Sicherheitsprüfung
einzelner Dienste

Security Awareness

Als Geschäftsinhaber haben Sie viel um die Ohren, während wir alle mit der COVID-19-Situation zu kämpfen haben. Ihre Belegschaft ist wahrscheinlich auf eine aufgeteilt, wie Sie es noch nie erlebt haben und die Weise, wie jeder mit Ihren Ressourcen in Verbindung tritt, ist aus Sicherheitsperspektive vielleicht nicht gerade ideal. In dieser Situation ist ein umfassendes Programm zur Förderung des Sicherheitsbewusstseins wichtiger denn je.

Wussten Sie…

Wussten Sie, dass die meisten Cyber-Sicherheitsverletzungen auf menschliches Fehlverhalten zurückzuführen sind? Das liegt daran, dass die meisten Menschen sich den diversen Cyberbedrohungen nicht bewusst sind, die sie selbst und Ihr Unternehmen gefährden!

Ohne ein grundlegendes Sicherheitsbewusstsein (Security Awareness) ist die Wahrscheinlichkeit größer, dass auf Phishing-Links geklickt, oder verdächtige Dateien heruntergeladen werden. Sie können zum Verlust sensibler Daten, zu saftigen Geldstrafen und sogar zu Rufschädigung führen! Es steht so viel auf dem Spiel, sodass wir unsere Abwehrmaßnahmen verstärken müssen.

Das fängt bei den Menschen an; sie sind die erste Verteidigungslinie. Wir müssen die unterschiedlichen Arten der Online-Bedrohungen verstehen und ein solides Sicherheitsbewusstsein gegenüber Cyberrisiken schaffen.

Was ist Security Awareness?

Sicherheitsbewusstsein (Security Awareness) bedeutet, dass sich alle Mitarbeiter für die Sicherheit der Daten und Informationssysteme eines Unternehmens verantwortlich fühlen und wissen, wie sie Sicherheitsverletzungen und Sicherheitsvorfälle auf individueller Ebene verhindern können.

Security Awareness ist das neue Schlagwort in der Technologiebranche, aber es zielt darauf ab, eine Lücke in der Cybersicherheit zu schließen, die schon seit langem besteht. Diese Lücke ist das Verhalten der Endnutzer. Anstatt einfach nur eine weitere Schutzschicht wie Virenschutz oder eine Firewall bereitzustellen, liegt der Schwerpunkt bei Security Awareness auf der Zusammenarbeit mit den Endbenutzern. Ziel ist es, sicherzustellen, dass Mitarbeitende über das nötige Wissen verfügen, um intelligente Entscheidungen zu treffen und so Ihr Unternehmen zu schützen.

Security Awareness ist ein Zusammenspiel von:

– Wissen (Ich habe das Problem erkannt, verstanden und weiß, was zu tun ist!)

– Können (In meinem organisatorischen Umfeld ist sicherheitskonformes Handeln grundsätzlich möglich)

– Wollen (Ich möchte sicherheitskonform handeln!)

Warum ist Security Awareness wichtig?

Um Datenschutzverletzungen und Phishing-Angriffe zu verhindern

Natürlich lässt sich die Anzahl der Sicherheitsverletzungen, die durch ein Schulungsprogramm verhindert werden, nur schwer quantifizieren.

In einer idealen Welt der Cybersicherheit könnten wir eine kontrollierte Studie durchführen, in der wir diejenigen, die geschult wurden, mit denjenigen vergleichen, die nicht geschult wurden. Aber das würde für die meisten Unternehmen einen Schritt zu weit gehen.

Was wir jedoch tun können, ist, den Return on Investment (ROI) von Security Awareness nachzuweisen. Und wie? Indem wir die Anzahl der Vorfälle vor und nach den Aktivitäten zur Sensibilisierung für Cybersicherheit vergleichen. Die sich daraus ergebenden Metriken können als Indikator für den ROI dienen.

Aber wir müssen nicht einmal rechnen, um Ihnen zu sagen, das Datenschutzverletzungen Millionen kosten können, während Schulungen zum Sicherheitsbewusstsein relativ preiswert sind. Es braucht also wirklich nicht viel, um mit Schulungen zum Thema Cybersicherheit ernsthafte Gewinne zu erzielen.

Um eine Sicherheitskultur zu schaffen

Die Entwicklung einer Sicherheitskultur gilt seit langem als der heilige Gral für Chief Information Security Officers (CISOs). Doch dieses Ziel ist bekanntermaßen schwer zu erreichen.

Mit Hilfe von Schulungen zum Sicherheitsbewusstsein gehen immer mehr Unternehmen in die richtige Richtung.

Eine Sicherheitskultur zu schaffen bedeutet, Sicherheitswerte in die Struktur Ihres Unternehmens zu integrieren. Schulungen, die das Situationsbewusstsein (warum jemand gefährdet sein könnte) sowie die Vorteile für die Arbeit und das Privatleben abdecken, sind ein guter Weg, um die Mitarbeiter mit ins Boot zu holen.

Fortgeschrittene Schulungsplattformen können bei der Überwachung und Entwicklung einer Sicherheitskultur helfen und die Mitarbeiter zu Ihrer ersten Verteidigungslinie gegen Social Engineering-Angriffe machen.

Um die Wirkung eingesetzter technologischer Maßnahmen zu verbessern

Technologische Schutzmaßnahmen sind eine wertvolle Waffe zur Verhinderung von Sicherheitsverletzungen. Aber technologische Schutzmaßnahmen erfordern stets den Einfluss von Menschen.

Firewalls müssen aktiviert werden. Sicherheitswarnungen müssen zur Kenntnis genommen werden. Die Software muss aktualisiert werden.

Nur wenige Unternehmen würden heute davon träumen, ohne technische Schutzmaßnahmen zu arbeiten. Doch ohne Schulungen zum Sicherheitsbewusstsein und zur Cybersicherheit können technische Schutzmaßnahmen ihr Potenzial nicht entfalten.

Angreifer machen sich heute selten die Mühe, Unternehmen ausschließlich mit technischen Mitteln anzugreifen. Heutige Angreifer haben es in der Regel auf Menschen abgesehen, da sie einen einfachen Weg in geschützte Netze sehen.

Um ihren Kunden Vertrauen zu geben

Die Verbraucher sind sich der Cyber-Bedrohungen zunehmend bewusst. Und als Kunden wollen sie sich sicher fühlen.

Das bedeutet, dass ein Unternehmen, das Maßnahmen zur Verbesserung der Cybersicherheit ergreift, das Vertrauen der Verbraucher gewinnt. Und wir alle wissen, dass ein vertrauenswürdiges Unternehmen die Loyalität der Kunden stärkt.

Das ist keine Mutmaßung. Eine kürzlich von Arcserve durchgeführte Umfrage zeigt, dass 70 % der Verbraucher der Meinung sind, dass die Unternehmen nicht genug für die Cybersicherheit tun. Und fast 2 von 3 Verbrauchern würden es wahrscheinlich vermeiden, mit einem Unternehmen Geschäfte zu machen, das im letzten Jahr einen Cyberangriff erlebt hat.

So sind zum Beispiel kompromittierte Endpunktsicherheit, Phishing-Angriffe, Social Engineering und Datenschutzverletzungen häufige Sicherheitsvorfälle, die in den Köpfen der Verbraucher rote Fahnen wecken könnten.

Es ist klar, dass die Kunden auf Sicherheitsnachweise achten. Wenn Sie Schulungen zum Sicherheitsbewusstsein einführen, sehen Ihre Kunden Sie als verantwortungsbewusster an, was für Ihr Unternehmen nur von Vorteil sein kann.

Für die Compliance

Um es klar zu sagen: Die Einhaltung von Vorschriften allein ist kein Grund, Schulungen zum Sicherheitsbewusstsein einzuführen.

Wenn Sie Schulungen nur einführen, um die Vorschriften einzuhalten, dann tun Sie wahrscheinlich nur das Nötigste. Und das ist keine gute Sache.

Dennoch fordern immer mehr Aufsichtsbehörden, dass bestimmte Branchen Schulungen zum Sicherheitsbewusstsein einführen.

Um als Unternehmen sozial verantwortlich zu handeln

Wie WannaCry und NotPetya im Jahr 2017 gezeigt haben, können sich Cyberangriffe schnell verbreiten.

Je mehr Netzwerke infiziert werden, desto gefährdeter werden andere Netzwerke. Und die Schwäche eines Netzwerks erhöht die Gesamtbedrohung für andere.

Das bedeutet, dass das Fehlen von Schulungen zum Sicherheitsbewusstsein in einer Organisation andere Organisationen angreifbar macht. Es ist ein bisschen so, als würde man seine Haustür unverschlossen lassen – mit den Schlüsseln zur Wohnung des Nachbarn darin.

Schulungen zum Sicherheitsbewusstsein kommen nicht nur Ihnen zugute. Es kommt auch Ihren Kunden, Ihren Lieferanten und allen anderen zugute, die mit Ihrem Netz verbunden sind.

Um das Wohlbefinden der Mitarbeiter zu verbessern

Es ist hinlänglich bekannt, dass glückliche Menschen auch produktive Menschen sind.

Es lohnt sich also, daran zu denken, dass Schulungen zum Sicherheitsbewusstsein die Menschen nicht nur am Arbeitsplatz schützen. Es schützt sie auch im Privatleben vor Cybersicherheitsbedrohungen, Phishing und Social Engineering.

Denken Sie daran: Wenn Schulungen zum Bewusstsein für Cybersicherheit das leisten, was sie zur Vorbeugung von Bedrohungen leisten sollen, sind sie nicht nur ein Vorteil für den Arbeitgeber. Es ist auch ein Vorteil für die Mitarbeiter.

Elemente eines Security Awareness Programms

Testing

Ihre Endbenutzer müssen in Situationen versetzt werden, in denen sie darüber entscheiden, ob ein Eindringen in das Unternehmen erfolgt oder nicht. Dies geschieht durch Phishing-Simulationen. Phishing-Simulationen sind vorgetäuschte Phishing-Angriffe und gefälschte E-Mails, die von uns erstellt werden, um zu testen, wie die Benutzer auf Phishing-Versuche reagieren. Anhand der Ergebnisse dieser Tests können Sie feststellen, wie anfällig Ihr Unternehmen für einen Phishing-Angriff ist. Sie können diese Ergebnisse nutzen, um die allgemeine Verbesserung im Unternehmen im Laufe der Zeit zu verfolgen. Außerdem können die Endbenutzer auf diese Weise gute Entscheidungsfindungs- und Meldeverfahren einüben, um sicherzustellen, dass bösartige E-Mails ordnungsgemäß gemeldet werden.

Training

Der Zweck der Tests besteht darin, herauszufinden, welche Benutzer auf den Köder hereinfallen und welche Arten von Ködern am erfolgreichsten sind. Im nächsten Schritt werden die Ergebnisse der Tests verwendet, um Ihre Schulungen zum Sicherheitsbewusstsein anzupassen.

Die Endbenutzer lernen hierdurch, worauf sie in Zukunft achten müssen, damit derselbe Fehler nicht noch einmal gemacht wird. Ein gutes Schulungsprogramm ermöglicht es Ihnen, verschiedene Arten von Schulungen für verschiedene Benutzer auf der Grundlage der individuellen Testergebnisse anzubieten. Deshalb ist es so wichtig, zu verfolgen, wer auf die Links geklickt hat, damit Sie den entsprechenden Personen die richtigen Schulungen zuweisen können. Dabei kann es sich um eine phishingspezifische Schulung, eine allgemeine Schulung zum Sicherheitsbewusstsein, oder eine spezifischere Schulung handeln, die auf die für Ihr Unternehmen wichtigen Themen zugeschnitten ist.

Reporting

Beim Reporting erhalten Sie einen Überblick aller Ergebnisse der Awareness Kampagne. Die Berichterstattung spielt in Ihrem Programm zwei entscheidende Rollen:

– Identifizieren, welche Benutzer welche Art von Schulung benötigen

– Evaluation des Erfolgs Ihrer Schulung