V-Hub by Vodafone BusinessSecurityNew WorkWas ist Security-Awareness-Training und wie wichtig ist es für Unternehmen?
Schulungssituation in einem Büro. Eine Frau erklärt einem Mann etwas an seinem Bildschirm.
Security

Was ist Security-Awareness-Training und wie wichtig ist es für Unternehmen?

Portrait von Dr. Lorenz SteinkeLorenz Steinke
17.01.2023
10 Min.

    Mit Security-Awareness-Trainings investieren Unternehmen in die IT-Skills ihrer Mitarbeiter:innen und verbessern die Sicherheit des eigenen Firmennetzes. Wie die Trainings aufgebaut sind und welches die besten Angebote für Unternehmen sind, lesen Sie in diesem Artikel.

    Die weltweiten Schäden durch Hackingattacken nehmen zu. Einer der Hotspots der Cyberkriminalität ist Deutschland. Das hat der britische Spezialversicherer Hiscox bei einer Befragung von mehr als 5.000 Führungskräften ermittelt. Die Schadenshöhe pro gemeldetem Hackingfall lag in Deutschland 2021 im Median bei rund 21.000 US-Dollar – höher als in jedem anderen untersuchten Industrieland und um 55 Prozent über dem Vorjahreswert. Aber auch Millionenschäden sind nicht selten, etwa wenn Unternehmen ihren Geschäftsbetrieb zeitweise einstellen müssen, weil Hacker:innen ihre Firmennetze gekapert und wichtige Geschäftsdaten gestohlen haben.

    Hier kommen Security-Awareness-Trainings ins Spiel. Dabei handelt es sich um Fortbildungen zu den Gefahren der Cyberkriminalität. Übersetzt bedeutet Security-Awareness so viel wie "Aufmerksamkeit für Fragen der (Cyber-)Sicherheit". Bei einem solchen Training lernen Ihre Mitarbeiter:innen, welche typischen Formen von Cyberverbrechen es gibt und wie sie sich selbst sowie Ihr Unternehmen gegen diese Angriffe schützen. Sie erfahren außerdem, was zu tun ist, wenn die eigene Firma Opfer einer Attacke geworden ist.

    Inhaltsverzeichnis

    Was ist ein Security-Awareness-Training?Die Notwendigkeit von SicherheitsschulungenDie typischen Inhalte von Security-Awareness-TrainingsSicherheit im Unternehmen: Die Schulungsformen

    Was ist ein Security-Awareness-Training?

    Das Bundesamt für Sicherheit in der Informationstechnik schreibt: "Im alltäglichen Umgang mit IT-Systemen ist Awareness eine elementare Sicherheitsmaßnahme. Das bedeutet zunächst, dass ein Problembewusstsein für Cybersicherheit geschaffen werden muss. Darauf aufbauend kann man eine Verhaltensänderung hin zu sicherem digitalem Umgang erreichen."
    Ein Security-Awareness-Training (deutsch: eine Sicherheitsschulung) richtet sich deshalb auch nicht speziell an IT-Fachkräfte, sondern ist nach Aufbau und Inhalt für alle Beschäftigten mit IT-Arbeitsplätzen konzipiert. Darauf spezialisierte Dienstleister bieten solche Trainings an. Dabei können Sie mit Ihrem Anbieter vereinbaren, dass die Schulung bestimmte Inhalte für bestimmte Zielgruppen innerhalb Ihres Unternehmens besonders intensiv behandelt. Dies kann beispielsweise für Mitarbeiter:innen im Kundenservice der Umgang mit verdächtigen E-Mails von Kund:innen sein. Für Beschäftigte im Außendienst kann wiederum das Thema "Sicherer Umfang mit mobilen Endgeräten im Internet of Things" wichtiger sein.
    Das Bundeskriminalamt (BKA) bestätigt in seinem "Lagebericht Cyberkriminalität" die Zunahme von Cyberverbrechen. Im Jahr 2021 hat die Polizei in Deutschland rund 146.000 Cyberstraftaten erfasst. Das entspricht einem Anstieg von zwölf Prozent gegenüber dem Vorjahr. Die Dunkelziffer dürfte noch weitaus höher liegen.
    Der Versicherer Hiscox sieht gleich mehrere Gründe für das Anwachsen der gemeldeten Fälle und steigenden Schadenshöhen. Zum einen nimmt die Zahl der versuchten Attacken insgesamt zu. Zum anderen vergrößert der Anstieg der Homeoffice-Tätigkeiten die Einfallstore für Angreifer:innen. Arbeiteten noch vor wenigen Jahren nur etwa vier Prozent der Beschäftigten im Homeoffice, sind es mittlerweile laut Statista rund 24 Prozent.
    Viele Firmen schützen ihre Netze und Daten mittlerweile über leistungsstarke Firewalls oder durch die Auslagerung in gut gesicherte Private-Clouds. Deshalb attackieren Cyberkriminelle zunehmend die Mitarbeiter:innen direkt, beispielsweise mit erpresserischen E-Mails.
    Bei rund einem Fünftel der gemeldeten Schadensfälle waren die betroffenen Firmen Opfer einer solchen Online-Erpressung geworden. Anlass genug, die eigenen Mitarbeiter:innen regelmäßig zu den Gefahren der Cyberkriminalität zu schulen, um Einfallstore für Cyberverbrechen zu schließen.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    Die Notwendigkeit von Sicherheitsschulungen

    Sogenannte Pentests, bei denen externe Sicherheitsexpert:innen Unternehmensnetze auf Lücken und Schwächen austesten zeigen immer wieder, welche große Rolle der Faktor Mensch bei der IT-Sicherheit spielt. Viele Hackingattacken, darunter das Smishing (Phishing via SMS) und das Spear Phishing als Unterarten des Phishing zielen häufig konkret auf Ihre Mitarbeiter:innen ab und versuchen, Ihr Unternehmen über Ihre Beschäftigten anzugreifen.
    Viele IT-Expert:innen raten daher, entsprechende Security-Awareness-Trainings nicht nur einmalig durchzuführen, sondern regelmäßig zu wiederholen und dabei auf Basis neuester Erkenntnisse über die Trends in der Cyberkriminalität stetig weiterzuentwickeln.
    Außerdem sind die Trainings integrale Bestandteile eines jeden "Information Security Management Systems" (ISMS), das nach dem Top-Down-Prinzip Regeln und Prozesse für die IT-Sicherheit in Ihrem Unternehmen definiert.
    Offenes Vorhängeschloss vor Zahlenmuster

    Vodafone Cyber-Security-Services

    Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

    Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

    Jetzt kostenlos beraten lassen

    Die typischen Inhalte von Security-Awareness-Trainings

    Einige Themen bilden die Basis einer jeden guten Sicherheitsschulung und sollten daher bei keinem Security-Awareness-Training fehlen. Diese sind:

    Umgang mit Daten und Datenspeichern

    Hier vertiefen Ihre Mitarbeiter:innen, wie sie Firmendaten sicher speichern und vor dem Zugriff durch Dritte schützen. Die Unterschiede zwischen Cloud-Lösungen versus On-Premises-Datenspeichern kommen hier beim Thema Datensicherheit ebenso vor wie Fragen der Datenschutz-Grundverordnung (DSGVO) sowie deren Vorgaben zum Umgang mit den persönlichen Daten von Kund:innen, Mitarbeiter:innen und Geschäftsparter:innen.

    Umgang mit E-Mails

    E-Mails sind ein häufiges Einfallstor für Hackingattacken. Verschlüsselte E-Mail-Anhänge und Links in E-Mails sind bekannte Werkzeuge von Cyberkriminellen, um die unternehmenseigene Firewall oder den Virenschutz zu umgehen. In den Schulungen lernen Ihre Mitarbeiter:innen, wie sie Phishing-Mails erkennen, E-Mail-Absender:innen sicher identifizieren und E-Mail-Inhalte beim Versand verschlüsseln.

