Schulungssituation in einem Büro. Eine Frau erklärt einem Mann etwas an seinem Bildschirm.
Security

Was ist Security-Awareness-Training und wie wichtig ist es für Unternehmen?

Mit Security-Awareness-Trainings investieren Unternehmen in die IT-Skills ihrer Mitarbeiter:innen und verbessern die Sicherheit des eigenen Firmennetzes. Wie die Trainings aufgebaut sind und welches die besten Angebote für Unternehmen sind, lesen Sie in diesem Artikel.

Die weltweiten Schäden durch Hackingattacken nehmen zu. Einer der Hotspots der Cyberkriminalität ist Deutschland. Das hat der britische Spezialversicherer Hiscox bei einer Befragung von mehr als 5.000 Führungskräften ermittelt. Die Schadenshöhe pro gemeldetem Hackingfall lag in Deutschland 2021 im Median bei rund 21.000 US-Dollar – höher als in jedem anderen untersuchten Industrieland und um 55 Prozent über dem Vorjahreswert. Aber auch Millionenschäden sind nicht selten, etwa wenn Unternehmen ihren Geschäftsbetrieb zeitweise einstellen müssen, weil Hacker:innen ihre Firmennetze gekapert und wichtige Geschäftsdaten gestohlen haben.

Hier kommen Security-Awareness-Trainings ins Spiel. Dabei handelt es sich um Fortbildungen zu den Gefahren der Cyberkriminalität. Übersetzt bedeutet Security-Awareness so viel wie "Aufmerksamkeit für Fragen der (Cyber-)Sicherheit". Bei einem solchen Training lernen Ihre Mitarbeiter:innen, welche typischen Formen von Cyberverbrechen es gibt und wie sie sich selbst sowie Ihr Unternehmen gegen diese Angriffe schützen. Sie erfahren außerdem, was zu tun ist, wenn die eigene Firma Opfer einer Attacke geworden ist.

Inhaltsverzeichnis

Was ist ein Security-Awareness-Training?

Das Bundesamt für Sicherheit in der Informationstechnik schreibt: "Im alltäglichen Umgang mit IT-Systemen ist Awareness eine elementare Sicherheitsmaßnahme. Das bedeutet zunächst, dass ein Problembewusstsein für Cybersicherheit geschaffen werden muss. Darauf aufbauend kann man eine Verhaltensänderung hin zu sicherem digitalem Umgang erreichen."
Ein Security-Awareness-Training (deutsch: eine Sicherheitsschulung) richtet sich deshalb auch nicht speziell an IT-Fachkräfte, sondern ist nach Aufbau und Inhalt für alle Beschäftigten mit IT-Arbeitsplätzen konzipiert. Darauf spezialisierte Dienstleister bieten solche Trainings an. Dabei können Sie mit Ihrem Anbieter vereinbaren, dass die Schulung bestimmte Inhalte für bestimmte Zielgruppen innerhalb Ihres Unternehmens besonders intensiv behandelt. Dies kann beispielsweise für Mitarbeiter:innen im Kundenservice der Umgang mit verdächtigen E-Mails von Kund:innen sein. Für Beschäftigte im Außendienst kann wiederum das Thema "Sicherer Umfang mit mobilen Endgeräten im Internet of Things" wichtiger sein.
Das Bundeskriminalamt (BKA) bestätigt in seinem "Lagebericht Cyberkriminalität" die Zunahme von Cyberverbrechen. Im Jahr 2021 hat die Polizei in Deutschland rund 146.000 Cyberstraftaten erfasst. Das entspricht einem Anstieg von zwölf Prozent gegenüber dem Vorjahr. Die Dunkelziffer dürfte noch weitaus höher liegen.
Der Versicherer Hiscox sieht gleich mehrere Gründe für das Anwachsen der gemeldeten Fälle und steigenden Schadenshöhen. Zum einen nimmt die Zahl der versuchten Attacken insgesamt zu. Zum anderen vergrößert der Anstieg der Homeoffice-Tätigkeiten die Einfallstore für Angreifer:innen. Arbeiteten noch vor wenigen Jahren nur etwa vier Prozent der Beschäftigten im Homeoffice, sind es mittlerweile laut Statista rund 24 Prozent.
Viele Firmen schützen ihre Netze und Daten mittlerweile über leistungsstarke Firewalls oder durch die Auslagerung in gut gesicherte Private-Clouds. Deshalb attackieren Cyberkriminelle zunehmend die Mitarbeiter:innen direkt, beispielsweise mit erpresserischen E-Mails.
Bei rund einem Fünftel der gemeldeten Schadensfälle waren die betroffenen Firmen Opfer einer solchen Online-Erpressung geworden. Anlass genug, die eigenen Mitarbeiter:innen regelmäßig zu den Gefahren der Cyberkriminalität zu schulen, um Einfallstore für Cyberverbrechen zu schließen.
Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Die Notwendigkeit von Sicherheitsschulungen

Sogenannte Pentests, bei denen externe Sicherheitsexpert:innen Unternehmensnetze auf Lücken und Schwächen austesten zeigen immer wieder, welche große Rolle der Faktor Mensch bei der IT-Sicherheit spielt. Viele Hackingattacken, darunter das Smishing (Phishing via SMS) und das Spear Phishing als Unterarten des Phishing zielen häufig konkret auf Ihre Mitarbeiter:innen ab und versuchen, Ihr Unternehmen über Ihre Beschäftigten anzugreifen.
Viele IT-Expert:innen raten daher, entsprechende Security-Awareness-Trainings nicht nur einmalig durchzuführen, sondern regelmäßig zu wiederholen und dabei auf Basis neuester Erkenntnisse über die Trends in der Cyberkriminalität stetig weiterzuentwickeln.
Außerdem sind die Trainings integrale Bestandteile eines jeden "Information Security Management Systems" (ISMS), das nach dem Top-Down-Prinzip Regeln und Prozesse für die IT-Sicherheit in Ihrem Unternehmen definiert.
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Die typischen Inhalte von Security-Awareness-Trainings

Einige Themen bilden die Basis einer jeden guten Sicherheitsschulung und sollten daher bei keinem Security-Awareness-Training fehlen. Diese sind:

Umgang mit Daten und Datenspeichern

Hier vertiefen Ihre Mitarbeiter:innen, wie sie Firmendaten sicher speichern und vor dem Zugriff durch Dritte schützen. Die Unterschiede zwischen Cloud-Lösungen versus On-Premises-Datenspeichern kommen hier beim Thema Datensicherheit ebenso vor wie Fragen der Datenschutz-Grundverordnung (DSGVO) sowie deren Vorgaben zum Umgang mit den persönlichen Daten von Kund:innen, Mitarbeiter:innen und Geschäftsparter:innen.

Umgang mit E-Mails

E-Mails sind ein häufiges Einfallstor für Hackingattacken. Verschlüsselte E-Mail-Anhänge und Links in E-Mails sind bekannte Werkzeuge von Cyberkriminellen, um die unternehmenseigene Firewall oder den Virenschutz zu umgehen. In den Schulungen lernen Ihre Mitarbeiter:innen, wie sie Phishing-Mails erkennen, E-Mail-Absender:innen sicher identifizieren und E-Mail-Inhalte beim Versand verschlüsseln.

Sichere Passwörter erstellen

Das Verwenden gängiger, sogenannter "schwacher" Passwörter macht Angreifer:innen das Eindringen in Firmennetze einfach. Wer privat beim Online-Shopping dasselbe Passwort verwendet wie am Arbeitsplatz für seinen Netzwerkzugang, gefährdet damit im schlimmsten Fall das Firmennetzwerk. Daher lernen Ihre Mitarbeiter:innen im Security-Awareness-Training, wie Sie sichere Passwörter bilden und Ihre Systeme beispielsweise per Zwei-Faktor-Authentifizierung vor Dritten schützen.

Identitätsdiebstahl und Phishing

Das Annehmen falscher Identitäten ist ein wachsendes Problem im Internet. Viele Unternehmen setzen daher bereits auf Zero Trust als Sicherheitskonzept. Der vermeintliche Anruf einer Führungskraft, die dazu auffordert, einen größeren Betrag vom Firmenkonto auf eine Auslandskonto zu überweisen, läuft dann ebenso ins Leere, wie die verdächtige E-Mail langjähriger Geschäftspartner:innen mit einem ungewöhnlichen Dateianhang, der sich als Virus entpuppt.

Gegenseitige Informationspflichten

Über entsprechende Alarmierungs- und Berichtsmodelle machen Sie Cyberattacken in Ihrem Unternehmen bekannt und Angriffswege transparent. Zugleich lernen Ihre Mitarbeiter:innen, in welchen Branchen welche Hackingattacken auch an Behörden zu berichten sind und welche Informationspflichten hier bestehen.

