Definition

Im Großen und Ganzen geht es bei einem Security Awareness Training darum, dass jede/r Einzelne bestimmte Praktiken versteht und befolgt, um die Sicherheit einer Organisation zu gewährleisten. So gesehen gibt es diese Schulungen schon seit langer Zeit, insbesondere wenn man an die Notwendigkeit der Sicherheit beim Militär denkt.

Heute geht es bei den Schulungen jedoch vor allem um Informationssicherheit und insbesondere um Cybersicherheit. Schnelle Fortschritte in der Informationstechnologie kombiniert mit Innovationen von Cyberkriminellen führen dazu, dass Angestellte und andere Endnutzer regelmäßig spezifische Schulungen benötigen. Diese sollen verhindern, dass sie einem Angriff zum Opfer fallen und sicherstellen, dass ihre persönlichen Informationen sowie die ihrer Arbeitgeber zu jeder Zeit geschützt sind.

Dieser Artikel ist eine Einführung zu Security Awareness Trainings: Wir besprechen, warum Organisationen die Schulungen einsetzen, wie sie sich im Laufe der Jahre entwickelt haben und wie sie dazu beitragen, die Bedrohung durch Cyberangriffe und andere Sicherheitsverletzungen zu verringern. Abschließend stellen wir einige Tools für ein wirksames Security Awareness Training vor.

Warum führen Organisationen Security Awareness Trainings durch?

Cybersecurity-Awareness-Trainings sind wichtig, um ernsthafte Bedrohungen der Cybersicherheit zu minimieren, die den Endnutzern durch Phishing-Angriffe und Social Engineering drohen. Typische Schulungsthemen sind Passwortverwaltung, Datenschutz, E-Mail-/Phishing-Sicherheit, Web/Internet-Sicherheit sowie physische Sicherheit und Sicherheit im Büro.

Wie im Bericht der Aberdeen-Gruppe mit dem Titel „Security Awareness Training: Small Investment, Large Reduction in Risk“ dargestellt wird, gibt es darüber hinaus auch wirtschaftliche Argumente für die Schulungen. Die Forscher führten einen Workshop mit führenden Vertretern der Unternehmenssicherheit durch, um herauszufinden, warum sie in Security Awareness und Schulungen investieren. Das fanden sie heraus:

  • 91 % möchten das mit dem Benutzerverhalten verbundene Cybersicherheitsrisiko reduzieren.
  • 64 % möchten das Benutzerverhalten ändern.
  • 61 % führen Schulungen durch, um regulatorische Anforderungen zu erfüllen.
  • 55 % führen Schulungen durch, um interne Richtlinien einzuhalten.

Nutzer führt am Laptop eine Schulung zum Thema Passwortsicherheit durch.

 

Wie aus diesen Statistiken hervorgeht, setzen einige Organisationen Security Awareness Trainings einfach deshalb ein, weil sie dies tun müssen, um interne oder externe Anforderungen zu erfüllen. Aber diese Schulungen sind dem Bericht zufolge auch finanziell sinnvoll: „Im Durchschnitt reduziert eine inkrementelle Investition in Security Awareness Trainings das jährliche Risiko von Phishing-Angriffen um etwa 50 % und steigert die jährliche Rendite um etwa das Fünffache.“

Die Entwicklung von Security Awareness Trainings

Obwohl die Kernkonzepte der Schulungen nicht neu sind, hat das Thema erst vor kurzem das Bewusstsein der breiten Öffentlichkeit erreicht. Entschieden dazu beigetragen hat die Einführung des „National Cyber Security Awareness Month“ im Jahr 2004 in den USA. Die Initiative, die von der National Cyber Security Alliance und dem US-Heimatschutzministerium ins Leben gerufen wurde, sollte den Menschen helfen, online sicher und geschützt zu bleiben, indem gute Praktiken (wie die regelmäßige Aktualisierung von Antiviren-Software) angeregt wurden.

