Fachartikel

20.07.2020

Welches Security Awareness Training Ihnen wirklich Kosten spart

Schon in unserem Interview mit Europa’s besten Hacker Tobias Madl, haben wir die Frage nach den größten Sicherheitslücken für Unternehmen gestellt. Seine Antwort: Auf Platz 1 steht immer noch der Mensch.

Und tatsächlich. Einer IBM Studie zu Datensicherheitsverstößen zufolge, hat im letzten Jahr bei der Hälfte aller Daten-Breaches weltweit, das menschliches Versagen eine Rolle gespielt. Das hat die Unternehmen wiederum $3.50 Millionen gekostet. Die richtige Wahl bei Awareness Schulungen und Training ist dementsprechend maßgeblich von Bedeutung, um nicht nur seine Daten zu schützen, sondern auch unnötige Kosten zu sparen.

Ohne Awareness der Mitarbeiter sind Unternehmen niemals sicher.

Selbst das robusteste Sicherheitssystem kann ein falsches Klicken oder das manuelle Öffnen von Anhängen nicht verhindern, wenn einem Mitarbeiter das Wissen, die Aufmerksamkeit oder die Betroffenheit fehlt. Allerdings ist es auch die Aufgabe der Vorgesetzten dafür zu sorgen, dass man eine solche Awareness von seinen Mitarbeitern überhaupt erst einmal erwarten kann.

Deshalb setzen bereits viele Firmen auf Schulungsprogramme zum Thema Cybersicherheit.

Im jährlich erscheinenden E-Mail Security Report von 2020 hat die Mehrheit der befragten Unternehmen angegeben, ein solches Awareness Training bereits wahrzunehmen. Allerdings bieten nur 20 % der Unternehmen ein solches Training auch monatlich an, was von Experten als Goldstandard angesehen wird. Selten stattfindende und inkonsistente Schulungen dagegen helfen weder Mitarbeitern noch dem Unternehmen. Kommen dann noch Inhalte dazu, die nicht ansprechend oder spannend für die Beteiligten sind, hätte man sich den gesamten Aufwand genauso sparen können.

Awareness Schulung als Langzeit-Strategie garantiert effektivere Ergebnisse.

Unternehmensintern erarbeitete Awareness Schulungen werden häufig nicht aus der passenden Perspektive der Mitarbeiter heraus entwickelt. Dementsprechend wird erwünschtes Engagement eher durch Angst und Druck erzwungen, was nur einen Kurzzeiteffekt nach sich zieht, der sich dann letztendlich in Passivität und Unmut festigt.

Aus diesem Grund haben sich Anbieter darauf spezialisiert, hier konsistente, wirklichkeitsnahe und positiv internalisierende Awareness Schulungen und Trainings zu entwerfen, die auch nachhaltig den Mitarbeitern das nötige Wissen, Aufmerksamkeit und Betroffenheit vermitteln. Die wichtigsten Kriterien für solche nachhaltigen Awareness Schulungen haben wir einmal zusammengefasst:

Engaging Training

Ein gutes visuelles Werkzeug ist vor allem ein Angebot an Videos, die in Modulen einen Best-Practice-Ansatz vermitteln können. Wichtig ist dabei, dass diese nicht zu lange dauern und neben reiner Information auch Spaß vermitteln. Motivierte und engagierte Mitarbeiter lernen schneller und nachhaltiger. Themenblöcke sollten leicht verständlich sein und in ihre Einzelteile heruntergebrochen werden. Einfache Fragen, die geklärt werden sollten, sind beispielsweise:  

  • Was ist die Bedrohung?
  • Was kann man dagegen tun?
  • Was sind die Konsequenzen für das Unternehmen?
  • Was sind die persönlichen Auswirkungen?

Real World Testing

Um die richtige Ansprache und Inhalte für Mitarbeiter zu finden, muss man zunächst verstehen, wie jeder einzelne Betroffene überhaupt zum Thema Security im Unternehmen steht. Dazu erhobene Fragebögen sollten in zeitlichen Abständen wiederholt werden, um zu sehen, wie sich Meinung und Einstellung entwickeln. Dementsprechend können schließlich auch die tatsächlichen Phishing Test-Ergebnisse besser interpretieren werden.

Dazu gehört auch, das bereits vorhandene Wissen festzustellen, um darauf aufbauend Fragen stellen zu können, die nicht nur Schlüsselkonzepte verstärken, sondern auch ein positives Lernerlebnis ermöglichen. Besonders hilfreich sind bei solchen Abfragen individualisierte Phishing Mails, die in real-time versendet werden können.

Mitarbeiter und Unternehmens Risk Scoring

Nicht jeder Mitarbeiter lernt gleich schnell. Um diejenigen zu unterstützen, die ein wenig mehr Hilfe benötigen, braucht man ein Vorhersage- oder Verteilungsmodell, sodass man mögliche Angriffe besser prognostizieren kann und Schulungsressourcen, für diejenigen vorsieht, die ihr Wissen und Awareness noch ausbauen müssen. So kann ein Risiko der menschlich verursachten Daten-Breaches deutlich reduziert werden.

Maßgeschneidertes, personalisiertes Training und andere Abhilfemaßnahmen

Individualisierte Lösungen sind die beste Methode, damit sowohl Unternehmen als auch Mitarbeiter die besten, nachhaltigen Ergebnisse erzielen können. Aus den einzelnen Mitarbeiterprofilen kann festgestellt werden, ob regelmäßiger Schulungen durchgeführt werden sollten oder ob in manchen Teams ein Einzelcoaching besser wäre. Jedes Unternehmen ist einzigartig, genau wie seine Mitarbeiter. Und genauso individuell anpassbar sollten auch ihre Awareness Schulungen sein.

 

Falls Sie auf der Suche nach einer passenden Awareness-Schulung für Ihr Unternehmen sind, melden Sie sich gerne bei uns und wir finden den bestpassenden Anbieter für Sie und Ihre Mitarbeiter. Senden Sie uns dazu gerne eine Mail an info@knooing.de oder nehmen Sie über unsere Website Kontakt mit uns auf. Gemeinsam finden wir die bestpassende Lösung für Ihr individuelles Projekt.