In vielen Unternehmen sorgen demografischer Wandel und Fachkräftemangel dafür, dass die IT-Abteilungen – sofern überhaupt vorhanden – mit immer weniger Kapazitäten immer mehr leisten müssen. Zusätzlich bringt eine zunehmend komplexere IT-Umgebung eine ebenso komplexe Bedrohungslandschaft mit sich – und angesichts der oftmals schwerwiegenden Folgen eines Angriffs oder Datenverlusts für ihr Unternehmen sollte der Schutz vor Cyberbedrohungen für jede IT-Abteilung höchste Priorität haben.

Gleichzeitig bestehen Unternehmen jedoch nicht nur aus IT-Expertinnen und -Experten: Im oftmals hektischen Arbeitsalltag sind es alle anderen Mitarbeitenden, die unter Umständen unbedacht einen E-Mail-Anhang öffnen oder leichtfertig auf einen gefälschten Link klicken. Eine aktuelle Studie von der «Stanford University and Tessian» ergab etwa, dass Fehler von Mitarbeitenden die Ursache für alarmierende 88 Prozent der Datenschutzverletzungen sind. Es geht also nicht nur darum, immer mehr und effektivere technische Security-Massnahmen zu etablieren, sondern auch darum, das Sicherheitsrisiko durch die eigenen Mitarbeitenden so weit wie möglich zu reduzieren.

Eine einfache Möglichkeit, dies zu erreichen, sind sogenannte Security Awareness Trainings. Dabei handelt es sich um Weiterbildungen, die sich an sämtliche Mitarbeitenden im Unternehmen richten, die nicht explizit im IT-Bereich arbeiten. Diese werden durch die Awareness Trainings dabei unterstützt, Risiken rund um IT-Sicherheit und Datenschutz besser zu erkennen. Ein weiteres Ziel dieser Trainings sollte es sein, im ganzen Unternehmen ein Bewusstsein dafür zu schaffen, dass Cybersicherheit die Verantwortung jedes Einzelnen ist, nicht nur der IT- oder IT-Sicherheitsteams.

Damit das Durchführen entsprechender Trainings nicht als zusätzliche Aufgabe bei den oftmals ohnehin bereits ausgelasteten IT-Expertinnen und -Experten im Unternehmen liegt, lohnt es sich, dafür einen externen Dienstleister an Bord zu holen.

Woran man einen guten Security-Awareness-Training-­Anbieter erkennt

Die besten Ergebnisse erzielt ein solider Mix aus theoretischen Trainingseinheiten und praxisbezogenen Simulationsübungen. Wichtig ist bei beiden Modulen, dass diese so leicht verständlich und benutzerfreundlich wie möglich gestaltet sind, damit sie sich flexibel in den Arbeitsalltag integrieren lassen und dadurch besser angenommen werden. Der thematische Schwerpunkt der Trainings sollte auf Phishing und Social Engineering liegen, denn dies sind die Angriffsmethoden, mit denen Mitarbeitende im Alltag am wahrscheinlichsten konfrontiert werden.

Im Hinblick auf den Ablauf der Trainings sollte zunächst ein Status quo ermittelt werden: Wie reagieren die Mitarbeitenden im Unternehmen auf potenzielle Cyberbedrohungen, und an welchen Stellen lässt sich menschliches Fehlverhalten – nach wie vor einer der grössten Risikofaktoren – langfristig reduzieren? Der nächste Schritt wäre dann, die Mitarbeitenden durch gezieltes Üben entsprechender Risikosituationen für diese zu sensibilisieren und sicheres Verhalten zu fördern.

Da Cyberkriminelle ihre Angriffsmuster und -Technologien kontinuierlich weiterentwickeln, sollten auch die Trainings auf fortlaufender Basis stattfinden und fest im Arbeitsalltag verankert werden. Nicht nur, weil regelmässige Weiterbildungen dafür sorgen, dass die Mitarbeitenden im Unternehmen über die notwendigen Kompetenzen verfügen, um Bedrohungen erkennen und abwehren zu können, sondern auch um langfristig ein besseres Bewusstsein für die Wichtigkeit von IT-Sicherheit im Unternehmen zu schaffen.

