Security Awareness erhöhen – Wie Sie Mitarbeiter und Kollegen schulen können

Autor: Luca Cremer | 9. September 2022

#Informationssicherheit
Security Awareness Schulung

Viele Unternehmen müssen sich immer häufiger mit digitalen Sicherheitsbedrohungen auseinandersetzten. Doch einigen Mitarbeitern fehlt das notwendige Sicherheitsbewusstsein, um Gefahren frühzeitig zu erkennen. Warum eine umfassende Security Awareness wichtig ist und wie Sie diese durch Schulungen stäken können.

Was ist Security Awareness?

Security Awareness bedeutet übersetzt Sicherheitsbewusstsein. Allgemein werden hiermit das notwendige Wissen und die Fähigkeiten bezeichnet, um mit möglichen Sicherheitsbedrohungen umzugehen. Um dieses zu optimieren, bieten sich Security-Awareness-Schulungen an. Die Teilnehmer sollen die benötigte Sensibilität erlangen, die zur stetigen IT-Sicherheit beiträgt.

Security Awareness schaffen – oft nicht so einfach

Security Awareness nimmt zu Zeiten der Digitalisierung einen immer größer werdenden Stellenwert in den Unternehmen ein. Trotzdem ist es manchmal schwer, diese Relevanz in den Köpfen der Mitarbeiter zu verankern.

Häufig wird irrtümlich davon aus gegangen, dass Security Awareness und die damit verbundenen Fähigkeiten nur für die Chief Information Security Officers (CISO) relevant sind. Mitarbeiter haben deshalb oft keine Lust, sich mit dem Thema auseinanderzusetzten. Dementsprechend werden Schulungen häufig nicht gut besucht oder es wird nicht richtig zugehört. Letztendlich führt das dazu, dass gegen Richtlinien verstoßen wird und die Sicherheitsbeauftragten oder Admins unter Stress alle Fehler beseitigen müssen.

Dies ist ein auf Anwenderinnen und Anwender außerhalb der IT-Abteilung zugeschnittenen Fortbildung zu IT-Security im Alltag. In kurzen und verständlichen Units können die Teilnehmenden sich das notwendige Wissen aneignen, mit dem Kursmaterial auf Wunsch vertiefen und so ganz ohne IT-Ausbildung entscheidend zur IT-Sicherheit beitragen.
Diesen Kurs liefern wir über unsere Partner-Platform Lecturio aus.

Wieso ist Security Awareness wichtig?

Haben Mitarbeiter keine umfangreiche Security Awareness, können im Arbeitsalltag bestimmte Risiken dazu führen, dass sensible Daten an unautorisierte Personen weiter gehen.

Zu den aktuellen Risiken für Mitarbeiter gehören einerseits das Phishing und andererseits grob fahrlässige Fehler. Phishing beschreibt den Versuch, sich über gefälschte Unternehmenswebseiten oder E-Mails als seriöser Geschäftspartner auszugeben, um an die persönlichen Daten der Opfer zu gelangen. Fahrlässige Fehler treten genau dann auf, wenn Mitarbeiter sich nicht ausgiebig mit der Materie auseinandersetzten und Sicherheitsbedrohungen nicht frühzeitig erkennen.

Wie werden erfolgreiche Security Awareness Schulungen gehalten?

Es gibt unterschiedliche Wege, die Mitarbeiter mit Cybersecurity vertraut zu machen. Neben den Awareness-Schulungen können Simulationen und Trainings durchgeführt werden. Eine weitere ergänzende Maßnahme bieten zudem technische Lösungen.

Innerhalb der Schulungen gibt es verschiedene Formate, die ich im Folgenden vorstelle:

E-Learning

Für Einsteiger bietet sich das E-Learning an. Hierbei handelt es sich oft um On-Demand-Lösungen, die immer wieder und für jeden Mitarbeiter abrufbar sind. Häufig werden diese in Form von Webinaren oder E-Learning-Sessions durchgeführt. Empfohlene Inhalte sind hier die Grundlagen der IT-Sicherheit, damit bei allen Teilnehmern ein Basiswissen besteht. Der Vorteil des E-Learning besteht darin, dass es sehr einfach zu multiplizieren ist und somit keinen großen Aufwand von Unternehmensseite her erfordert. Als Nachteil ist zu sehen, dass die wirkliche Beteiligung der Mitarbeiter nicht messbar ist, da die On-Demand-Sessions anonym ablaufen. Unternehmen können nicht beurteilen, wie viel die einzelnen Mitarbeiter an Informationen und Fähigkeiten mitnehmen oder ob sie Interesse zeigen.

