Cyber Security Awareness Trainings schulen Mitarbeitende in den aktuellen Gefahren der IT. Gute Schulungen betrachten dabei aber nicht nur die digitale IT-Sicherheit, sondern auch die analoge Informationssicherheit.
IT-Security Awareness Trainings vermitteln beispielsweise Verhaltensweisen:
- „Klicke keine Links in unbekannten Mails an!“
- „Stecke keine USB-Sticks einfach in Unternehmensgeräte!“
- „Daran erkenne ich, ob eine Webseite verschlüsselte ist.“
- „Diese 5 Merkmale sind Hinweise auf eine Phishing-Mail.“
Die Schulungen sollen die Mitarbeitende dafür sensibilisieren, dass die IT-Sicherheit nicht allein durch die IT-Abteilung sichergestellt wird. Sondern dass jeder Einzelne dafür beiträgt, dass Viren und Trojaner keine Schäden in einer IT-Landschaft anrichten können, Hacker keine Informationen stehlen können oder dass keine Daten verloren gehen.
Diese Schulungen können sowohl in analoger Form – also als Präsenzschulung – als auch in digitaler Form stattfinden. Digitale Formate unterscheiden sich dabei nochmal in einer klassischen Schulung mit Hilfe von Videokonferenzsystemen („Webinar“) wie Zoom, Teams, Jitsi oder BigBlueButton. Die andere digitale Variante ist, dass die Mitarbeitenden auf einer Online-Plattform arbeiten können, ort- und zeitunabhängig („eLearning“-Modell). Die Themen sind didaktisch anders als eine Präsentation aufbereitet. Die Sorge der Auftraggebenden einer solchen Schulung, die „nur einfach durchgeklickt wird“, wird in der Regel durch kurze Tests minimiert.
Cyber Security Awareness Plattform
Wir haben eine Online Security Awareness Plattform erschaffen, die insgesamt 8 Themenbereiche umfasst. Die Teilnehmenden durchlaufen die Themenbereiche, bekommen die Inhalte durch unterschiedliche Medien vermittelt und schließen die Themenbereiche jeweils durch einen Kurztest ab. Nach dem Abschluss aller 8 Themenbereiche müssen die Teilnehmenden einen großen Abschlusstest bestehen und können sich anschließend ihr persönliches Zertifikat herunterladen.
Nach Abschluss aller Teilnehmenden übermitteln wir auf Wunsch der Personalabteilung oder dem IT-Sicherheitsbeauftragten eine Übersicht aller abgeschlossenen Kurse als Nachweis der Durchführung. Dies wird häufig von Auditoren wie bei der ISO 27001 gefordert.
Studien über Security Awareness Schulungen
Über den Wirksamkeit und Erfolgsaussichten von Cyber Security Awareness Schulungen wurden auch schon Studien durchgeführt.
„Die aus dieser Untersuchung resultierende Erkenntnis ist somit, dass Techniker gleichermaßen für Phishing-Angriffe anfällig sind wie Endbenutzer und Führungskräfte.“
„Bei den in dieser Studie durchgeführten Angriffen hat sich bereits gezeigt, dass die Anfälligkeit der Mitarbeiter nach dem Versenden einer Warnung zwar nicht komplett erlischt, jedoch deutlich abnimmt. Versendet die IT-Abteilung zu diesem Zeitpunkt Warnungen an die Mitarbeiter, ist davon auszugehen, dass diese von den Mitarbeitern mehr Beachtung finden als zuvor.“
— aus: „Zur Wirksamkeit von Security-Awareness-Maßnahmen; Giulio Schembre und Andreas Heinemann; in: syssec (2017) S. 13-23″