Security Awareness Trainings
Ein klares Bild zeichnen
Obwohl es ausgeklügelte technische Schutzmaßnahmen gibt, kommt es nach wie vor zu Social-Engineering-Angriffen und ihre Erfolgsquote ist hoch. Um das Angriffsrisiko deutlich zu verringern, sollten Unternehmen das Sicherheitsbewusstsein fördern. Tipps für den Aufbau derartiger Schulungsprogramme.
Jede Organisation ist unabhängig von ihrer Größe ein Ziel für Cyberkriminelle. Diese bedienen sich hierfür immer neuen Angriffsmaschen aus dem Social Engineering. Verschiedene Studien nennen Social Engineering und ihre Ausprägung Phishing als Ursache für erfolgreiche Angriffe. Wenn Unternehmen ihr Angriffsrisiko deutlich verringern wollen, ist es also sinnvoll, mit der Bekämpfung von Social Engineering zu beginnen. Obwohl seit mehr als drei Jahrzehnten einige der besten und ausgeklügeltsten technischen Schutzmaßnahmen entwickelt wurden, kommt es nach wie vor zu Social-Engineering-Angriffen und ihre Erfolgsquote ist noch immer viel zu hoch.
Daher muss Endnutzern nicht nur vermittelt werden, wie sie Phishing erkennen. Sie müssen auch lernen, wie sie mit den Angriffen umgehen, sie melden und sicherstellen, dass ihre Kollegen nicht darauf hereinfallen. Dementsprechend gehört die Schulung des Sicherheitsbewusstseins (Security Awareness Training, SAT) zu den wertvollsten Maßnahmen, die ein Unternehmen ergreifen kann, um das Cybersicherheitsrisiko deutlich zu verringern. Viele Unternehmen wissen jedoch nicht, wo sie bei der Erstellung dieser Programme anfangen sollen. Der nachfolgende praktische Leitfaden deckt die verschiedenen Komponenten einer SAT-Richtlinie ab, die als Grundlage für ein umfassendes Programm dienen soll.
Um ein wirksames SAT-Programm zu erstellen, müssen viele Fragen gestellt und beantwortet werden. Es muss zudem sichergestellt werden, dass die Richtlinie alle erforderlichen Komponenten abdeckt. Zunächst sollte überlegt werden, welches Ziel die Organisation mit ihrem SAT-Programm erreichen will. Dies sollte im besten Fall die Verringerung des Cybersicherheitsrisikos aufgrund der Handlungen und Entscheidungen der Teilnehmer angesichts von Social-Engineering-Bedrohungen durch Sicherheitsschulungen und -aufklärung sein. Die Teilnehmer müssen in der Lage sein, Cybersecurity-Risiken besser zu erkennen, zu verstehen, wie man Risiken und Bedrohungen meldet und wo man sich um Hilfe bemüht.
Compliance und Regularien
Unternehmen sollten sich Gedanken über die Anforderungen an die Einhaltung der Vorschriften machen und versuchen, die Elemente des SAT-Programms mit den Compliance-Anforderungen abzustimmen. Die Verknüpfung des SAT-Programms mit einem oder mehreren Compliance-Dokumenten wird der Organisation wahrscheinlich dabei helfen, die erforderlichen Genehmigungen zu erhalten und die laufenden Kosten des Programms zu rechtfertigen. Darüber hinaus schreiben viele Dokumente und Empfehlungen zur Computersicherheit Security Awareness-Schulungen vor.
Sobald die Ziele und die Anforderungen an die Einhaltung der Vorschriften festgelegt sind, sollte die Unterstützung und Genehmigung der Geschäftsleitung eingeholt werden. Das ist von entscheidender Bedeutung, da die oberste Führungsriege die Sicherheitskultur des Unternehmens vorantreiben muss. Ein erfolgreiches Programm zur Förderung von Security Awareness wird es anderen Bereichen des Unternehmens ermöglichen, zu gedeihen, und dies sollte auch so kommuniziert werden. Darüber hinaus wird die Fähigkeit der obersten Führungsebene, das Programm zu bewerben und zu unterstützen, die Akzeptanz und das Engagement im gesamten Unternehmen nachhaltig verbessern.
Die Verantwortlichen müssen eine Entscheidung darüber treffen, wo das Programm innerhalb des Unternehmens angesiedelt wird. Viele SAT-Programme werden von den IT- oder IT-Sicherheitsabteilungen durchgeführt, während andere einer zentralen Schulungsabteilung oder der Personalabteilung zugewiesen werden. Verantwortliche sollten überlegen, welche Ressourcen, welches Budget, welche Unterstützung und welche Zuständigkeiten für ein erfolgreiches Programm erforderlich sind und welche Geschäftseinheit am besten geeignet ist. Es ist wichtig, dass das SAT-Programm angesichts seiner Bedeutung für das Unternehmen unabhängig von der Herkunft des Programms eine starke Unterstützung erfährt.
Den Umfang beachten
In allen Richtlinien sollte neben dem Ziel des Programms angegeben werden, für welche Bereiche sie gelten. Dazu gehören die Arten von Teilnehmern und Rollen, Standorte, Geschäftsbereiche und sogar die Sprachen, die das SAT-Programm abdecken soll. Gilt das SAT-Programm auch für Auftragnehmer, Partner und andere Arten von Dritten? Hacker haben es oft auf vertrauenswürdige Drittparteien und Anbieter abgesehen und nutzen eine Kompromittierung dieser, um auf andere Ziele zuzugreifen.
- Ein klares Bild zeichnen
- Alle Fachbegriffe definieren
Lesen Sie mehr zum Thema