Mobile Geräte und das BYOD-Modell

Immer mehr Mitarbeiter:innen nutzen die selben mobilen Endgeräte beruflich und privat. Das gilt für den Dienstwagen mit Internetzugang und Firmennetzanbindung ebenso wie für das Diensthandy oder den privaten Computer, über den die Mitarbeiter:innen per VPN-Einwahl aus dem Unternehmensnetz Daten herunterladen. Das Modell BYOD ("Bring your own Device", auf Deutsch: Nutze Dein eigenes Endgerät) erlaubt diese Doppelnutzung ausdrücklich. Es schafft zugleich entsprechende Sicherheitshürden zwischen privater und dienstlicher Nutzung. Im Security-Awareness-Training lernen Ihre Mitarbeiter:innen, was sie hierbei beachten müssen.

Der Umgang mit sozialen Medien

Nach Schätzungen nutzen sieben von acht Deutschen soziale Medien. Immer wieder kommt es hier auch zu Sicherheitsproblemen. Die kann dann passieren, wenn etwa Mitarbeiter:innen absichtlich oder aus Nachlässigkeit Unternehmensinterna im Netz veröffentlichen. Ebenso können sie aus Versehen Schadsoftware aus den sozialen Medien herunterladen und auf dienstlich genutzten Endgeräten installieren.
Arbeiter mit Helm schaut auf sein Smartphone

Mobiler Virenschutz für Mitarbeiter:innen

Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

  • Ohne Installation, direkt im Netz
  • Schützt von Viren und Pishing
  • Automatisch auf dem neusten Stand

Sicherheit im Unternehmen: Die Schulungsformen

Sie haben die Wahl, ob Sie die Security-Awareness-Trainings für Ihre Mitarbeiter:innen als Präsenzschulung oder als Online-Veranstaltung anbieten. Auch Mischformen sind möglich. Generell geht die Entwicklung hin zu kurzen, dafür aber häufigeren Schulungen und Online-Tests. In den einzelnen Übungen vertiefen die Mitarbeiter:innen beispielsweise noch einmal den Umgang mit bestimmten Technologien, allgemein dem Surfen im Internet oder dem Arbeiten mit E-Mails.

Präsenzschulung

Bei Präsenzschulungen können die Trainer:innen sehr gut mit den Kursteilnehmer:innen interagieren. Hier können Sie Situationen nachstellen wie den sicheren Umgang mit Kund:innen und deren Daten am Point of Sale oder am Empfangstresen Ihres Unternehmens. Fehler oder Missverständnisse bei Übungsinhalten können die Trainer:innen dabei schnell erkennen, korrigieren und gemeinsam mit den Teilnehmer:innen besprechen.

Online-Schulung

Mit regelmäßigen Online-Schulungen können Sie das Gelernte vertiefen und neueste Erkenntnisse zur IT-Sicherheit einfließen lassen. Zudem sind Online-Schulungen ein praktikabler Weg, um Mitarbeiter:innen zu schulen, die ausschließlich im Homeoffice oder mobil arbeiten und deren Arbeitsplatz weit entfernt vom Unternehmenssitz ist.
Ein Mann mit Kapuze sitzt vor einer Tastatur, im Vordergrund grüne Viren- und Datensymbole

Risikofreies Cloud-Computing: Vodafone Total Cloud Security

Immer mehr DDoS-Attacken, professionellere Hacker-Angriffe, gestiegene Compliance-Anforderungen – nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen als heute.

Unser DDoS Mitigation Service analysiert einlaufenden Traffic und alarmiert Sie automatisch bei drohenden Attacken. Mit Managed Firewall bekommen Sie umfassenden hardware-dedizierten Schutz vor IT-Gefahren. Außerdem verfügen wir über die ISO 27001-Zertifizierung für Cloud & Hosting Services und für Rechenzentrums-Dienstleister in Deutschland.

Mögliche Fehler bei der Durchführung von Sicherheitsschulungen

Die Qualität der Trainings ist unterschiedlich. Daher sollten Sie auf folgende Punkte achten und diese Fehler vermeiden:
  • Security-Awareness-Trainings sollten zu Ihrem Unternehmen und dem Arbeitsumfeld Ihrer Mitarbeiter:innen passen. Einige Anbieter von Online-Trainings vermitteln nur sehr allgemeine oder nicht mehr aktuelle Inhalte.
  • Manche Trainings sind für andere Länder lokalisiert und haben daher keinen Bezug zum deutschen und EU-Recht, etwa der DSGVO.
  • Achten Sie umgekehrt auch darauf, dass Sie Ihren Mitarbeiter:innen die zu deren Arbeitsorten und Ländern passenden Trainings bieten, wenn diese an Standorten im Ausland arbeiten.
  • Wenn Sie sich für Online-Schulungen entscheiden, sollten diese einen Übungs- oder Test-Teil enthalten, damit Ihre Mitarbeiter:innen die Inhalte auch aktiv erlernen und verinnerlichen.
  • Die Kurse sollten alle Sicherheitsrisiken verständlich erläutern und ihre Empfehlungen und Vorgaben für die tägliche Arbeit gut begründen. Denn wenn Ihre Mitarbeiter:innen beispielsweise verstehen, weshalb gewisse Passwörter sehr leicht zu knacken sind und was dies für Folgen für das gesamte Unternehmen haben kann ist die Bereitschaft, Sicherheitsregeln auch umzusetzen, deutlich größer.
Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte.