    Sichere Passwörter erstellen

    Das Verwenden gängiger, sogenannter "schwacher" Passwörter macht Angreifer:innen das Eindringen in Firmennetze einfach. Wer privat beim Online-Shopping dasselbe Passwort verwendet wie am Arbeitsplatz für seinen Netzwerkzugang, gefährdet damit im schlimmsten Fall das Firmennetzwerk. Daher lernen Ihre Mitarbeiter:innen im Security-Awareness-Training, wie Sie sichere Passwörter bilden und Ihre Systeme beispielsweise per Zwei-Faktor-Authentifizierung vor Dritten schützen.

    Identitätsdiebstahl und Phishing

    Das Annehmen falscher Identitäten ist ein wachsendes Problem im Internet. Viele Unternehmen setzen daher bereits auf Zero Trust als Sicherheitskonzept. Der vermeintliche Anruf einer Führungskraft, die dazu auffordert, einen größeren Betrag vom Firmenkonto auf eine Auslandskonto zu überweisen, läuft dann ebenso ins Leere, wie die verdächtige E-Mail langjähriger Geschäftspartner:innen mit einem ungewöhnlichen Dateianhang, der sich als Virus entpuppt.

    Gegenseitige Informationspflichten

    Über entsprechende Alarmierungs- und Berichtsmodelle machen Sie Cyberattacken in Ihrem Unternehmen bekannt und Angriffswege transparent. Zugleich lernen Ihre Mitarbeiter:innen, in welchen Branchen welche Hackingattacken auch an Behörden zu berichten sind und welche Informationspflichten hier bestehen.

    Mobile Geräte und das BYOD-Modell

    Immer mehr Mitarbeiter:innen nutzen die selben mobilen Endgeräte beruflich und privat. Das gilt für den Dienstwagen mit Internetzugang und Firmennetzanbindung ebenso wie für das Diensthandy oder den privaten Computer, über den die Mitarbeiter:innen per VPN-Einwahl aus dem Unternehmensnetz Daten herunterladen. Das Modell BYOD ("Bring your own Device", auf Deutsch: Nutze Dein eigenes Endgerät) erlaubt diese Doppelnutzung ausdrücklich. Es schafft zugleich entsprechende Sicherheitshürden zwischen privater und dienstlicher Nutzung. Im Security-Awareness-Training lernen Ihre Mitarbeiter:innen, was sie hierbei beachten müssen.

    Der Umgang mit sozialen Medien

    Nach Schätzungen nutzen sieben von acht Deutschen soziale Medien. Immer wieder kommt es hier auch zu Sicherheitsproblemen. Die kann dann passieren, wenn etwa Mitarbeiter:innen absichtlich oder aus Nachlässigkeit Unternehmensinterna im Netz veröffentlichen. Ebenso können sie aus Versehen Schadsoftware aus den sozialen Medien herunterladen und auf dienstlich genutzten Endgeräten installieren.
    Arbeiter mit Helm schaut auf sein Smartphone

    Mobiler Virenschutz für Mitarbeiter:innen

    Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

    • Ohne Installation, direkt im Netz
    • Schützt von Viren und Pishing
    • Automatisch auf dem neusten Stand
    Jetzt informieren

    Sicherheit im Unternehmen: Die Schulungsformen

    Sie haben die Wahl, ob Sie die Security-Awareness-Trainings für Ihre Mitarbeiter:innen als Präsenzschulung oder als Online-Veranstaltung anbieten. Auch Mischformen sind möglich. Generell geht die Entwicklung hin zu kurzen, dafür aber häufigeren Schulungen und Online-Tests. In den einzelnen Übungen vertiefen die Mitarbeiter:innen beispielsweise noch einmal den Umgang mit bestimmten Technologien, allgemein dem Surfen im Internet oder dem Arbeiten mit E-Mails.

    Präsenzschulung

    Bei Präsenzschulungen können die Trainer:innen sehr gut mit den Kursteilnehmer:innen interagieren. Hier können Sie Situationen nachstellen wie den sicheren Umgang mit Kund:innen und deren Daten am Point of Sale oder am Empfangstresen Ihres Unternehmens. Fehler oder Missverständnisse bei Übungsinhalten können die Trainer:innen dabei schnell erkennen, korrigieren und gemeinsam mit den Teilnehmer:innen besprechen.

    Online-Schulung

    Mit regelmäßigen Online-Schulungen können Sie das Gelernte vertiefen und neueste Erkenntnisse zur IT-Sicherheit einfließen lassen. Zudem sind Online-Schulungen ein praktikabler Weg, um Mitarbeiter:innen zu schulen, die ausschließlich im Homeoffice oder mobil arbeiten und deren Arbeitsplatz weit entfernt vom Unternehmenssitz ist.
    Ein Mann mit Kapuze sitzt vor einer Tastatur, im Vordergrund grüne Viren- und Datensymbole

    Risikofreies Cloud-Computing: Vodafone Total Cloud Security

    Immer mehr DDoS-Attacken, professionellere Hacker-Angriffe, gestiegene Compliance-Anforderungen – nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen als heute.

    Unser DDoS Mitigation Service analysiert einlaufenden Traffic und alarmiert Sie automatisch bei drohenden Attacken. Mit Managed Firewall bekommen Sie umfassenden hardware-dedizierten Schutz vor IT-Gefahren. Außerdem verfügen wir über die ISO 27001-Zertifizierung für Cloud & Hosting Services und für Rechenzentrums-Dienstleister in Deutschland.

    Mehr zu Vodafone Total Cloud Security

    Mögliche Fehler bei der Durchführung von Sicherheitsschulungen

    Die Qualität der Trainings ist unterschiedlich. Daher sollten Sie auf folgende Punkte achten und diese Fehler vermeiden:
    • Security-Awareness-Trainings sollten zu Ihrem Unternehmen und dem Arbeitsumfeld Ihrer Mitarbeiter:innen passen. Einige Anbieter von Online-Trainings vermitteln nur sehr allgemeine oder nicht mehr aktuelle Inhalte.
    • Manche Trainings sind für andere Länder lokalisiert und haben daher keinen Bezug zum deutschen und EU-Recht, etwa der DSGVO.
    • Achten Sie umgekehrt auch darauf, dass Sie Ihren Mitarbeiter:innen die zu deren Arbeitsorten und Ländern passenden Trainings bieten, wenn diese an Standorten im Ausland arbeiten.
    • Wenn Sie sich für Online-Schulungen entscheiden, sollten diese einen Übungs- oder Test-Teil enthalten, damit Ihre Mitarbeiter:innen die Inhalte auch aktiv erlernen und verinnerlichen.
    • Die Kurse sollten alle Sicherheitsrisiken verständlich erläutern und ihre Empfehlungen und Vorgaben für die tägliche Arbeit gut begründen. Denn wenn Ihre Mitarbeiter:innen beispielsweise verstehen, weshalb gewisse Passwörter sehr leicht zu knacken sind und was dies für Folgen für das gesamte Unternehmen haben kann ist die Bereitschaft, Sicherheitsregeln auch umzusetzen, deutlich größer.
    Unkenntlicher Computerhacker tippt auf einem Smartphone

    Lookout: Die Sicherheitslösung für mobile Endgeräte

    Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

    Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte.

    Mehr zu Lookout

    Kosten von Security-Awareness-Trainings

    Größter Kostenfaktor bei Security-Awareness-Trainings ist oft die hierfür anfallende Arbeitszeit Ihrer Mitarbeiter:innen. Ihre Kosten für regelmäßige Trainings können Sie durch eine Kombination aus Präsenz- und Online-Trainings reduzieren. Häufigere kurze Wiederholungsübungen, zum Beispiel eine Stunde pro Quartal, sind dabei in der Regel nachhaltiger und effizienter als beispielsweise eintägige Auffrischungsschulungen im Jahresturnus.
    Tipp: Haben Sie bereits einen zuverlässigen Dienstleister für Pentests, Sicherheits-Audits oder für das Erstellen und Monitoring Ihres ISMS, so fragen Sie dort an, ob dieser auch Security-Awareness-Trainings anbietet. Schließlich kennt er bereits Ihr Unternehmen, Ihre IT-Strukturen oder Ihre Branche und kann daher Ihre Mitarbeiter:innen ohne große Einarbeitung gezielt schulen.
    Zugleich können Sie auf diese Weise die Ergebnisse bisheriger Pentests in Ihrem Unternehmen in die Lehrgangsinhalte einarbeiten lassen. Damit demonstrieren Sie Ihren Mitarbeiter:innen, welche konkreten Sicherheitslücken es auch in Ihrer Firma bereits gab oder sogar noch gibt. Dies macht die Schulungen besonders anschaulich.

    Das Wichtigste zu Security-Awareness-Trainings in Kürze

    • Die Anzahl der Cyberangriffe und die mittlere Schadenshöhe nehmen in Deutschland zu. Besonders Mitarbeiter:innen im Homeoffice sind häufig Opfer von Attacken.
    • Mit regelmäßigen Security-Awareness-Trainings sichern Sie Ihr Unternehmen gegen viele Cyberangriffe von außen und innen.
    • Vergleichen Sie die unterschiedlichen Trainings am Markt und entscheiden Sie sich für eines, dessen Inhalte zu Ihrem nationalen Markt und Datenschutzrecht und den Besonderheiten in Ihrem Unternehmen passt.
    • Für das anfängliche Erlernen und das regelmäßige Auffrischen der wichtigsten Sicherheitsprinzipien haben sich Kombinationen aus Präsenz- und Online-Trainings bewährt.
    • Lassen Sie Ergebnisse aus Ihrem laufenden Sicherheits-Monitoring in die Schulungen mit einfließen.
    • Prüfen Sie, ob Ihr IT-Dienstleister auch Security-Awareness-Trainings anbietet. Dieser Anbieter kennt Ihr Unternehmen bereits und kann daher Ihre Mitarbeiter:innen zielgerichtet schulen.
    Portrait von Dr. Lorenz SteinkeLorenz Steinke
    17.01.2023
      # Tags:New WorkBusiness BasicsDigitalSicherheit
      Das könnte Sie auch interessieren:
      Unified Communication
      Eine junge Frau sitzt barfuß und lächelnd an einem Kiesstrand und hat ein Notebook auf dem Schoß

      Was ist mobiles Arbeiten und wie integrieren Sie das Konzept optimal in Ihr Unternehmen?

      Auch nach dem offiziellen Ende der Coronapandemie können sich viele Arbeitnehmer:innen kaum noch vorstellen, in ein klassisches Arbeitsverhältnis mit täglichem Erscheinen in einem Büro zurückzukehren. Dies sagen rund drei Viertel der in einer aktuellen Studie der Hans-Böckler-Stiftung Befragten. Moderne Arbeitsformen wie mobiles Arbeiten haben sich demnach etabliert und sind gekommen, um zu bleiben. Die in der Studie befragten Arbeitnehmer:innen möchten auch weiterhin wenigstens teilweise im Homeoffice tätig sein. Nur noch 15 Prozent geben an, dass ihren Vorgesetzten Anwesenheit vor Ort sehr wichtig sei. Vor der Pandemie waren es noch 60 Prozent. Auch im Ausland ist dieser Trend zu beobachten. Eine Studie der Europäischen Zentralbank (EZB) wiederum fand heraus, dass innerhalb der Euro-Zone rund ein Drittel der Beschäftigten auch weiterhin (noch) mehr Arbeit im Homeoffice wünschen. Als einer der Hauptgründe für das wachsende Interesse an diesem Arbeitsmodell nennt die EZB-Studie die teilweise immer länger werdenden Pendelzeiten. Arbeitnehmer:innen, die mehr als eine Stunde pro Strecke pendeln, wünschen sich im Schnitt bis zu zehn Homeoffice-Tage pro Monat. Doch mobiles Arbeiten ist nicht dasselbe wie Homeoffice oder Telearbeit. Lesen Sie hier, wo die Unterschiede liegen und was es beim mobilen Arbeiten aus Sicht von Arbeitgebern zu beachten gibt.

      Weiterlesen
      Telefon

      Digitalisierungs-Beratung

      Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

      0800 505 4512

      Hilfe und Service

      Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

      0800 172 1234
      Online
      Vor Ort