Blended Learning

Ein weiteres Format für Schulungen ist das Blended Learning. Hier werden E-Learning- Sessions und interaktive Runden vermischt. Vermittelt werden ebenfalls die Grundlagen der IT-Sicherheit, die durch anschließende Übungen, Umfragen oder Fragerunden ergänzt werden. Im Vergleich zum E-Learning kann hier durch die Interaktivität etwas individueller auf die Mitarbeiter eingegangen werden.

Dadurch dass es sich um eine Standardanwendung handelt, welche aus zwei einzelnen Bausteinen zusammengesetzt wurde, fehlt jedoch die gezielte individuelle Ansprache der Mitarbeiter.

Direktschulung

Eine Direktschulung kann wie das E-Learning und das Blended Learning dazu dienen, dass Grundlagen vermittelt werden oder auch interaktive Runden stattfinden. Darüber hinaus können unternehmensinterne Richtlinien vermittelt werden. Es besteht des Weiteren die Möglichkeit, Mitgestaltungsmöglichkeiten für die Mitarbeiter einzuräumen oder der Schulung eine Art Workshop-Charakter zu geben. Eine Direktschulung bietet die ideale Möglichkeit, individuelle Schulungsinhalte zu bearbeiten.

Neben der Individualität der Schulung gehört die interaktive, messbare Beteilung der Mitarbeiter zu den Vorteilen. Als einziger Nachteil sind hier die aufwendige und kostenintensive Durchführung zu sehen.

Schulungen für Security Awareness in der Praxis

Wir haben zum besseren Verständnis ein Beispiel aus der Praxis mitgebracht. Es handelt sich dabei um ein Krankenhaus, welches wir mit entsprechenden Maßnahmen unterstützt haben.

Zur Ausgangslage

Das Krankenhaus hatte einen neuen CISO eingestellt, der festgestellt hat, dass bisher kaum bis gar keine Security-Awareness-Maßnahmen durchgeführt wurden und das Verständnis für das Thema beim Personal gering vorhanden war.

Die neue Zielsetzung

Die Thematik soll möglichst einfach und verständlich erklärt werden, sodass ein grundsätzliches Verständnis für IT-Sicherheit bei dem ganzen Personal geschaffen wird.

Unsere Unterstützung

Wir haben für das Krankenhaus ein E-Learning- Konzept zu den Themen IT-Sicherheit und Cybersecurity ausgearbeitet.

IT Security Spezialist

Schnelle Hilfe benötigt? Jetzt unseren IT Security Spezialisten an Bord holen!

Das Ergebnis

Bei den Mitarbeitern wurde ein Grundverständnis der IT-Sicherheit hergestellt. Nun können unternehmensspezifische Richtlinien angegangen werden.

Ziel der Schulungen

Das Ziel von Schulungen ist der Wissensaufbau von einem Grundverständnis der IT-Sicherheit und somit das Kennenlernen von bestimmten Richtlinien.

  • Um eine Schulung erfolgversprechend durchzuführen, sollten folgende Punkte beachtet werden:
  • Stellen Sie das Thema spannend und für alle verständlich dar
  • Zeigen Sie auf, warum das Thema für alle wichtig ist – dazu kann die Verwendung von Beispielen hilfreich sein
  • Nehmen Sie den Teilnehmern direkt zu Anfang die Angst vor Fehlern
  • Vergessen Sie den Praxisanteil nicht – Übung macht den Meister
  • Bereiten Sie ihre Schulung umfassend vor – eine zielführende Schulung ist aufwendig

Wenn Sie Fragen oder Beratungsbedarf haben, kontaktieren Sie uns gerne per Mail an info@rz10.de. Sie brauchen schnelle Unterstützung im Bereich IT Security? Wir können Ihnen unkompliziert einen IT Security Spezialisten stellen und Sie haben Zeit für das Tagesgeschäft: IT Security Spezialisten anfragen


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Luca Cremer

Autor

Luca Cremer

Fachbereichsleiter Security | Projektleiter | Security Consultant

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice