Wie man Awareness-Trainings erfolgreich durchführt
Die überragende Mehrheit aller Cyberangriffe beginnt mit einer Person, die einen Fehler macht. Awareness-Trainings sollen dieser "Schwachstelle Mensch" entgegenwirken. Was dabei essenziell ist, sagt Alexander Reusch, Chief Sales Officer bei Axians Cyber Security.
Weshalb sind Security-Awareness-Trainings wichtig? Dass man nicht auf irgendwelche komischen Links klicken sollte, weiss man doch unterdessen.
Alexander Reusch: Die Realität sieht leider anders aus. Nach wie vor sind viele erfolgreiche Cyberattacken auf Phishing-Kampagnen zurückzuführen. Zu wenige Mitarbeitende sind sich der Risiken im Cyberspace tatsächlich bewusst und noch weniger sind in der Lage, Attacken zu erkennen. Dazu entwickeln sich Phishing-Attacken ständig weiter und werden immer raffinierter. Auch greifen Kriminelle bei ihren Ausspähversuchen auf Methoden der Angewandten Sozialwissenschaften (Social Hacking) zurück. Die Zielpersonen werden dabei psychologisch so bearbeitet, dass sie gar nicht anders als mit einem bestimmten, vom Angreifer gewünschten, Verhalten reagieren können. Hierzu werden sie ausspioniert, es werden ihnen falsche Informationen vorgespielt, sie werden so lange psychischem Druck ausgesetzt, bis sie endlich in der gewünschten Art und Weise reagieren.
Was ist der Schlüssel zum Erfolg bei Awareness-Trainings?
Wie bei allen Trainings basiert der Erfolg auf Kontinuität. Cyber Awareness darf kein einmaliges Ereignis sein und auch das klassische sich jährlich wiederholende Cyber-Training hat ausgedient. Oft wird in Unternehmen Awareness-Training im Sinne einer Alibi-Übung durchgeführt, beziehungsweise um Compliance-Anforderungen zu erfüllen. Erfolgreiches Awareness-Training setzt auf eine Kombination aus kontinuierlichen Trainings-, Test- und Analyseeinheiten. Dies bedeutet, dass die Lernfortschritte der Mitarbeitenden durch gezielte Angriffssimulationen ständig überprüft und die Trainingsmodule dynamisch angepasst werden. Die Trainingsinhalte sollten dabei aktuell und vielseitig sein. Es gilt, die Mitarbeitenden zu motivieren, einen Teil der aktiven Cyberabwehr zu werden. Aus diesem Grund muss Training auch Spass machen.
Wie sorgt man dafür, dass das Gelernte nicht zum Vergessenen wird?
Die Mitarbeitenden durchlaufen einen stetigen Kreislauf, an dem ihr Sicherheits- und Risikobewusstsein langsam und nachhaltig wächst. Das Training bindet die Mitarbeitenden aktiv in die Lernprozesse ein, ist zugeschnitten auf die Kultur der Organisation und die Funktionen, Sicherheitsfreigaben, Stärken, Schwächen und Lerntyppräferenzen der Mitarbeitenden und ist portioniert in Themenblöcke, die in regelmässigen Abständen über längere Zeiträume vermittelt werden.
Was müssen Reseller selbst können/wissen, um derartige Trainings erfolgreich anzubieten?
Awareness-Trainings müssen darauf ausgerichtet sein, das Sicherheits- und Risikobewusstsein der Mitarbeitenden schnell und nachhaltig anzuheben. Diese sollten auf einer praxisbewährten Kombination von Schulungseinheiten, Tests im Arbeitsalltag sowie qualitativen Analysen basieren. Dazu muss man als Partner die täglichen Herausforderungen des Unternehmens und deren Mitarbeitende verstehen.
Inwiefern führt das Angebot von Awareness-Trainings zu weiterem Business für Reseller?
Cybersecurity Awareness ist ein wichtiger Bestandteil der Sicherheitsstrategie von Unternehmen. Es ist aber nur ein Puzzlestück im gesamten Bild. Die Definition eines passenden Sicherheitskonzepts stellt eine grosse Herausforderung dar, die Unternehmen in der Regel ohne Unterstützung von externen Cyber-Experten nicht bewältigen können. Hier bietet sich die Chance für Partner, eine Vertrauensbasis zu schaffen, um Unternehmen mit einem gesamtheitlichen Ansatz beraten zu können.
Die Antworten der weiteren Teilnehmenden des Podiums:
-
Markus Graf, Avantec: "Das Training muss auf den Kunden zugeschnitten werden."
-
Franco Cerminara, Infoguard: "Für einen maximalen Lernerfolg sollten Alltagsbeispiele verwendet werden."
-
Alex Faes, RedIT: "Phishing-Mails sind längst nicht der einzige Angriffsvektor, der behandelt wird."
-
Isil Günalp, Digicomp: "Auch der Unterhaltungsfaktor ist zentral."
-
Cornelia Lehle, G Data: "Awareness-Trainings sind kein Sprint, sondern ein Langstreckenlauf."
-
Christian Meier, Ispin: "Das Gelernte sollte auch einen privaten Nutzen bieten."
-
Palo Stacho, Lucy Security: "Das Schulungsbedürfnis in Wirtschaft und Bevölkerung ist enorm!"