Mit dem bevorstehenden Inkrafttreten der NIS-2-Richtlinie richtet sich der Blick der Unternehmenswelt verstärkt auf die Notwendigkeit einer umfassenden Cybersicherheitsstrategie. Im Zuge dieser Richtlinie, die auf die Verbesserung der Resilienz kritischer Infrastrukturen und digitaler Dienste abzielt, gewinnen Sicherheitsbewusstseinstrainings für Führungskräfte und Mitarbeiter eine entscheidende Bedeutung.
Konkret werden Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen verpflichtet, an Schulungen teilnehmen zu müssen und allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken im Bereich der Cybersicherheit zu erwerben. Es übersteigt damit die die Zielgruppe traditioneller IT-Abteilungen und betont, dass Sicherheit die kollektive Verantwortung jedes Einzelnen innerhalb einer Organisation ist.
Sicherheitsschulungen als menschliche Firewall
Die Statistiken unterstreichen die Dringlichkeit. Studien zeigen, dass eine signifikante Mehrheit von Verstößen auf menschliche Fehler zurückzuführen ist. Die diesjährige Ausgabe des jährlichen Verizon Data Breach Investigations Report (DBIR) ergab, dass 74 Prozent der Datenverletzungen eine menschliche Komponente hatten, wobei Phishing einer der verbreitetsten Einfallstore bleibt. Die Angriffe und Vorfälle bedeuten nicht nur operative Störungen, sondern auch erhebliche finanzielle Auswirkungen, da die durchschnittlichen Kosten für Sicherheitsverstöße jedes Jahr steigen. So wurde jedes zweite Unternehmen in Deutschland innerhalb der letzten 24 Monate mindestens einmal Opfer einer Cyberattacke. Der finanzielle Schaden betrug im Jahr 2023 laut Bitkom allein in Deutschland 206 Milliarden Euro – fast die Hälfte des BIPs von Österreich.
Die Zahlen zeigen aber auch, dass viele Unternehmen immer noch bei der Bereitstellung von Sensibilisierungstrainings hinterherhinken – oder die falschen Trainingsformate einsetzen.
Warum Security Trainings oft nicht das erhoffte Ergebnis bringen
Viele Sicherheitssensibilisierungsprogramme scheitern immer noch, weil Unternehmen das Training als eine Pflichtübung betrachten, das richtig angekreuzt werden muss und dann im Archiv als „erledigt“ abgelegt wird. Die gute Nachricht: In den letzten Jahren hat sich das Konzept der Sicherheitsschulungen erheblich weiterentwickelt. Lehrmethoden wurden durch innovative Ansätze ersetzt, die die Aufmerksamkeit der Teilnehmer besser erfassen und das Ergebnis verbessern. Eine solche Entwicklung beinhaltet den verstärkten Einsatz von interaktiven, praxisnahen und unterhaltsamen Elementen und pädagogischer Innovationen, die es den Teilnehmern ermöglichen, beispielhafte Sicherheitsszenarien zu erleben und in einer realen Umgebung zu üben. Dadurch werden Sicherheitsschulungen nicht nur effektiver, sondern auch attraktiver und wirkungsvoller für die Teilnehmer. Wenn Sie die folgenden Tipps beachten, schaffen Sie eine gute Basis:
- Gute Sicherheitsschulungen sind nicht langweilig – sie sind wichtig und verdienen es, wirkungsvoll zu sein. Setzen Sie alle bewährten Praktiken eines Geschichtenerzählers ein, damit schriftliche Elemente funkeln und gesprochene Teile gut ankommen.
- Regelmäßigkeit ist keine Einmal-im-Jahr “Schularbeit”. Ohne regelmäßiges Auffrischungstraining und eine Kultur, die eine sicherheitsbewusste Belegschaft entwickelt und unterstützt, bleibt das Risiko groß und die Lerninhalte drohen, schnell wieder in Vergessenheit zu geraten.
- Gestaffelte und abwechslungsreiche Wiederholung ist der Schlüssel, um das Lernen langfristig zu verankern. Sicherheit ernst nehmen bedeutet, sich zum Training zu verpflichten.
- Das Programm und die Lerninhalte müssen über Compliance-Anforderungen hinausgehen und das Training zu etwas machen, das die Menschen nicht nur erinnern, sondern tatsächlich nutzen, wenn sie mit risikobasierten Entscheidungen konfrontiert sind.
- Erklären Sie nicht nur das Wie und Warum, sondern auch die Folgen für das Unternehmen und für jeden Benutzer (sowohl im beruflichen als auch im persönlichen und familiären Leben).
- Binden Sie alle Abteilungen mit ein. Ihre Belegschaft hat das Potenzial, eine Ihrer besten Verteidigungen gegen Cyberkriminalität zu sein, aber das ist nur möglich, wenn sie sich alle der Methoden bewusst sind, die Bedrohungsakteure verwenden.
- Gehen Sie mit dem Inhalt, dem Stil und der Aufbereitung genauso sorgfältig um wie mit Kundenpräsentationen. Der Ton macht die Musik, die Aufmachung ist entscheidend für ein hohes Interesse und die Wirksamkeit der Lerninhalte.
Es ist an der Zeit, Sicherheitstrainings als Investition in die Zukunft des Unternehmens zu betrachten und sicherzustellen, dass sie kontinuierlich aktualisiert und verbessert werden. NIS-2 ist dabei ein guter und notwendiger Beschleuniger, denn gute Sicherheitstrainings sind nicht nur ein Mittel zur Einhaltung von Vorschriften, sondern ein wesentlicher Bestandteil einer ganzheitlichen Cybersicherheitsstrategie und um eine Kultur der Wachsamkeit zu fördern.
Weitere Informationen finden Sie hier.
Ein Kommentar von Dipl. Ing. Claus Fuchs, Security Awareness Trainer bei Gravitate, zertifizierter Information Security Manager (CISM) und spezialisiert auf Sicherheitsschulungen für kritische Infrastrukturen (KRITIS)-Branchen.
Interessiert an Sicherheitstrainings? Herr Fuchs steht Ihnen für ein Erstgespräch zur Verfügung. Direkt hier dazu anmelden!