Security Awareness Schulung – Notwendigkeit und Fallstricke

03.12.2018

Security Awareness

IT-Systeme sind zahlreichen Angriffen ausgesetzt, häufiger denn je haben es Cyberkriminelle auf Daten abgesehen. Die Angriffe können auf unterschiedlichste Weise erfolgen – und eine der größten Gefahrenquellen befindet sich unmittelbar im Unternehmen. Gemeint sind die eigenen Mitarbeiter. Sie sind es, die unbewusst gefährliche Dateianhänge öffnen oder auf Nachfrage Passwörter preisgeben. Damit gefährden Sie nicht nur den Datenschutz, sondern auch den wirtschaftlichen Erfolg. Sollten die Mitarbeiter hingegen über eine ausgeprägte Security Awareness verfügen, sinken die Risiken erheblich.

Security Awareness drückt aus, dass sich Mitarbeiter der bestehenden Gefahren bezüglich der IT-Systeme und Daten bewusst sind. Ihnen ist bekannt, welche Risiken existieren und worauf die Angreifer abzielen. Sobald dieses Bewusstsein existiert, besteht auch eine erhöhtes Sicherheitsniveau. Geschaffen wird es mithilfe von Schulungen, in denen eine Vermittlung aller relevanten Aspekte rund um die IT-Sicherheit erfolgt.

Inhalte von Security Awareness Schulungen

Im Kern lassen sich Schulungsinhalte in zwei Bereiche unterteilen. Da ist zunächst die IT-Sicherheit. Schulungsteilnehmer erfahren, worauf es Angreifer abgesehen haben und welcher Angriffsmethoden sie sich bedienen. Meist ist dieser Part relativ technisch gehalten, es kann sein, dass z.B. der Umgang mit Software vermittelt wird. Typische Themen einer solchen IT-Sicherheitsschulung sind:

  • Datenspeicher
  • E-Mails
  • Identitätsdiebstahl
  • Informationspflichten
  • Mobile Geräte
  • Passwortsicherheit
  • Phishing
  • Soziale Netzwerke

Der zweite Bereich befasst sich vorrangig mit unternehmensspezifischen Prozessen. Es geht nicht nur darum, Gefahren zu erkennen, sondern sie beispielsweise auch richtig zu melden. Es werden Verhaltensregeln aufgesetzt und vermittelt, damit jeder Mitarbeiter genau weiß, was im Ernstfall zu tun ist.

Manchmal kommt die Frage auf, worin der Unterschied zwischen einer Datenschutzschulung und einer Security Awareness Schulung besteht. Zugegeben, es existieren weite Überschneidungen. In Datenschutzschulungen stehen personenbezogene Daten und teilweise auch rechtliche Aspekte im Mittelpunkt, während Security Awareness Schulungen oft stärker auf technische Aspekte ausgelegt sind. Aufgrund der erheblichen Überschneidungen beim Inhalt ist es nicht ungewöhnlich, dass beide Themengebiete in einer Schulung vereint werden.

Aufgrund der Tatsache, dass jedes Unternehmen seine Prozesse individuell gestaltet, helfen allgemeine Schulungen nur bedingt weiter. Für einen optimalen Nutzen führt kein Weg daran vorbei, Schulungsinhalte individuell auf das Unternehmen und die Bedürfnisse sowie Vorkenntnisse der Mitarbeiter zurechtzuschneiden.

Schulungsformen im Überblick

Bei der Umsetzung entscheiden sich die meisten Unternehmen für die Klassenraumschulung. Die Teilnehmer sind allesamt vor Ort präsent und werden von einem Trainer oder Workshop-Leiter unterrichtet. Vorteil dieser Schulungsmethode ist die persönliche Kommunikation. Der Trainer kann gut abschätzen, ob die Schulungsinhalte verstanden wurden, zugleich können die Teilnehmer jederzeit Fragen stellen, von deren Beantwortung die gesamte Gruppe profitiert.

In großen Organisationen wird gerne auf Online-Training gesetzt. Die Vermittlung der Schulungsinhalte ist zwar unpersönlicher, aber dafür kann z.B. jeder neue Mitarbeiter sofort am Datenschutz- und Security-Training teilnehmen – und das sogar unabhängig von seinem Aufenthaltsort. Außerdem lässt sich im selben Atemzug eine Prüfung integrieren, um den Lernerfolg zu messen.

Kontrollen dieser Art sind wichtig. Mittels Test lässt sich feststellen, ob Mitarbeiter alle entscheidenden Inhalte verstanden haben. Dies ist eine zwingende Voraussetzung, um das angestrebte Niveau in der IT-Sicherheit zu erreichen.

Häufigkeit der Schulungen

Dieses Niveau kann nur aufrechterhalten werden, sofern sämtliche Mitarbeiter, die Zugriff auf IT-Systeme oder gar personenbezogene Daten haben, geschult sind. Allerdings sind personelle Veränderungen nicht auszuschließen, weil Unternehmen z.B. wachsen oder eine gewisse Mitarbeiterfluktuation besteht. Zugleich besteht die Notwendigkeit, neue Mitarbeiter zeitnah zu schulen.

Ebenso sollten bereits geschulte Mitarbeiter in regelmäßigen Abständen erneut an Schulungen teilnehmen. Zum einen empfiehlt sich dies aufgrund der Gefahr, dass Inhalte im Lauf der Zeit in Vergessenheit geraten. Zum anderen ist das IT-Umfeld von zahlreichen Neuerungen geprägt, auf die Cyberkriminelle reagieren und sich neue Angriffe ausdenken. Somit kann es notwendig sein, Mitarbeiter über solche Änderungen zu informieren.

Fallstricke in der Praxis

Trotz guter Absicht führen Security Awareness Schlungen nicht immer zum gewünschten Ergebnis. Hierfür zeigen sich vorrangig zwei Gründe verantwortlich. Da wäre zunächst die Einbindung der Mitarbeiter. Manchmal wird im Vorfeld zu wenig darüber informiert, weshalb die Schulungsteilnahme wichtig ist und welche Ziele damit verbunden sind. Als Folge fühlen sich einige Mitarbeiter bevormundet oder sogar veralbert. Entsprechend niedrig ist die Bereitschaft, sich mit den Schulungsinhalten auseinanderzusetzen, was sich wiederum auf den Lernerfolg auswirkt.

Zweitens ist die Art der Durchführung von großer Bedeutung. Häufig werden IT-Themen von Experten vermittelt, die ihre eigene Fachsprache verwenden, damit jedoch nicht immer Zugang zu den Teilnehmern finden. Als Folge droht die Schulung trotz korrekter und ggf. sogar hochkarätiger Inhalte ihr Ziel zu verfehlen.

Ebenso kann die erwähnte Erfolgskontrolle zu Schwierigkeiten führen. Zumeist stehen Mitarbeiter solchen Tests sehr kritisch gegenüber und befürchten, das Ergebnisse können beeinflussen, wie Vorgesetzte über ihre sonstigen Leistungen denken.

Damit Schulungen in Security Awareness und Datenschutz eine optimale Wirkung erzielen, sind besagte Aspekte bereits im Rahmen der Schulungsplanung zu berücksichtigen. Wer sich diese Zeit nimmt und Schulungen sowie Workshops ganzheitlich auf Unternehmen und Mitarbeiter abstimmt, erzielt die besten Ergebnisse.

Unterstützung vom Datenschutzexperten

Unsere Experten für Datenschutz und Informationssicherheit führen nicht nur in Städten wie Erlangen oder Leipzig, sondern bundesweit Schulungen in Unternehmen durch. Profitieren auch Sie von unserer langjährigen Erfahrung, gerne stehen wir Ihnen zur Seite, indem wir maßgeschneiderte Schulungskonzepte ausarbeiten und auf Wunsch auch die Schulungen übernehmen.