Cyber Security Awareness ist kein technisches Thema

Im Jahr 2019 lag der durch Cyberkriminalität verursachte Schaden in Deutschland bei 87,7 Millionen Euro – mit steigender Tendenz. Die meisten Unternehmen haben die Zeichen der Zeit erkannt und investieren vermehrt in Hardware, Software und Services zur Verbesserung ihrer Cyber Security

Laut Bitkom lag hier im Jahr 2019 das Investitionsvolumen deutscher Unternehmen bei 4,6 Milliarden Euro. Was bei all den Zahlen nicht klar beziffert wird, ist der wichtigste Aspekt: der Mensch. Das ist kein technisches Thema, aber der wesentliche Erfolgsfaktor.

Anzeige

Millionen Menschen arbeiten in deutschen Unternehmen an Computern, bedienen ein Telefon, surfen im Internet und beteiligen sich in sozialen Medien. Das tun sie beruflich und privat. Sie sind sich nicht bewusst, dass sie für ihr Unternehmen Gatekeeper in Sachen Cyber Security und dadurch auch eine potenzielle Sicherheitslücke für ihr Unternehmen sind. Hier kommt die Cyber Security Awareness ins Spiel. Technische Lösungen werden installiert und implementiert. Cyber Security ist aus technischer Perspektive ein seit langem geübtes und perfektioniertes Thema. Da man Menschen weder installieren noch implementieren kann, gewinnt das Stichwort Cyber Security Awareness zunehmend an Bedeutung. Die Nachfrage an Schulungen und Trainings dazu ist derzeit enorm hoch.

Unsere Tipps aus der Praxis sollen Unternehmen dabei unterstützen, ihre Sicherheitskultur zu etablieren. Die wichtigsten Aspekte zur Schaffung von Cyber Security Awareness haben wir hier zusammengefasst.

 

Vertrauen ist die Grundlage

Die meisten Angriffe erfolgen zumeist nicht absichtlich von internen Instanzen. Es sind Phishing-Attacken von extern, Mitarbeiter reagieren versehentlich oder intuitiv darauf.

  • Die Mitarbeiter im Unternehmen orientieren sich an dem, was ihnen Top-down vorgelebt wird.
  • Ein einfaches Beispiel: Teilen von Accounts/Passwörtern Top-down. Das ist kontraproduktiv in Sachen Cyber Security und Awareness.

Awareness ist eine Frage der Motivation

Rein schriftliche Vorgaben über Checklisten oder Vertragsbestandteile funktionieren nicht im richtigen Leben mit richtigen Menschen.

  • Die Mitarbeiter müssen motiviert werden, um Awareness zu verinnerlichen.
  • Sie sollten regelmäßig daran erinnert und damit konfrontiert werden.
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Lernen ist eine Frage der Möglichkeiten. Wissen auch

“Verinnerlichen“ ist das eigentliche Ziel bei der Schaffung von Cyber Security Awareness.

  • Es geht also nicht darum, den Mitarbeitern eine Information zu vermitteln oder eine Anweisung zu erteilen. Der Kernpunkt ist eine Verhaltensänderung und die beginnt im Kopf.
  • Das Erleben spielt eine wichtige Rolle, um zu lernen, wie jeder Mensch im Unternehmen mit digitalen Sicherheitsrisiken umgehen kann und soll.
  • „Frontal-Unterricht“ im Sinne von kollektiven Workshops mit Powerpoint-Präsentationen ist dabei kein zielführender Weg.

Professionelle Cyber Security Awareness Trainings schließen die Sicherheitslücke „Mensch“

Professionelle Cyber Security Trainings stellen den Menschen in den Mittelpunkt – die Schritte zum Erfolg

  • Im Rahmen eines Impulsvortrags wird bei allen beteiligten Instanzen im Unternehmen das Bewusstsein für das Thema Cyber Security geweckt.
  • Die Awareness dafür wird geschaffen und das Commitment dazu wird eingeholt. Dazu sitzen zuallererst Vorstand, Geschäftsführung und ggf. Betriebsrat an einem Tisch, um die Ziele und Erfolgsfaktoren für die Cyber Security im Unternehmen zu definieren. Auch die Vertreter aus den Abteilungen Personal und IT sind wichtige Diskutanten im Prozess, um die Ziele und Erfolgskriterien für die Etablierung festzulegen.
  • Für den Roll-out der Maßnahmen wird ein internes Gremium mit den entsprechenden Mandaten und Befugnissen organisiert.
  • Im Roll-out werden Methoden angewendet, um die beteiligten Mitarbeiter – also den Erfolgsfaktor „Mensch“ möglichst intensiv und effektiv als „Human Firewall“ aufzustellen.

Individuelle, automatisierte Cyber Security Trainings sind ein effizienter Weg zum Ziel: Cyber Security Awareness

Menschen lernen nachhaltig durch Erlebnisse und Erfahrungen. Bei Workshops oder Vorträgen werden primär der Sitzmuskel und der Hörnerv beansprucht. Wirklich erforderlich sind das Verständnis und die Verinnerlichung eines Themas. Zum Beispiel: Das Bewusstsein für die eigene Präsenz und Sicherheit im digitalen Raum.

Nur durch individuelle Trainings können Verständnis und Verinnerlichung erzeugt werden. Klassische Awareness-Trainings in Form von einmaligen Workshops oder Vorträgen genügen den individuellen Anforderungen Einzelner nicht. Neuzugänge haben beispielsweise einen ganz anderen Wissensstand als Kollegen aus der Cyber-Security-Abteilung. Computerbasierte Cyber Security Awareness Trainings orientieren sich deshalb individuell am Wissensstand der einzelnen Mitarbeiter. 

Diese Trainings bestehen aus einem dreigliedrigen Ablauf aus sich ständig wiederholenden Trainings-, Test- und Analyseeinheiten. Diese richten sich nach Faktoren wie Unternehmenskultur, internen Funktionen und Sicherheitsfreigaben, aber auch nach den Stärken und Schwächen der einzelnen Mitarbeiter. Jeder Teilnehmer durchläuft so einen Kreislauf, im Zuge dessen sein Sicherheits- und Risikobewusstsein nach und nach wächst.
 

Buchta Stefan

Axians IT Security -

Vertriebsleiter Süd

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.