Seitdem hat der jährlich stattfindende Monat der Cybersicherheit ähnliche Veranstaltungen in anderen Ländern inspiriert, seine Themen und Inhalte ausgeweitet und zu einer verstärkten Beteiligung von Industrie und Regierung, Universitäten, gemeinnützigen Organisationen und der allgemeinen Öffentlichkeit geführt.

Der Schwerpunkt, die Methoden und die Wirksamkeit von Security Awareness Trainings haben sich im Laufe der Jahre erheblich verändert. Im Jahr 2004 waren die meisten Programme noch von der Notwendigkeit bestimmt, gewisse Vorschriften einzuhalten, d. h. es ging einfach nur darum, gesetzliche Anforderungen zu erfüllen. Heute werden die Schulungen zur Steigerung des Sicherheitsbewusstseins verstärkt als ein Mittel gesehen, um organisatorische Risiken zu identifizieren und zu mindern.

Auch die Schulungsmethoden selbst sind im Laufe der Zeit gereift. Im Jahr 2004 war das vorherrschende Paradigma die jährliche Präsentation, entweder als Präsenzveranstaltung oder als computergestützte Langzeitschulung. Leider führen diese langen, seltenen Sitzungen nicht dazu, dass sich das Wissen im Gedächtnis verankert. Eine allmähliche Verlagerung hin zu kurzen, fokussierten Schulungen zu einzelnen Themen stellte eine Verbesserung dar, aber auch diese Schulungen fanden zu unregelmäßig statt, sodass sich das Wissen mit der Zeit verflüchtigte.

Lupe enthüllt einen Fingerabdruck innerhalb von Zahlenreihen aus Einsern und Nullen.

 

Seit etwa 2014 finden Security Awareness Trainings mehr und mehr als kontinuierliche Schulung statt. Fortlaufende Zyklen aus Tests und Schulungen bestimmen hierbei die Programme. Zu den jüngsten Entwicklungen gehören „Just-in-time“- und kontextbezogene Schulungen, die die Möglichkeit bieten, auf ein schlechtes Cybersicherheitsverhalten des Endnutzers, wie z. B. unsicheres Surfen im Internet, zu reagieren.

Tools für die Schulung von Endnutzern

Wie aus unserem State-of-the-Phish™-Bericht 2022 hervorgeht, verwenden die Infosec-Fachleute heute eine Vielzahl von Tools zur Schulung von Endnutzern. Das vorherrschende Tool – und eines der beliebtesten – ist die computergestützte Schulung.

  • 79 % nutzen computergestützte Schulungen für Cybersicherheitsbewusstsein.
  • 68 % nutzen Phishing-Simulationsübungen.
  • 46 % nutzen Sensibilisierungskampagnen (Videos und Poster).
  • 45 % nutzen persönliches Security Awareness Training.
  • 38 % nutzen monatliche Benachrichtigungen oder Newsletter.

Gut konzipierte Schulungsprogramme kombinieren mehrere dieser Instrumente. Zudem ist es wichtig, dass die Tools systematisch und methodisch so eingesetzt werden, dass der Fortschritt verfolgt und gemessen werden kann.

Unsere hocheffektiven Schulungslösungen basieren auf unserem Ansatz der kontinuierlichen Schulung und bewährten wissenschaftlich bestätigten Lernprinzipien, die die Lernenden einbeziehen.

State of the Phish.

 

Die Effektivität der von uns eingesetzten Lernprinzipien wurde durch Forschungsarbeiten der Carnegie Mellon University bestätigt.

Wie effektiv sind Security Awareness Trainings?

Unsere eigenen Fallstudien und Momentaufnahmen zeigen überzeugende Ergebnisse:

95 %

Über einen Zeitraum von zwei Jahren verzeichnete ein Finanzinstitut einen 95-prozentigen Rückgang von Malware und Viren sowie ein größeres Bewusstsein für Bedrohungen der Cybersicherheit.

