Security-Schulungen: Hilfreich oder kann das weg?
Viele Unternehmen investieren beträchtliche Summen in die Schulung ihrer Mitarbeiter für Cybersicherheit. Doch die Effektivität dieser Weiterbildungen wirft Fragen auf: Unsicheres Verhalten am Arbeitsplatz bleibt weit verbreitet und Social Engineering ist immer noch eine der häufigsten Angriffsmethoden, gefolgt von erfolgreichen Datenklaus.
Unternehmen vertrauen auf Schulungen und neigen dazu, ihre Sicherheitsinvestitionen in Mitarbeiterschulungen nach Angriffen zu erhöhen. Laut dem „Cost of the Data Breach Report 2023“ von IBM Security steht dies für 51 Prozent der Unternehmen an zweiter Stelle der Prioritätenliste, gleich nach der Planung und dem Testen von Reaktionen auf Vorfälle. Angesichts der fatalen Bilanz: Warum sollte man das Thema Sicherheitsschulung nicht einfach fallenlassen?
Die Menschen wollen lernen, aber sie haben keine Zeit
Die geringe Effizienz von Schulungen lässt sich nicht mehr mit dem mangelnden Interesse der Mitarbeiter begründen. Eine Umfrage von CybSafe zeigt, dass erstaunliche 64 Prozent der Befragten um Zeit baten, um diese Schulungen in ihren Arbeitsalltag einzuplanen. Weiterhin fanden 43 Prozent von ihnen Engagement und Interaktivität wichtiger als Geldanreize. Sie bevorzugten dynamische und praktische Erfahrungen. Das zeigt, dass Mitarbeiter Schulungen als einen Teil ihres Alltags sehen wollen und nicht nur durch externe Anreize motiviert werden.
Zeit ist der größte Faktor, der dem Lernen im Bereich Cybersicherheit im Wege steht. Mitarbeiter stehen oft unter Zeitdruck, um Deadlines einzuhalten. In einer schnelllebigen Arbeitsumgebung ist es daher verlockend, lange Schulungen zu überspringen und sich stattdessen auf die täglichen Aufgaben zu konzentrieren, um die Ziele zu erreichen.
Menschliche Lösung für menschliche Fehler
Stress, Termindruck und Burnout sind der Grund, warum Menschen Fehler machen und sich auf Social-Engineering-Hacks einlassen. Sicherheitsabteilungen können die fortschrittlichste Technologie in mehreren Verteidigungslinien installieren, aber ein einziger Klick eines Menschen kann alle Tools und Firewalls aushebeln. Sicherheitstrainings sind wie eine tägliche Gewohnheit, die Unternehmen vor großen finanziellen und Rufschäden bewahren kann. Laut IBM Security gab es einen Unterschied von 1,5 Millionen US-Dollar oder 33,9 Prozent bei den Kosten für Datenschutzverletzungen zwischen Unternehmen, die viel und wenig in Sicherheitstrainings investiert haben.
Die Realität ist, dass man den Mitarbeitern beibringen muss, bessere „Wächter der Sicherheit“ des Unternehmens zu sein. Zusammen kann man die menschliche Seite der Abwehr gegen Cyberangriffe stärken und die Integration von Sicherheitsprozessen in unsere Organisationen direkt beeinflussen. Statistiken zeigen deutlich, dass die meisten Angriffe durch die Umsetzung grundlegender Sicherheitspraktiken verhindert werden können.
Wie Feedback das Bewusstseinstraining verändert
Wie bei jedem Ansatz, der sich auf Menschen konzentriert, ist es wichtig zu beachten, dass Menschen unterschiedlich sind. Das ermöglicht Sicherheitsteams, ihre Strategie zur Sensibilisierung für Sicherheitsbewusstsein kontinuierlich anzupassen. Sie konzentrieren sich darauf, ihre Kollegen mit Werkzeugen auszustatten, die ihnen im Falle eines Cyberangriffs von Nutzen sein können.
Beim Softwareunternehmen MacPaw glaubt man beispielsweise daran, dass die Sicherheit des Unternehmens in den Händen des gesamten Teams liegt. Artem Bovtiukh, IT-Sicherheitsingenieur bei MacPaw, erklärt, dass regelmäßige Schulungen zwar die Sicherheitsgrundlagen vermitteln sollen, aber vor allem dazu dienen, eine Sicherheitskultur im Unternehmen zu fördern. „Wir überprüfen die Effizienz der Schulungen durch interne Audits. Das wertvollste Ergebnis ist jedoch, wie aufmerksam und aufmerkend unsere Kollegen auf verdächtige Ereignisse reagieren und diese melden“, so Artem.
Dieses Feedback sei wichtig, um Schulungsmaßnahmen anzupassen. Jeder könne Fragen stellen, verdächtige Vorfälle melden oder Meinungen zur Cybersicherheit äußern. Alle diese Inputs fließen in die Zusammenstellung des nächsten Schulungsmaterials ein. „Unsere Erfahrung zeigt, dass der beste Anreiz für Sicherheitsschulungen nicht in der Zeit oder im bloßen Abschluss liegt“, erklärt Anastasia Hutorova, Learning and Development Specialist bei MacPaw. „Wir sind transparent über die Schulungsziele, ihre Auswirkungen auf die Unternehmensziele und wie sie zur beruflichen Entwicklung unserer Kollegen beitragen.“
MacPaw ermutigt alle Teams, sich Zeit zu nehmen, um das Material zum Sicherheitsbewusstsein durchzuarbeiten. Gemäß der Richtlinie gibt es spezielle Bildungstage, die alle Teammitglieder nutzen können, um sich neues Wissen anzueignen – auch im Bereich der Cybersicherheit. Wenn man bedenkt, dass Zeitmangel der Hauptgrund dafür ist, dass Mitarbeiter Schulungen auslassen oder sich bei der Arbeit unsicher verhalten, klingt die Idee, Zeit zuzuweisen, mehr als vernünftig.