Security Awareness Training: Unverzichtbar oder überflüssig?
Sicherheitsschulungen sind eine wesentliche Maßnahme für die Abwehr von Cyberangriffen. Oder etwa nicht? In der Fachwelt gibt es auch kritische Einschätzungen. Wir fassen für dich die wichtigsten Pro- und Contra-Argumente zusammen und zeigen dir, worauf es bei einem effektiven Trainingsprogramm ankommt.
Ein falscher Klick kann verheerende Folgen haben. Etliche Cyberangriffe beginnen mit dem Ausnutzen menschlicher Fehler. Expertinnen und Experten sind sich weitgehend einig: Der Mensch ist eine der Hauptursachen für erfolgreiche Cyberangriffe.
Security Awareness Trainings sind weit verbreitet – und teils auch Pflicht
Mit Security Awareness (kurz: SecAware) Trainings die Mitarbeiter zu sensibilisieren und Fehler zu verringern, ist deshalb ein sehr naheliegender Schritt in Richtung einer besseren Cybersicherheit. Es gibt SecAware-Angebote in den unterschiedlichsten Formen – von strukturierten Kursen bis hin zu simulierten Attacken.
Teilweise sind solche Schulungen sogar verbindlich:
- Aus der Datenschutzgrundverordnung ergeben sich Verpflichtungen für Mitarbeiterschulungen rund um Datenschutz und IT-Sicherheit.
- Die neue europäische NIS-2-Richtlinie schreibt Schulungen für die Geschäftsleitung vor, um Cybergefahren zu bewerten und Gegenmaßnahmen billigen zu können.
- Um bestimmte Cyber-Versicherungen abschließen zu können, werden Nachweise über regelmäßig stattfindende Awareness Trainings vorausgesetzt.
Sind Awareness-Trainings eine Zeitverschwendung?
Obwohl SecAware-Trainings klar motiviert und weit verbreitet sind, gibt es in der Cyber Security-Szene auch vereinzelt kritische Stimmen, die den Sinn der Maßnahmen in Frage stellen. Einer der bekanntesten Kritiker ist der renommierte Sicherheitsexperte Bruce Schneier. Er sieht Security Awareness Trainings als Zeitverschwendung. Seiner Ansicht nach verschleiert der Fokus auf Schulungen in vielen Bereichen nur ein unzureichendes Sicherheitsdesign.
Mit Blick auf die IT-Branche ist das eine nachvollziehbare Kritik. Denn je besser Sicherheitsarchitekturen ausgestaltet sind, desto weniger Raum eröffnet sich überhaupt für menschliche Fehler. Wenn zum Beispiel ein Spam-Filter sämtliche Phishing-Mails aussortiert, sinkt das Risiko, dass Mitarbeiter auf schädliche Links klicken. Wenn Berechtigungen gut durchdacht sind, können Hacker nicht mit einem gekaperten Mitarbeiter-Account die gesamte IT-Landschaft stilllegen.
Mitarbeiter sollten im Cyberkampf nicht an die Front
Was Bruce Schneier mit seiner Einschätzung in erster Linie kritisiert, ist der Trend, Mitarbeiter im Cyberkampf an die vorderste Front zu stellen und Verantwortung auf sie abzuwälzen. Dieser Weg sei zum Scheitern verurteilt. Denn Cyber-Bedrohungen ändern sich ständig und werden laufend komplexer.
Und wenn es zum Beispiel im Gesundheitssektor trotz aufwändiger Kampagnen nicht gelingt, die Menschen zum richtigen Händewaschen zu bewegen, wie soll ein vergleichbarer Ansatz im Bereich der IT-Sicherheit funktionieren?
Insofern kann die Kritik an den Trainings eher als Kritik an den Prioritäten in der IT-Sicherheit an sich verstanden werden. Doch sind Security Awareness -Maßnahmen deshalb völlig überflüssig? Keineswegs. Es kommt aber sehr darauf an, wie sie verstanden werden und unter welchen Rahmenbedingungen sie zum Einsatz kommen.
Was ein sinnvolles Security Awareness-Programm ausmacht
Damit SecAware-Initiativen ihre volle Wirkung entfalten, sind folgende Punkte zu berücksichtigen:
Kontinuität
Eine einmalige Schulung oder Informationsveranstaltung bringt wenig. Das Trainingsprogramm sollte auf Dauer angelegt sein. Ein ausgereiftes SecAware-Programm beginnt schon beim Onboarding und bietet den Mitarbeitern immer wieder passende und anspruchsvolle Lern- und Informationsangebote.
Praxisbezug
Trockene Theorie führt in der Cybersicherheit selten zu Lernerfolgen. Das SecAware-Training sollte unbedingt auch praktische Elemente beinhalten – sei es in Form von interaktiven Online-Plattformen oder simulierten Attacken. Mittlerweile gibt es zum Beispiel Sicherheitsanbieter, die Angriffe mit Phishing-E-Mails simulieren und mit einer Aufklärungskampagne koppeln.
Differenzierte Lerninhalte
Schulungen sollten auf unterschiedliche Wissensstände und Arbeitskontexte eingehen. Ein Web-Administrator benötigt ein anderes Training als ein Mitarbeiter der Marketing-Abteilung – zumal mit ihren Positionen typischerweise völlig unterschiedliche Rollen und Berechtigungen verbunden sind.
Kombination mit weiteren Maßnahmen
SecAware-Trainings sind ein Baustein der IT-Sicherheit, der stets mit weiteren Bausteinen kombiniert werden sollte – zum Beispiel mit einem Notfallplan, einem ausgeklügelten Rechtekonzept, Backup-Management sowie Antivirensoftware und Spamfilter.
Fazit
Trotz der genannten Kritikpunkte zählt das Awareness Training zu Recht zu den wichtigsten Schutzmaßnahmen der IT-Sicherheit. Fakt ist: Kein IT-System ist hundertprozentig sicher. Cyberkriminelle werden immer versuchen, Menschen im digitalen Raum mittels Social Engineering zu manipulieren und sich dadurch zu bereichern. Wer ihre Methoden kennt, kann Betrugsfällen vorbeugen.
Klar sollte aber auch sein, dass nicht jeder Mitarbeiter ein Cyber Security-Experte werden muss. Cyber Security Awareness Trainings sind kein Allheilmittel gegen die Gefahren der Cyberkriminalität. Es kann technische Maßnahmen und eine gut durchdachte IT-Sicherheitsstrategie nicht ersetzen. Wenn Menschen Fehler machen, hat weniger der Mensch als vielmehr die Organisation versagt.
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Jochen Jasch
Leitung Kundenbetreuung
oder ein Account Manager aus seinem Team meldet sich umgehend.