90 %

Eine Hochschule im Nordosten der USA berichtete über einen deutlichen Rückgang von Malware und Viren, eine 90-prozentige Verringerung erfolgreicher Phishing-Angriffe, deutlich weniger Support-Anfragen, ein größeres Bewusstsein für Sicherheitsfragen und mehr Benutzer, die Vorfälle und Angriffe melden.

89 %

Eine gemeinnützige Organisation konnte die Phishing-Anfälligkeit um mehr als 89 % reduzieren, nachdem sie unsere Test- und Schulungsmodule zu Kernkomponenten ihres Schulungsprogramms gemacht hatte.

80 %

Die Schulung des Sicherheitsbewusstseins half den Mitarbeitern der Stadtverwaltung, die durchschnittliche Klickrate innerhalb eines Jahres um 80 % zu senken und einen raffinierten Überweisungsbetrug zu vermeiden.

Schulungsprogramm für ein erhöhtes Sicherheitsbewusstsein

Wir bieten eine vollständige Palette von Produkten für Ihr Schulungsprogramm zur Steigerung des Sicherheitsbewusstseins: von Wissensbewertungen und Phishing-Simulationen bis hin zu interaktiven Schulungen, leistungsstarken Berichten und benutzerfreundlichen Dashboards.

Anti-Phishing Training Suite

Anti-Phishing Training Suite.

Unsere Kunden konnten mit unserem Schulungsprogramm für Phishing-Schutz und unserem Ansatz der kontinuierlichen Schulung erfolgreiche Phishing-Angriffe und Malware-Infektionen um bis zu 90 % reduzieren. Machen auch Sie unseren einzigartigen kontinuierlichen Zyklus aus Tests, Schulungen, Festigung und Auswertung zur Grundlage Ihres Schulungsprogramms für Phishing-Schutz.

Simulierte Phishing-Angriffe

Ansicht einer Internetseite, auf die Nutzer weitergeleitet werden, nachdem sie auf eine simulierte Phishing-Attacke hereingefallen sind.

Prüfen Sie mit unseren ThreatSim® Phishing Simulationen schnell und effektiv, wie anfällig Ihre Angestellten für Phishing- und Spear-Phishing-Angriffe sind. Endnutzer, die auf einen simulierten Phishing-Angriff hereinfallen, bekommen automatisch eine Lerneinheit angezeigt. Diese Hilfestellungen, die genau zum richtigen Moment ausgespielt werden, zeigen den Nutzern auf, was sie falsch gemacht haben, und geben ihnen Tipps, wie sie zukünftige Bedrohungen verhindern können.

Security Awareness Training

Screenshot einer Online-Lerneinheit zum Thema Social Engineering.

Wir empfehlen, dass Ihr Security Awareness Trainingsprogramm sowohl unternehmensübergreifende Phishing-Weiterbildungen sowie gezielte Anti-Phishing-Trainings enthält. Unser einzigartiger Ansatz und interaktive Trainingsmodule helfen Ihnen dabei, effektive Cybersicherheitsschulungen in einem flexiblen On-Demand-Format bereitzustellen, das so wenig wie möglich in ihre täglichen Arbeitsprozesse eingreift.

PhishAlarm Email Reporting Tool

Popup-Benachrichtigung, die den Nutzer nach dem Melden einer Phishing-Mail darüber informiert, dass die Meldung an das IT-Team weitergeleitet wurde.

Best Practices konsequent durchzusetzen ist essentiell, damit die Nutzer das Gelernte langfristig verinnerlichen. Mit unserem PhishAlarm® Email-Reporting-Tool können Nutzer verdächtige Phishing-Mails mit einem einzigen Mausklick melden, wodurch positives Verhalten verstärkt wird. Unser optionales PhishAlarm Analyzer Email-Priorisierungstool maximiert die Fähigkeiten von PhishAlarm noch einmal, indem es Reaktion und Verbesserungsmaßnahmen miteinander verbindet.

Häufig gestellte Fragen (FAQs) zu Security Awareness Training

Was ist Security Awareness Training?

Security Awareness Training ist eine unternehmensübergreifende Initiative, um Mitarbeiter dabei zu unterstützen, Cyberbedrohungen am Arbeitsplatz zu erkennen und zu vermeiden. Es handelt sich dabei um eine Komponente einer wirksamen Cybersicherheitsstrategie mit dem Ziel, menschliche Fehler zu stoppen und Insiderbedrohungen davon abzuhalten, Datenverletzungen zu verursachen.

Was sind einige Best Practices für Security Awareness Training?

Es braucht eine strategische Vorgehensweise, um hunderte oder tausende Mitarbeiter zu schulen, deren bereits vorhandenes Sicherheitsbewusstsein jeweils unterschiedlich ausgeprägt ist. Jede Organisation greift dafür auf ihre eigenen Methoden zurück, aber dabei ist es wichtig, dass Security Awareness Training als fortlaufender Prozess verstanden wird, bei dem der Lehrplan in häufigen Abständen überprüft und aktualisiert wird, damit neue Entwicklungen in der Cybersicherheitslandschaft berücksichtigt werden können.

Was ist der hauptsächliche Zweck von Security Awareness Training?

Datenverletzungen sind teuer, und Mitarbeiter stellen das primäre Risiko für gezielte Bedrohungen dar. Mitarbeiter dahingehend zu schulen, dass sie Bedrohungen erkennen, verringert das Risiko für Phishing und Ransomware und verhindert in der Folge den Verlust personenbezogener Daten, geistigem Eigentum, Einnahmen, Markenreputation und Kundenbindung.

Was sind die Vorteile von Security Awareness Training?

Angestellte mit Sicherheitswissen auszustatten, reduziert das Risiko für Datenverletzungen und hat darüber hinaus noch weitere Vorteile. Angestellte zu trainieren, Bedrohungen zu erkennen, verhindert Betriebsausfälle durch Datenverletzungen, stellt die Konformität mit gesetzlichen Vorgaben sicher und verbessert das Vertrauen von Kunden in Ihre Marke.

Was sollte ein Security Awareness Training beinhalten?

Die Materialien für ein Security Awareness Training beinhalten Module, Videos, praktische Übungen und Tests, um maximale Effektivität zu gewährleisten. Wie eine Organisation ein Security-Awareness-Trainingsprogramm strukturiert, kommt auf die Zusammensetzung ihrer Nutzer an, aber es sollte prinzipiell allen Angestellten offenstehen.

Wie effektiv ist Security Awareness Training?

Security Awareness Training ist so effektiv, dass es jetzt eine Compliance-Anforderung für die DSGVO in der EU ist. Über die Jahre haben Organisationen mit der Verbesserung Ihrer Cybersicherheitsfortbildungen auch einen starken Abfall Ihrer Datenverletzungen gesehen.

Was sind die wichtigsten Themen in einem Security Awareness Training?

Jedes Security Awareness Training sollte geläufige Themen wie Phishing, Passwortschutz, sichere Nutzung von Social Media, Social Engineering, physische Sicherheit, Sicherheit öffentlicher WLANs und Richtlinien für das Arbeit im Homeoffice beinhalten. Ihre Organisation sollte das Training so anpassen, dass es auf die größten Bedrohungen für die Cybersicherheit speziell Ihres Unternehmens angepasst ist.

Wie viel kostet Security Awareness Training?

Jede Organisation hat ihre eigene Cybersicherheitsstrategie und unterschiedlich viele Mitarbeiter. Manche Angestellte brauchen mehr Training als andere. Proofpoint stellt das Trainingsmaterial individuell für Ihre Cybersicherheitsanforderungen zusammen. Nehmen Sie Kontakt mit uns auf, um die Kosten für Ihr individuelles Security Awareness Training zu erfragen. Wenn Sie uns einmal ausprobieren wollen, fragen Sie noch heute nach Ihrem kostenlosen Security-Awareness-Training-Probezeitraum!