Kosten von Security-Awareness-Trainings

Größter Kostenfaktor bei Security-Awareness-Trainings ist oft die hierfür anfallende Arbeitszeit Ihrer Mitarbeiter:innen. Ihre Kosten für regelmäßige Trainings können Sie durch eine Kombination aus Präsenz- und Online-Trainings reduzieren. Häufigere kurze Wiederholungsübungen, zum Beispiel eine Stunde pro Quartal, sind dabei in der Regel nachhaltiger und effizienter als beispielsweise eintägige Auffrischungsschulungen im Jahresturnus.
Tipp: Haben Sie bereits einen zuverlässigen Dienstleister für Pentests, Sicherheits-Audits oder für das Erstellen und Monitoring Ihres ISMS, so fragen Sie dort an, ob dieser auch Security-Awareness-Trainings anbietet. Schließlich kennt er bereits Ihr Unternehmen, Ihre IT-Strukturen oder Ihre Branche und kann daher Ihre Mitarbeiter:innen ohne große Einarbeitung gezielt schulen.
Zugleich können Sie auf diese Weise die Ergebnisse bisheriger Pentests in Ihrem Unternehmen in die Lehrgangsinhalte einarbeiten lassen. Damit demonstrieren Sie Ihren Mitarbeiter:innen, welche konkreten Sicherheitslücken es auch in Ihrer Firma bereits gab oder sogar noch gibt. Dies macht die Schulungen besonders anschaulich.

Das Wichtigste zu Security-Awareness-Trainings in Kürze

  • Die Anzahl der Cyberangriffe und die mittlere Schadenshöhe nehmen in Deutschland zu. Besonders Mitarbeiter:innen im Homeoffice sind häufig Opfer von Attacken.
  • Mit regelmäßigen Security-Awareness-Trainings sichern Sie Ihr Unternehmen gegen viele Cyberangriffe von außen und innen.
  • Vergleichen Sie die unterschiedlichen Trainings am Markt und entscheiden Sie sich für eines, dessen Inhalte zu Ihrem nationalen Markt und Datenschutzrecht und den Besonderheiten in Ihrem Unternehmen passt.
  • Für das anfängliche Erlernen und das regelmäßige Auffrischen der wichtigsten Sicherheitsprinzipien haben sich Kombinationen aus Präsenz- und Online-Trainings bewährt.
  • Lassen Sie Ergebnisse aus Ihrem laufenden Sicherheits-Monitoring in die Schulungen mit einfließen.
  • Prüfen Sie, ob Ihr IT-Dienstleister auch Security-Awareness-Trainings anbietet. Dieser Anbieter kennt Ihr Unternehmen bereits und kann daher Ihre Mitarbeiter:innen zielgerichtet schulen.
Das könnte Sie auch interessieren:
Unified Communication
Drei Frauen, die an einem Tisch hinter einem Fenster lachen.

Ein XING-Unternehmensprofil anlegen: Darauf sollten Sie achten

Um die Bekanntheit Ihres Unternehmens, Ihrer Produkte und Ihrer Dienstleistungen effizient zu steigern, führt in der Regel kein Weg an digitalen und sozialen Medien vorbei. Größter Vorteil eines Unternehmensprofils beim Business-Portal XING: Sie können Ihre jeweiligen Aktivitäten passgenau aussteuern – je nachden definierten Zielgruppen und dem zur Verfügung stehenden Budget. Über XING können Sie mit vergleichsweise wenig Aufwand eine beachtliche Reichweite für Ihr Unternehmen generieren. Hier stehen besonders die Themen Recruiting und Employer Branding im Fokus. Wie Sie ein kostenloses XING-Unternehmensprofil anlegen und was die kostenpflichtige Option zusätzlich bietet, erfahren Sie im Folgenden.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

0800 505 4512

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort