Drei Männer und eine Frau sitzen an einem Tisch vor Computermonitoren. Dahinter stehen zwei Frauen, eine deutet auf einen Bildschirm
Security

So wichtig sind Security-Awareness-Trainings für Unternehmen

Die Cybergefahren nehmen für Unternehmen immer mehr zu. Im Jahr 2023 waren über die Hälfte der deutschen Unternehmen einer Cyberattacke ausgesetzt – Tendenz steigend. Unzureichende Sicherheitsmaßnahmen in der IT sind eine Schwachstelle, die Angreifer:innen ausnutzen. Daneben setzen die Kriminellen vor allem auf den Faktor Mensch, denn Unwissenheit und Fahrlässigkeit ebnen häufig den Weg für Datendiebstahl und Erpressung. Mit Security-Awareness-Trainings können Sie dieses Risiko in Ihrem Unternehmen signifikant reduzieren. Denn nur eine geschulte Belegschaft erkennt Gefahren im digitalen Raum rechtzeitig.

Viele Führungskräfte erwarten nach einer repräsentativen Befragung des Branchenverbands Bitkom zukünftig sogar einen Anstieg von Cyberattacken auf ihr Unternehmen. Ihre Cybersecurity-Strategie sollte deshalb zwei Standbeine haben: technische Maßnahmen und geschulte Mitarbeiter:innen. So verhindern Sie, dass aus einem unbedachten Klick auf einen vermeintlich harmlosen Link plötzlich ein Millionenschaden entsteht.

Was genau Security-Awareness-Trainings sind, welche Inhalte sie vermitteln und welche Schulungsform die beste für Ihr Unternehmen ist, erfahren Sie in diesem Artikel.

Inhaltsverzeichnis

Was ist ein Security-Awareness-Training?

Das Bundesamt für Sicherheit in der Informationstechnik schreibt: „Im alltäglichen Umgang mit IT-Systemen ist Awareness eine elementare Sicherheitsmaßnahme. Das bedeutet zunächst, dass ein Problembewusstsein für Cybersicherheit geschaffen werden muss. Darauf aufbauend kann man eine Verhaltensänderung hin zu sicherem digitalem Umgang erreichen.“
Ein Security-Awareness-Training (frei übersetzt: Schulung des Sicherheitsbewusstseins) richtet sich deshalb nicht speziell an IT-Fachkräfte. Stattdessen ist es in Aufbau und Inhalt für sämtliche Beschäftigten konzipiert, die mit einem digitalen Endgerät auf geschäftliche Daten zugreifen.
Viele Firmen schützen ihre Netze und Daten mittlerweile mit leistungsstarken Firewalls und einer Zwei-Faktor-Authentifizierung (2FA) – und lagern Ihre Geschäftsdaten in gut gesicherten Private Clouds. Deshalb attackieren Cyberkriminelle zunehmend die Mitarbeiter:innen direkt, beispielsweise mit erpresserischen E-Mails. Da sich die Bedrohungslage außerdem fortlaufend ändert, sollten Sie die eigene Belegschaft möglichst regelmäßig zu den Gefahren der Cyberkriminalität schulen.
Dienstleister haben sich auf diese Gefahren spezialisiert und bieten entsprechende Trainings an. Neben allgemeinen Schulungen für die „normale“ Arbeit im geschäftlichen Umfeld können Sie auch spezielle Angebote buchen. Diese sind spezifisch auf bestimmte Zielgruppen und Tätigkeitsfelder ausgerichtet. Dies kann beispielsweise für Mitarbeiter:innen im Kundenservice der Umgang mit verdächtigen E-Mails von Kund:innen sein. Für Beschäftigte in der Produktion oder im Außendienst kann wiederum das Thema „Sicherer Umfang mit mobilen Endgeräten im Internet of Things“ wichtiger sein.
Gut zu wissen: Nach der neuen Richtline zur Netzwerk- und Informationssicherheit (NIS-2) der Europäischen Union unterliegen nun deutlich mehr Unternehmen der Kritischen Infrastruktur (KRITIS), für die eine besondere Cyberresilienz verpflichtend ist. Bei Nichteinhaltung drohen hohe Bußgelder – gehören Sie also diesen Unternehmen, sind Security-Awareness-Trainings für Ihre Belegschaft wichtiger denn je.
Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

Die Notwendigkeit von Sicherheitsschulungen

Bei sogenannten Pentests untersuchen externe Sicherheitsexpert:innen Unternehmensnetze auf Lücken und Schwächen. Die Ergebnisse dieser Tests zeigen immer wieder, welche große Rolle der Faktor Mensch bei der IT-Sicherheit spielt. Viele Hackingattacken, darunter das Smishing (Phishing via SMS) und das Spear Phishing als Unterarten des Phishing, versuchen häufig Ihr Unternehmen direkt über die Beschäftigten anzugreifen.
Nach Untersuchungen des Finanzdienstleisters abrdn reduziert sich beispielsweise das Risiko durch Phishing-Attacken für Unternehmen um etwa 50 Prozent, wenn die Belegschaft regelmäßig Trainings durchführt. Verschiedene Unternehmen und Organisationen, wie etwa Hochschulen, berichten nach Security-Awareness-Trainings von einem signifikanten Rückgang erfolgreicher Cyberattacken – wie zum Beispiel durch Phishing eingeschleuste Malware.
Allgemein sollten Sie Security-Awareness-Trainings in Ihrem Unternehmen nicht nur einmalig durchführen, sondern regelmäßig wiederholen. Anbieter entwickeln die Schulungen auf der Basis aktueller Erkenntnisse über die Trends in der Cyberkriminalität stetig weiter. Ziel ist, das Sicherheitsbewusstsein zu erhöhen und Cybergefahren erkennen zu können.
Außerdem sind die Trainings integrale Bestandteile eines jeden Information Security Management Systems (ISMS), das nach dem Top-Down-Prinzip Regeln und Prozesse für die IT-Sicherheit in Ihrem Unternehmen definiert.
Microsoft Defender für Unternehmen

Microsoft Defender für Unternehmen

Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

  • Schutz vor Ransomware, Phishing und anderen Bedrohungen
  • Optimal für IT-Admins in kleinen und mittleren Unternehmen
  • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten

Das sollte ein Security-Awareness-Training beinhalten

Wie erwähnt können Anbieter innerhalb eines Security-Awareness-Trainings unterschiedliche Schwerpunkte setzen, die sich auf bestimmte Sicherheitsaspekte beziehen. Eine effektive Schulung für sämtliche Mitarbeiter:innen eines Unternehmens sollte jedoch folgende Aspekte berücksichtigen, die mittels unterschiedlicher pädagogischer Methoden vermittelt und verfestigt werden:

Umgang mit Daten und Datenspeichern

In den vergangenen Jahren haben die meisten Firmen Cloud-Computing innerhalb ihrer täglichen Geschäftsprozesse und zum Speichern ihrer Daten etabliert. Aus diesem Grund gestaltet sich der Umgang mit Firmendaten für viele Personen im Unternehmen vermeintlich komplizierter – vor allem, wenn diese keine profunden IT-Kenntnisse haben. Vor diesem Hintergrund ist das Bewusstsein dafür, wie und wo Daten Ihres Unternehmens gespeichert sind, besonders wichtig.
Im Training vertiefen Ihre Mitarbeiter:innen, wie sie Firmendaten sicher speichern und vor dem Zugriff durch Dritte schützen. Die Unterschiede zwischen Cloud-Lösungen versus On-Premises-Datenspeichern kommen hier beim Thema Datensicherheit ebenso vor wie die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zum Umgang mit personenbezogenen Daten.

Umgang mit E-Mails

E-Mails sind häufig das Einfallstor für Hackingattacken. Verschlüsselte E-Mail-Anhänge und Links in der elektronischen Post sind bekannte Werkzeuge von Cyberkriminellen, um die unternehmenseigene Firewall oder den Virenschutz zu umgehen. In den Schulungen lernen Ihre Mitarbeiter:innen, wie sie Phishing-Mails und schädliche Dateianhänge erkennen, E-Mail-Absender:innen sicher identifizieren und E-Mail-Inhalte beim Versand verschlüsseln.

Sichere Passwörter erstellen

Sogenannte „schwache“ Passwörter machen Angreifer:innen das Eindringen in Firmennetze sehr einfach. Viele Anwendungen schreiben mittlerweile „starke“ Passwörter inklusive Sonderzeichen vor, doch selbst dann drohen erhebliche Gefahren durch fahrlässigen Gebrauch: Wer beispielsweise privat beim Online-Shopping das gleiche Passwort verwendet wie am Arbeitsplatz für den Netzwerkzugang, gefährdet damit im schlimmsten Fall das Firmennetzwerk.
Daher lernen Ihre Mitarbeiter:innen im Security-Awareness-Training, wie sie sichere Passwörter bilden und Ihre Systeme beispielsweise per Zwei-Faktor-Authentifizierung vor Dritten schützen. Auf diese Weise sinkt die Wahrscheinlichkeit für den Erfolg krimineller Kennwortangriffe wie zum Beispiel durch Brute Force.

Identitätsdiebstahl und Phishing

Falsche Identitäten sind ein wachsendes Problem im Internet. Viele Unternehmen setzen daher bereits auf Zero Trust als Sicherheitskonzept. Der Anruf einer vermeintlichen Führungskraft, die dazu auffordert, einen größeren Betrag vom Firmenkonto auf eine Auslandskonto zu überweisen, läuft dann ins Leere; ebenso wie die verdächtige Phishing-E-Mail vermeintlicher Geschäftspartner:innen mit einem ungewöhnlichen Dateianhang, der sich als Virus entpuppt.

Gegenseitige Informationspflichten

Über entsprechende Alarmierungen und Berichte machen Sie Cyberattacken in Ihrem Unternehmen bekannt und Angriffswege transparent. Zugleich lernen Ihre Mitarbeiter:innen, in welchen Branchen welche Hackingattacken auch an Behörden zu berichten sind und welche Informationspflichten bestehen. Insbesondere bei Datenpannen gelten klare gesetzliche Abläufe, die Ihre Belegschaft kennen muss, um keine Bußgelder zu riskieren.

Mobile Geräte und das BYOD-Modell

Immer mehr Mitarbeiter:innen nutzen dieselben mobilen Endgeräte beruflich und privat. Das gilt für den Dienstwagen mit Internetzugang und Firmennetzanbindung ebenso wie für das Diensthandy oder den privaten Computer, über den die Mitarbeiter:innen per VPN-Einwahl aus dem Unternehmensnetz Daten herunterladen.
Das Modell BYOD (Bring Your Own Device, frei übersetzt: Bringe Dein eigenes Gerät) erlaubt diese Doppelnutzung ausdrücklich. Es schafft zugleich entsprechende Sicherheitshürden zwischen dem privaten und dem dienstlichen Einsatz. Im Security-Awareness-Training lernen Ihre Mitarbeiter:innen, was sie hierbei beachten müssen und welche weiteren Modelle es gibt.

Der Umgang mit sozialen Medien

Die meisten Menschen nutzen soziale Medien – sei es beruflich oder privat. Immer wieder kommt es hierbei zu Sicherheitsproblemen. Dies kann dann passieren, wenn etwa Mitarbeiter:innen absichtlich oder aus Nachlässigkeit Unternehmensinterna im Netz veröffentlichen. Ebenso können sie aus Versehen Schadsoftware aus den sozialen Medien herunterladen und auf dienstlich genutzten Geräten installieren.
Das Security-Awareness-Training schult Ihre Belegschaft in einem verantwortungsvollen Umgang mit sozialen Medien. Außerdem sensibilisiert es sie generell zu einem vorsichtigen Umgang mit persönlichen Informationen.

Sicherheit im Unternehmen: Die Schulungsformen

Security-Awareness-Trainings umfassen unterschiedliche Formen und Tools, um Wissen zu Cybergefahren zu vermitteln und das Sicherheitsbewusstsein („Awareness“) der Teilnehmer:innen zu stärken. Zu den am häufigsten genutzten Schulungsformen gehören:
  • Computergestützte Schulungen
  • Simulationen zu Phishing
  • Awareness-Training per Gamification
  • Sensibilisierung anhand von Fallbeispielen
  • Kurze, interaktive, sich wiederholende Trainingseinheiten (Microlearning)
Sie können Security-Awareness-Trainings für Ihre Angestellten als Präsenzschulung oder als Online-Veranstaltung anbieten. Auch Mischformen sind möglich. Generell empfehlen Expert:innen mittlerweile kurze, dafür aber häufigere Schulungen und Online-Tests. In den einzelnen Übungen vertiefen die Teilnehmer:innen beispielsweise den Umgang mit bestimmten Technologien, ihr Wissen zum Surfen im Internet oder dem Umgang mit E-Mails.

Präsenzschulung

Bei Präsenzschulungen können die Trainer:innen sehr gut mit den Kursteilnehmer:innen interagieren. Hier können Sie Situationen nachstellen wie den sicheren Umgang mit den Daten Ihrer Kundschaft in Online-Shops, am Point of Sale oder am Empfangstresen Ihres Unternehmens. Fehler oder Missverständnisse bei Übungsinhalten können die Beteiligten dabei schnell erkennen, korrigieren und gemeinsam besprechen.

Online-Schulung

Mit regelmäßigen Online-Schulungen können Sie bei Ihrer Belegschaft das Gelernte vertiefen; und dort zudem neueste Erkenntnisse zur IT-Sicherheit einfließen lassen. Zudem sind sie ein praktikabler Weg, um Mitarbeiter:innen in der Cybersicherheit zu trainieren, die ausschließlich im Homeoffice oder mobil arbeiten und deren Arbeitsplatz weit entfernt vom Unternehmenssitz ist.
Ein Mann sitzt an einem Schreibtisch und blickt auf den Bildschirm eines Laptops.

Schützen Sie Ihr Unternehmen

Cyberangriffe gehören zu den größten Geschäftsrisiken in Deutschland. Viele dieser Angriffe starten mit Phishing-Attacken über mobile Endgeräte. Attacken auf Ihr Unternehmen können schwerwiegende Folgen für Ihre Produktivität und Ihren geschäftlichen Erfolg haben:

  • Datenmanipulation, -verlust und -diebstahl
  • Enorme finanzielle Schäden
  • Verlust von Vertrauen Ihrer Kund:innen und Partner

Darauf sollten Sie bei Sicherheitsschulungen achten

Die Qualität der Trainings kann sehr unterschiedlich sein. Daher sollten Sie auf folgende Punkte achten und mögliche Fehler vermeiden:
  • Security-Awareness-Trainings sollten zu Ihrem Unternehmen und dem Arbeitsumfeld Ihrer Mitarbeiter:innen passen. Einige Anbieter von Online-Trainings vermitteln nur sehr allgemeine oder nicht mehr aktuelle Inhalte.
  • Manche Trainings sind für andere Länder lokalisiert und haben daher keinen Bezug zum deutschen und EU-Recht, etwa der DSGVO.
  • Achten Sie umgekehrt auch darauf, dass Sie Ihren Angestellten die Trainings bieten, die zu deren Arbeitsorten und Ländern passen – wenn diese beispielsweise an Standorten im Ausland arbeiten.
  • Wenn Sie sich für Online-Schulungen entscheiden, sollten diese einen Übungs- oder Testteil enthalten, damit Ihre Belegschaft die Inhalte aktiv erlernen, anwenden und verinnerlichen kann.
  • Die Kurse sollten alle Sicherheitsrisiken verständlich erläutern sowie ihre Empfehlungen und Vorgaben für die tägliche Arbeit gut begründen. Wenn Ihre Mitarbeiter:innen beispielsweise verstehen, weshalb gewisse Passwörter sehr leicht zu knacken sind und was dies für Folgen für das gesamte Unternehmen haben kann, ist ihre Bereitschaft deutlich größer, Sicherheitsregeln tatsächlich zu beachten.

Kosten von Security-Awareness-Trainings

Größter Kostenfaktor bei Security-Awareness-Trainings ist meist die hierfür anfallende Arbeitszeit der Teilnehmer:innen. Ihre Kosten für regelmäßige Trainings können Sie durch eine Kombination aus Präsenz- und Online-Trainings reduzieren. Häufige kurze Wiederholungsübungen, zum Beispiel eine Stunde pro Quartal, sind dabei in der Regel nachhaltiger und effizienter als beispielsweise eintägige Auffrischungsschulungen im Jahresturnus.
Tipp: Arbeiten Sie bereits mit einem zuverlässigen Dienstleister für Pentests, Sicherheits-Audits oder für das Erstellen und Monitoring Ihres ISMS zusammen? Dann fragen Sie dort an, ob dieser auch Security-Awareness-Trainings abhält. Der Anbieter kennt Ihr Unternehmen, die IT-Strukturen und Ihre Branche bereits. Auf dieser Basis kann er Ihre Mitarbeiter:innen gezielt schulen, ohne sich zuvor unter Umständen zeitaufwendig in diese Bereiche einarbeiten zu müssen.
Zugleich können Sie auf diese Weise die Ergebnisse bisheriger Pentests in Ihrem Unternehmen in die Lehrgangsinhalte einfließen lassen. Damit demonstrieren Sie Ihren Angestellten, welche konkreten Sicherheitslücken es in Ihrer Firma bereits gab oder sogar noch gibt. Das macht die Schulungen besonders anschaulich.
Als Faustregel gilt: Die Kosten für ein Security-Awareness-Training umfassen in den meisten Fällen nur einen Bruchteil des Schadens, den eine Cyberattacke verursachen kann. Datendiebstahl und -lecks können unter anderem in Erpressungen durch Kriminelle, Nachteilen am Markt, Imageschäden und Bußgeldern verursachen. Für nicht wenige Unternehmen haben derartige Vorfälle existenzbedrohende Ausmaße.
Minimieren Sie dieses Risiko, indem Sie das Bewusstsein für Cybersecurity innerhalb Ihrer Belegschaft durch Security-Awareness-Trainings regelmäßig stärken.

Security-Awareness-Trainings: Das Wichtigste in Kürze

  • Die Anzahl der Cyberangriffe und die mittlere Schadenshöhe nehmen in Deutschland kontinuierlich zu. Gleichzeitig steigen aber die gesetzlichen Anforderungen in Bezug auf Cybersicherheit für viele Unternehmen (Stichwort: NIS-2).
  • Viele Unternehmen haben Ihre IT-Sicherheit durch Maßnahmen wie zum Beispiel Firewalls, Zwei-Faktor-Authentifizierung und das Zero-Trust-Prinzip verbessert – jedoch ist der „Faktor Mensch“ nach wie vor die größte Schwachstelle in jedem vermeintlich sicheren IT-System.
  • Kriminelle setzen aus diesem Grund auf Unwissenheit und Achtlosigkeit bei Angestellten in Unternehmen, um Zugriff auf deren IT-Systeme und Daten zu erlangen. Dazu zählen unter anderem Methoden wie Phishing, Kennwortangriffe und das Einschleusen von Malware.
  • Mit regelmäßigen Security-Awareness-Trainings sichern Sie Ihr Unternehmen gegen viele Cyberangriffe von außen und innen.
  • Vergleichen Sie die unterschiedlichen Trainings am Markt und entscheiden Sie sich für eines, dessen Inhalte zu Ihrem nationalen Markt und Datenschutzrecht sowie zu den Besonderheiten in Ihrem Unternehmen passt.
    Kombinationen aus Präsenz- und Online-Trainings haben sich bewährt, um die wichtigsten Sicherheitsprinzipien zu erlernen und regelmäßig aufzufrischen.
  • Lassen Sie Ergebnisse aus Ihrem laufenden Sicherheits-Monitoring in die Schulungen mit einfließen.
  • Prüfen Sie, ob Ihr IT-Dienstleister auch Security-Awareness-Trainings anbietet. Dieser Anbieter kennt Ihr Unternehmen bereits und kann daher Ihre Mitarbeiter:innen zielgerichtet schulen. Lassen Sie Ergebnisse aus Ihrem laufenden Sicherheits-Monitoring in die Schulungen mit einfließen.
Das könnte Sie auch interessieren:
Security
Ein Mann sitzt an einem Arbeitsplatz mit einem Bildschirm und einem Laptop. Auf beiden Bildschirmen ein Vorhängeschloss und der Text „Your personal files are encrypted“.

Ransomware: So können Sie Ihr Unternehmen schützen

Das Szenario ist der Albtraum in jedem Unternehmen: Eines Morgens schalten die Mitarbeiter:innen ihre Computer ein. Doch statt des Startbildschirms erscheint nur ein Textfeld – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle Firmendaten sind durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds wollen die Erpresser:innen eine Anleitung für deren Entschlüsselung geben. Das Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs. Was nun? Angriffe mit Ransomware sind aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine der größten Gefahren für die Cybersicherheit von Unternehmen. Sie richten sich häufig gegen kleine und mittlere Unternehmen, die unzureichend geschützt sind. Weltweit konnten Kriminelle nach Angaben des BSI rund 1,1 Milliarden US-Dollar durch Ransomware-Erpressungen erbeuten. Die Dunkelziffer dürfte jedoch deutlich höher liegen. Was Ransomware ist, wie sie im Einzelnen funktioniert und wie Sie Ihr Unternehmen wirksam dagegen schützen, erfahren Sie in diesem Beitrag.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort