Die richtigen Türen sichern: Wie man das Bewusstsein schult

Geben Sie allen Mitarbeitern dieselbe Standardschulung, unabhängig davon, ob es sich um Fernmitarbeiter, Auftragnehmer, juristische Mitarbeiter oder Mitglieder der Führungsetage handelt?
Sind Ihre Awareness-Tests praktisch dieselben wie bei jedem anderen Unternehmen im Viertel - auch wenn die meisten von ihnen in völlig anderen Branchen tätig sind? Und selbst wenn Sie diese häufigen Fehler nicht machen, sind Sie sicher, dass Sie den maximalen Nutzen aus Ihrem Budget für Sicherheitsschulungen ziehen?

Um den größtmöglichen Nutzen aus Ihren Awareness-Schulungen zu ziehen, müssen Sie die Risiken, mit denen Ihr Unternehmen konfrontiert ist, fortlaufend bewerten und Ihren Mitarbeitern dann ansprechende, gezielte Schulungen anbieten, die diese Risiken abdecken. Auf diese Weise können Sie sicher sein, dass Sie nicht die Zeit Ihrer Mitarbeiter und Ihr Cyber-Budget für allgemeine Schulungen vergeuden, während die wirklichen Bedrohungen direkt durch die Eingangstür kommen.

Erhalten Sie eine Risikobewertung speziell für Ihr Unternehmen

Zwei Drittel der australischen Unternehmen sind der Meinung, dass riskantes Verhalten der Mitarbeiter ihr Unternehmen gefährdet - aber nur ein Viertel dieser Organisationen bietet kontinuierliche Sensibilisierungsschulungen an. Ein erster wichtiger Schritt zur Stärkung Ihrer Cyber-Resilienz ist es, Cyber-Schulungen zu einem regelmäßigen Bestandteil des Arbeitslebens zu machen.

Um diese Schulung gezielt durchzuführen - und ihre Wirkung auf die nächste Stufe zu heben - beginnen Sie mit einer einfachen Auswertung der Vorfälle, die Ihr Unternehmen betroffen haben. Dazu gehören Datenschutzverletzungen, Beinaheunfälle und Beispiele für Unachtsamkeit oder Fahrlässigkeit. Diese Art von Bewertung sollte ein klareres Bild davon vermitteln, welche Bedrohungen Sie am ehesten treffen werden. In groben Zügen:

Das Australian Cyber Security Centre (ACSC) stellt fest, dass Kriminelle im Jahr 2021 stark auf pandemiebezogene Betrügereien setzten und kritische Infrastrukturen angriffen, wobei Ransomware auf dem Vormarsch war und BEC-Angriffe (Business Email Compromise) immer lukrativer wurden.

Auch das neuseeländische National Cyber Security Centre (NCSC) weist auf die steigende Gefahr von Ransomware hin, ebenso wie auf Angriffe auf Gesundheits- und Finanzinstitutionen und die Zunahme staatlich gesponserter Akteure.

Diese Art von Bewertung auf hohem Niveau ist zwar ein guter Anfang, aber es gibt auch tiefer gehende Instrumente, mit denen Sie genau feststellen können, welche Risiken Sie wann angehen sollten.

Detaillierte Analyse zur Fokussierung der Ausbildung

Je nach Sektor, in dem Sie tätig sind, können Sie sich dafür entscheiden, dass ein Standard-Reifegradmodell ausreicht, um Ihren Sicherheitsanforderungen gerecht zu werden. Reifegradmodelle sind ein sehr nützliches strategisches Instrument. Sie können Sie bei der Einrichtung von Fähigkeiten und Kontrollen unterstützen und Unternehmen in die Lage versetzen, bestimmte Cybersicherheitsstandards zu erfüllen. Maßnahmen wie die australischen Essential Eight, das neuseeländische Capability-Modell und branchenspezifische Programme können sowohl Ihre allgemeine Cybersicherheitslage als auch Ihre Schulungsprioritäten beeinflussen. Sie sind jedoch kein Ersatz für eine genaue Risikobewertung für Ihr Unternehmen.

Durch Bewertungen werden Risiken ermittelt, ihre Auswirkungen qualifiziert und Ihre Fähigkeit, sie zu bewältigen, gemessen. Wenn Sie über die erforderlichen Ressourcen und Inputs verfügen, können die ausgefeiltesten risikobasierten Modelle für die Cybersicherheit spezifische Bedrohungen mit einem Geldwert bewerten und Ihnen dabei helfen, Schulungen präziser auszurichten (und ein Budget überzeugender zu begründen) als die allgemeinen Empfehlungen eines Reifegradmodells.

Konzentration auf das Wesentliche

Ihre Bewertung kann wertvolle Hinweise für bestimmte Ausbildungsbereiche liefern. Aber man sollte immer mit den Grundlagen beginnen. Schulungen zu Passwörtern, Wechseldatenträgern und Geräten sind ebenso wichtig wie die Vermeidung von Fehlern bei der physischen Sicherheit, z. B. wenn Laptops unverschlossen bleiben, Dokumente sichtbar sind oder Passwörter offen aufgeschrieben werden.

Diese Standardaspekte der Achtsamkeitsschulung sollten angepasst und hervorgehoben werden, wenn Ihr Unternehmen seine Büroräume mit anderen teilt oder von Zeitarbeitern oder Auftragnehmern abhängig ist, die möglicherweise eigene, auf ihre Situation zugeschnittene Schulungen benötigen. Schulungen zu den Richtlinien für soziale Medien (die die Weitergabe von persönlichen, Projekt- oder Kundeninformationen regeln können) sind eine weitere Maßnahme, die Ihre Angriffsfläche begrenzen kann, insbesondere wenn Ihre Mitarbeiter zu einer starken Online-Präsenz ermutigt werden.

Schulen Sie Ihr Personal, um Phishing zu erkennen

Wenn Social Engineering für Ihr Unternehmen ein Thema ist - und 70 % der Unternehmen gehen davon aus, dass sie in diesem Jahr von einem E-Mail-Angriff betroffen sein werden -, sollte eine Anti-Phishing-Schulung ganz oben auf Ihrer Liste stehen. Die Mitarbeiter sollten darüber informiert werden, wie sie mit verdächtigen E-Mails, Links und Texten umgehen und wie sie Vorfälle melden können. Dazu gehören auch detaillierte Informationen über spezifische aktuelle Bedrohungen und Taktiken, die von Betrügern eingesetzt werden, wie z. B. falsche Dringlichkeit und die Verwendung persönlicher Daten, sowie über neue Bedrohungen wie Deepfake-Videos und Sprachnachrichten.

Diese Ausbildung darf nicht zu Lasten der leitenden Angestellten gehen. Da C-Suite-, Rechts- und IT-Mitarbeiter aufgrund ihres Einflusses und ihrer Zugriffsrechte besonders begehrte Ziele sind, können Sie diesen Gruppen maßgeschneiderte Schulungen anbieten.

Fernarbeitskräfte brauchen eine spezielle Sensibilisierungsschulung

Die Pandemie hat den Aufstieg der Telearbeit beschleunigt, und während viele Arbeitnehmer die damit verbundene Freiheit lieben, genießen Hacker die Möglichkeiten, die sich aus dieser Veränderung ergeben. Remote- oder Hybrid-Mitarbeiter müssen in sicheren Arbeitsmethoden geschult werden, mit Richtlinien für die Nutzung von ungesichertem WLAN, persönlichen Geräten, Verschlüsselung und Apps von Drittanbietern. Fernarbeitskräfte sind stärker von Phishing-Angriffen bedroht, worauf ein besonderes Augenmerk gelegt werden sollte, wenn viele Mitarbeiter von zu Hause aus arbeiten.

Von Cloud-Deckung bis Spyware - Ihr Unternehmen hat seine eigenen Cyber-Prioritäten
Wir haben oben die wichtigsten Bereiche für Schulungen behandelt, aber jedes Unternehmen steht vor anderen Herausforderungen.

1. Wenn einige Funktionen cloudbasiert sind, benötigen sie eigene cloudbasierte Sicherheitslösungen und Awareness-Schulungen.
2. Die Finanzvorschriften, die Datenschutzpolitik und die Einhaltung der Vorschriften variieren von Sektor zu Sektor, und für bestimmte Funktionen sind möglicherweise individuelle Richtlinien erforderlich.
3. Mit der zunehmenden Bedeutung staatlich gesponserter Akteure wird Spyware zu einer immer größeren Gefahr, vor allem in Branchen wie Infrastruktur, Gesundheitswesen und Behörden.
4. Internet of Things (IoT)-Geräte erfordern möglicherweise einen gesonderten Schwerpunkt, insbesondere in der Fertigung, der Industrie und im Gesundheitswesen, die auf eine Vielzahl vernetzter Geräte angewiesen sind.

Unabhängig von den Themen, auf die Sie sich konzentrieren, sollte sich die Schulung für die Mitarbeiter nicht wie eine lästige Pflicht anfühlen. Das bedeutet, dass wir Beispiele aus der realen Welt verwenden, mit denen die Mitarbeiter etwas anfangen können, dass wir Schulungen gegebenenfalls mit Spielen kombinieren und dass wir auf das Feedback der Mitarbeiter hören. Mitarbeiter, die ein Mitspracherecht haben, fühlen sich viel eher in die Sicherheitskultur Ihres Unternehmens eingebunden, und echte Cyber-Resilienz kann nur erreicht werden, wenn alle Mitarbeiter Ihres Unternehmens mit an Bord sind.

Wie man das Bewusstsein schult

Sensibilisierungsschulungen sind ein wesentlicher Bestandteil der Cyber-Resilienz. Um jedoch das Beste aus Ihrem Budget herauszuholen und Ihr Unternehmen zu schützen, müssen Sie sicherstellen, dass es sich auf die richtigen Bedrohungen konzentriert. Das bedeutet, die Risiken zu bewerten und den Finger am Puls der Zeit zu haben, indem man ständig bewertet, schult und erneut bewertet. Denn während Erinnerungen verblassen und Bedrohungen sich verändern können, werden die Angreifer immer wieder kommen. Auch Ihr Awareness-Training muss sich ständig anpassen, um Schritt zu halten.