« Viele Bedrohungsszenarien sind Folgen von Phishing und Social Engineering »

Mit Cybersecurity-Trainings allein ist es längst nicht getan. Unternehmen sollten den Erfolg von solchen Massnahmen auch messen und bewerten. Wie das funktioniert und wie man Mitarbeitende für Social Engineering sensibilisieren kann, erklärt Torsten Bechler, Leiter Sharp Product Marketing DACH. Interview: Tanja Mettauer

Wie können Unternehmen den Lernerfolg der Trainings ­messen und bewerten?

Torsten Bechler: Idealerweise stellt der Trainingsanbieter ein Dashboard bereit, das alle relevanten Ereignisse und Updates auflistet und protokolliert, beispielsweise wenn Einladungen zu Trainingsmodulen verschickt werden oder simulierte Angriffe stattfinden und Mitarbeitende auf Links darin klicken. So lässt sich der Trainingsfortschritt jedes einzelnen Mitarbeitenden gut nachvollziehen.

Welche Rolle spielen psychologische Aspekte bei Social-­Engineering-Angriffen und wie können Unternehmen ihre Mitarbeitenden darauf vorbereiten?

Eine der Hauptstrategien von Angreifern besteht darin, sich als eine bekannte Autoritätsperson auszugeben. Einerseits wird so ein bestehendes Vertrauensverhältnis simuliert, zum anderen neigen Menschen dazu, Anweisungen von Autoritätspersonen zu befolgen. Darauf aufbauend wird oft Zeitdruck vorgetäuscht, um zu verhindern, dass das Opfer über die Anweisungen nachdenkt. Unternehmen sollten regelmässige Weiterbildungen durchführen, idealerweise mit simulierten Angriffen. Wenn Mitarbeitende häufig mit solchen Situationen konfrontiert sind, agieren sie auch im Ernstfall vorsichtiger und lassen sich nicht unter Druck setzen. Ausserdem helfen eindeutige Sicherheitsrichtlinien. Wenn von Anfang an klar ist, dass alle Anfragen überprüft werden müssen, auch solche von vermeintlichen Autoritätspersonen, schafft dies Sicherheit.

Welche Verhaltensmuster lassen sich bei Mitarbeitenden erkennen, die besonders anfällig für Phishing-Angriffe sind?

Oftmals liegt es schlicht an mangelndem Wissen, sowohl hinsichtlich der Tricks, die von den Angreifern für Phishing genutzt werden, als auch hinsichtlich sicherer Technologienutzung im Allgemeinen. Aber auch Stress ist ein grosser Faktor: Mitarbeitende, die ohnehin bereits unter Zeitdruck stehen oder viel Multitasking betreiben müssen, sind unachtsamer und anfälliger für Druck durch die Angreifer.

Welche Bedrohungsszenarien lassen sich ausser Phishing und Social Engineering zudem simulieren?

Viele der typischen Bedrohungsszenarien sind Folgen von Phishing- und Social-Engineering-Angriffen. Diese Szenarien werden also in diesen Simulationsszenarien «indirekt» mitgeprobt. Dazu zählt beispielsweise eine E-Mail, die angeblich von einem bekannten internen oder externen Kontakt kommt und einen Link enthält, der Ransomware in das Unternehmensnetzwerk schleust. Bei einem simulierten Angriff würden Mitarbeitende beim Klick auf den Link stattdessen einen Hinweis bekommen, dass sie getäuscht wurden, zusammen mit relevanten Tipps und einem Angebot für ein optionales Trainingsmodul.

Wie gestalten Unternehmen effiziente Schulungen für Mitarbeitende mit unterschiedlichen Wissensniveaus?

Die Lösung dafür sind individualisierte Trainingspläne auf Basis der bereits absolvierten Trainingsmodule und der Reaktion eines Mitarbeitenden auf die simulierten Angriffe. Sprich, die Module können zwar standardisiert sein, aber werden in unterschiedlicher Reihenfolge an die Mitarbeitenden ausgespielt, und auch die simulierten Angriffe werden so durchgeführt, dass sie zu kürzlich absolvierten Modulen passen. Voraussetzung dafür ist die kontinuierliche Analyse der Fortschritte der Mitarbeitenden, idealerweise in einem zur Verfügung gestellten Dashboard.