiden.

Schulungsprogramm für ein erhöhtes Sicherheitsbewusstsein

Wir bieten eine vollständige Palette von Produkten für Ihr Schulungsprogramm zur Steigerung des Sicherheitsbewusstseins: von Wissensbewertungen und Phishing-Simulationen bis hin zu interaktiven Schulungen, leistungsstarken Berichten und benutzerfreundlichen Dashboards.

Anti-Phishing Training Suite

Anti-Phishing Training Suite.

Unsere Kunden konnten mit unserem Schulungsprogramm für Phishing-Schutz und unserem Ansatz der kontinuierlichen Schulung erfolgreiche Phishing-Angriffe und Malware-Infektionen um bis zu 90 % reduzieren. Machen auch Sie unseren einzigartigen kontinuierlichen Zyklus aus Tests, Schulungen, Festigung und Auswertung zur Grundlage Ihres Schulungsprogramms für Phishing-Schutz.

Simulierte Phishing-Angriffe

Ansicht einer Internetseite, auf die Nutzer weitergeleitet werden, nachdem sie auf eine simulierte Phishing-Attacke hereingefallen sind.

Prüfen Sie mit unseren ThreatSim® Phishing Simulationen schnell und effektiv, wie anfällig Ihre Angestellten für Phishing- und Spear-Phishing-Angriffe sind. Endnutzer, die auf einen simulierten Phishing-Angriff hereinfallen, bekommen automatisch eine Lerneinheit angezeigt. Diese Hilfestellungen, die genau zum richtigen Moment ausgespielt werden, zeigen den Nutzern auf, was sie falsch gemacht haben, und geben ihnen Tipps, wie sie zukünftige Bedrohungen verhindern können.

Security Awareness Training

Screenshot einer Online-Lerneinheit zum Thema Social Engineering.

Wir empfehlen, dass Ihr Security Awareness Trainingsprogramm sowohl unternehmensübergreifende Phishing-Weiterbildungen sowie gezielte Anti-Phishing-Trainings enthält. Unser einzigartiger Ansatz und interaktive Trainingsmodule helfen Ihnen dabei, effektive Cybersicherheitsschulungen in einem flexiblen On-Demand-Format bereitzustellen, das so wenig wie möglich in ihre täglichen Arbeitsprozesse eingreift.

PhishAlarm Email Reporting Tool

Popup-Benachrichtigung, die den Nutzer nach dem Melden einer Phishing-Mail darüber informiert, dass die Meldung an das IT-Team weitergeleitet wurde.

Best Practices konsequent durchzusetzen ist essentiell, damit die Nutzer das Gelernte langfristig verinnerlichen. Mit unserem PhishAlarm® Email-Reporting-Tool können Nutzer verdächtige Phishing-Mails mit einem einzigen Mausklick melden, wodurch positives Verhalten verstärkt wird. Unser optionales PhishAlarm Analyzer Email-Priorisierungstool maximiert die Fähigkeiten von PhishAlarm noch einmal, indem es Reaktion und Verbesserungsmaßnahmen miteinander verbindet.