Was ein gutes Security-Awareness-Training ausmacht

Durchführung eines ausgereiften Security-Awareness-Programms

funkschau: Wie können Unternehmen ein ausgereiftes Security-Awareness-Programm aufbauen?

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Weise: Wenn die Sicherheitsverantwortlichen ein ausgereiftes Trainingsprogramm konzipieren und durchführen wollen, müssen sie schrittweise vorgehen. Meistens beginnt die Arbeit bereits vor der offiziellen Entscheidung für die Schulungsmaßnahmen, weil zunächst allgemeine Tests durchgeführt werden müssen. In diesen Basisevaluationen müssen erste Simulationen durchgeführt werden, um belastbare Zahlen zum aktuellen Stand der Mitarbeiter und zur Bedrohungslage des Unternehmens zu sammeln. Diese Zahlen sind wichtig, um die Führungskräfte einzubinden und das notwendige Budget zu rechtfertigen. Außerdem werden diese Werte die Referenz sein, an dem der Erfolg der Schulungen gemessen werden kann. Anschließend beginnt die Aufklärungsphase, in der den Mitarbeitern in Schulungen das notwendige Wissen vermittelt wird. Das sollte sich allerdings nicht in langwierigen Powerpoint-Präsentationen erschöpfen, sondern eine Mischung aus On-Demand-Einheiten sowie interaktiven und computerbasierten Formaten wie Lernvideos, Games, aber auch Postern, Newslettern und Erinnerungsmails sein.
Wenn die Mitarbeiter die theoretischen Grundlagen kennen, sollten sich praxisorientierte Simulationen wie zum Beispiel automatisch versendete Test-Phishing-Nachrichten anschließen. Wenn die Mitarbeiter bei einem Fehler direkt darauf hingewiesen werden, setzt der Lerneffekt ein und die Gefährdungsrate sinkt.
Der vierte Schritt ist die Darstellung der Resultate. Gute Simulationsplattformen erstellen auf Knopfdruck Reports und Auswertungen auf Unternehmens-, Abteilungs- und Nutzerebene, die Aufschluss über Erfolge und Entwicklungsmöglichkeiten bieten. Die Verantwortlichen sehen dann, wo sie stehen und wo sie die Security Awareness weiter erhöhen müssen. Auf dieser Basis können dann weitere Schulungen und Simulationen durchgeführt werden. In der Regel werden die IT-Sicherheitsabteilungen dazu weitere Partner involvieren müssen.

funkschau: Welche Unterstützung sollten sich IT-Sicherheitsabteilungen holen und was sind die ausschlaggebenden Faktoren für den Trainingserfolg des Programms?

Weise: Ein gutes Training kommt nicht von Einzelkämpfern. Der Erfolg der Security Awareness hängt davon ab, dass Führungskräfte, Personalwesen, Marketing und die IT sowie IT-Sicherheit zusammenarbeiten. Darüber hinaus lohnt es sich, externe Partner zu beteiligen, die auf diesen Bereich spezialisiert sind, weil sie wertvolle Tools und Materialien für die Trainings bereitstellen. Für die Verantwortlichen gilt: Denk wie ein Marketer – Teste wie ein Angreifer!
Die Aufklärung der Schulungsteilnehmer sollte wie eine Marketingkampagne behandelt werden, um ihre Botschaften zu vermitteln. Die Marketingabteilung kann dazu wertvolle Ideen beitragen, den Mitarbeitern die Relevanz der Kampagne nahezulegen und ihre „Security-Reflexe“ zu trainieren. Dafür müssen die Tests und Simulationen auf echten Angriffsmethoden basieren, um realitätsnahe Situationen zu schaffen, in denen sie lernen, die Warnsignale zu erkennen.

funkschau: Haben Sie einen Tipp, welche Fehler im Training vermieden werden sollten?

Weise: Security Awareness ist ein breites Feld und natürlich erkennt im Idealfall jeder Mitarbeiter alle Szenarien, aber das Programm darf nicht überladen werden. Vielmehr sollten Unternehmen die anfängliche Evaluation nutzen, um Schwerpunkte zu definieren und zu priorisieren, auf welche sie sich zunächst konzentrieren wollen. Anschließend ist es normal, Schulungen mit Simulationen zu begleiten und den Mitarbeitern zwölf bis achtzehn Monate Zeit zu geben, bei kontinuierlichem Ablauf der Maßnahmen, einzelne Verhaltensweisen zu ändern. Erst danach sollte die nächste Einheit begonnen werden. Wenn die Verantwortlichen das berücksichtigen, dem Training und den Trainierten diese Zeit geben, dann werden ihre Erfolge die Organisation langfristig sicherer machen.

1. Was ein gutes Security-Awareness-Training ausmacht
2. Durchführung eines ausgereiften Security-Awareness-Programms

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Hybride Arbeitswelt

Meetingraum-Systeme as a Service

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen