Was der Schlüssel zum Erfolg bei Awareness-Trainings ist
Die überragende Mehrheit aller Cyberangriffe beginnt mit einer Person, die einen Fehler macht. Awareness-Trainings sollen dieser "Schwachstelle Mensch" entgegenwirken. Was dabei essenziell ist, sagt Christian Meier, Head of Business Security Consulting bei Ispin.
Weshalb sind Security-Awareness-Trainings wichtig? Dass man nicht auf irgendwelche komischen Links klicken sollte, weiss man doch unterdessen.
Christian Meier: Security Awareness ermöglicht den Unternehmen, aktiv statt reaktiv zu agieren. Es wird immer Schwachstellen geben, die nicht zeitnah geschlossen werden können oder unbekannt sind. Hier kommt der Faktor Mensch als wichtigste beziehungsweise letzte Abwehrlinie ins Spiel. Schulungen zur Erhöhung des Sicherheitsbewusstseins helfen dabei, Sicherheitsverletzungen zu verhindern.
Was ist der Schlüssel zum Erfolg bei Awareness-Trainings?
Eine erfolgreiche Sensibilisierung sollte sowohl die eigenen Schwächen und den Wissensstand der Mitarbeitenden berücksichtigen als auch die spezifischen Gefahren und Risiken für das Unternehmen. Die Schulungen sollten konkrete Schlüsselpersonen (HR, Finance, IT-Admins) berücksichtigen und individuell gestaltet sein. Zudem ist es wichtig, die Auswirkungen und die Wirksamkeit eines Sicherheitsprogramms zu verstehen.
Wie sorgt man dafür, dass das Gelernte nicht zum Vergessenen wird?
Durch regelmässige Wiederholung. Die Schulungen und Trainings sollten mindestens jährlich stattfinden, besser häufiger. Ausserdem muss ein gewisser Spassfaktor dabei sein - langweilige Web-Based-Trainings (WBTs) sind dafür nicht förderlich. Am besten ist es, wenn das Gelernte auch einen privaten Nutzen für die Schulungsteilnehmer bietet.
Was müssen Reseller selbst können/wissen, um derartige Trainings erfolgreich anzubieten?
Zunächst muss man die Realität kennen, die unsere Berater tagtäglich bei Kunden erleben. Wenn die Sicherheitsschulungen nicht aktuell sind und sich nicht auf "echte" Fälle beziehen, ist eine erfolgreiche Sensibilisierung höchst unwahrscheinlich. Andererseits müssen die Trainings auch Spass machen. Dies erfordert eine gute Portion Kreativität und ein Gespür für Trends, wie zum Beispiel "Gamification".
Inwiefern führt das Angebot von Awareness-Trainings zu weiterem Business für Reseller?
Awareness-Schulungen müssen individuell gestaltet sein und setzen Kenntnisse über die Unternehmenskultur, den Reifegrad der Informationssicherheit und deren Organisation voraus. Dieses bessere Kundenverständnis ermöglicht es, Schwachpunkte (organisatorisch, prozessual oder technologisch) besser zu erkennen und entsprechende Unterstützungen oder Beratungen anbieten zu können. Beispiel: fehlende Prozesse beim Incident Response im Fall, dass Mitarbeitende auf bösartige Betrugsversuche reinfallen.
Die Antworten der weiteren Teilnehmenden des Podiums:
-
Markus Graf, Avantec: "Das Training muss auf den Kunden zugeschnitten werden."
-
Franco Cerminara, Infoguard: "Für einen maximalen Lernerfolg sollten Alltagsbeispiele verwendet werden."
-
Alex Faes, RedIT: "Phishing-Mails sind längst nicht der einzige Angriffsvektor, der behandelt wird."
-
Isil Günalp, Digicomp: "Auch der Unterhaltungsfaktor ist zentral."
-
Cornelia Lehle, G Data: "Awareness-Trainings sind kein Sprint, sondern ein Langstreckenlauf."
-
Alexander Reusch, Axians: "Cybersecurity Awareness ist nur ein Puzzlestück im gesamten Bild."
-
Palo Stacho, Lucy Security: "Das Schulungsbedürfnis in Wirtschaft und Bevölkerung ist enorm!"