Security Awareness Training
Security Awareness Training
Der Mensch ist nach wie vor die grösste Schwachstelle in einem Unternehmen. Mit gezielten und unternehmensrelevanten Schulungen vermitteln wir Mitarbeitern auf jeder Hierarchiestufe ein Bewusstsein für Sicherheit und Risiken im Umgang mit Informationen im Geschäftsalltag. Wir vermitteln das nötige Wissen, damit alle Mitarbeiter Sicherheitsrisiken erkennen können und richtig darauf reagieren.
Das Resultat ist eine erhöhte Aufmerksamkeit und Vorsicht der Mitarbeitenden und somit eine verbesserte Informationssicherheit im Unternehmen.
Nutzen einer Sicherheitsschulung für Mitarbeiter
- Erhöhtes Bewusstsein von Sicherheitsrisiken im Unternehmen
- Erhöhte Aufmerksamkeit und Vorsicht der Mitarbeitenden
- Reduzierung des Risikos von Phishing, Malware und Social Engineering
- Geschäftskontinuität gewährleisten und Reputation des Unternehmens schützen
Warum sollten Organisationen Security Awareness Trainings durchführen?
Cybersecurity-Awareness-Trainings sind wichtig, um ernsthafte Bedrohungen für die Institution zu minimieren, die den Mitarbeitern durch Phishing-Angriffe und Social Engineering drohen. Typische Schulungsthemen sind Passwortverwaltung, Datenschutz, E-Mail-/Phishing-Sicherheit, Web-Sicherheit sowie physische Sicherheit im Büro und am Arbeitsplatz.
Allzu oft wird Awareness ausschliesslich in einem Atemzug mit dem Begriff Training genannt. Zwar beeinflusst die Art und Weise, wie Wissen vermittelt wird, den Erfolg von Awareness-Aktivitäten. Menschliches Verhalten ist allerdings nicht allein rational bedingt, weshalb es zu kurz gegriffen wäre, reduzierte man Awareness ausschliesslich auf den Faktor Wissen.
Bedrohung durch Ransomware
Obwohl die Kernkonzepte der Security Awareness Schulungen nicht neu sind, hat das Thema erst vor kurzem das Bewusstsein der breiten Öffentlichkeit erreicht. Entschieden dazu beigetragen hat die wachsende Bedrohung durch Erpressungen mit Ransomware. Der erleichternde Zugang zu anonymen Zahlungsmitteln (z.B. Kryptowährung) hat die Geschäftspraktik der Cyberangreifer erleichtert. Leider ist das Bewusstsein der Bevölkerung mit der steigenden Zunahme von Cyberangriffen nicht gewachsen, weshalb Security Awareness heute einen wichtigen Faktor für Unternehmen und Mitarbeiter darstellt.
Die Vielfalt von Security Awareness Angeboten zeichnet sich durch die Interpretationsmöglichkeiten aus. So bezieht mancher Awareness lediglich auf die Gefahren im Umgang mit dem Internet. Andere wiederum sehen Awareness in einem direkten Bezug zu IT-Sicherheit oder datenschutzrechtlichen Fragestellungen. In weiten Fassungen wird Awareness im Kontext der Informationssicherheit oder des Risikomanagements gesehen.
Welche Aspekte Security Awareness hat, ist ausschliesslich von der Institution abhängig und sollte in einem Erstgespräch zur Feststellung der Rahmenbedingungen geklärt werden. Hierbei helfen Bedrohungsbaumanalysen, die spezifisch auf Ihre Institution entwickelt wurden.
Security Awareness praxisorientiert vermitteln
Security Awareness Trainings sollten höchst effektive Schulungen zur Sensibilisierung für Cybersicherheit sein. Daher setzen wir auf wissenschaftlich bestätigte Lernprinzipien, um die Teilnehmer zu motivieren und ihr Verhalten zu ändern. In unseren Lösungen nutzen wir die folgenden Prinzipien, um Mitarbeiter darin zu schulen, sich selbst und ihren Arbeitgeber vor Cybersicherheitsrisiken zu schützen.
Verständliche Informationen
Menschen lernen besser, wenn sie sich auf kleine Informationseinheiten konzentrieren können, die sich leicht verarbeiten lassen. Es wäre nicht sinnvoll, in einer kurzen Zeitspanne viele verschiedene und umfangreiche Cybersicherheitsthemen zu behandeln, um dann von den Mitarbeitern zu erwarten, dass sie all diese Informationen behalten und ihr Verhalten entsprechend anpassen. Gezielte Lerneinheiten und Themen sind stets produktiver.
Festigen Sie das Gelernte
Ein wichtiger Baustein erfolgreicher Schulungen sind Wiederholungen von Elementen. Ohne regelmässige Rückmeldungen und Anwendungsmöglichkeiten gerät selbst intensiv gelerntes Wissen in Vergessenheit. Cybersicherheitsschulungen sollten fortlaufend und nicht als einmaliges Seminar erfolgen.
Bringen Sie die Teilnehmer zum Nachdenken
Damit sich Menschen verbessern können, brauchen sie eine Möglichkeit, ihre Leistung zu bewerten. Schulungsprogrammen zur Steigerung des Sicherheitsbewusstseins sollten die Mitarbeiter auffordern, die vorgestellten Informationen zu analysieren, ihren Wahrheitsgehalt zu hinterfragen und eigene Schlussfolgerungen zu ziehen.
Vermitteln Sie theoretisches und praxisorientiertes Wissen
Theoretisches Wissen bietet eine Grundlage und ermöglicht das Anwenden von Methoden zur Problemlösung. Auf der anderen Seite fokussiert sich praxisbezogenes Wissen auf die spezifischen Schritte, die notwendig sind, um ein Problem zu adressieren.
Indem man diese beiden Arten von Wissen kombiniert, wird die Fähigkeit der Nutzer signifikant gesteigert. Zum Beispiel könnten Nutzer eine praxisnahe Einweisung benötigen, um zu erkennen, dass eine IP-Adresse in einer URL ein Anzeichen für einen Phishing-Versuch sein könnte. Gleichzeitig ist es essenziell, dass sie ein theoretisches Verständnis für die verschiedenen Komponenten einer URL haben, um zwischen einer IP-Adresse und einem Domainnamen unterscheiden zu können. Ohne dieses Wissen könnten sie fälschlicherweise annehmen, dass www3.netsafe.ch ein verdächtiger Link ist.
Passwortsicherheit
Ein starker Passwortschutz ist die erste Verteidigungslinie gegen Cyberangriffe. In dieser Schulung werden wir die Bedeutung sicherer Passwörter erläutern und wie Mitarbeiter diese erstellen können. Wir werden auch darüber sprechen, wie Passwortmanager genutzt werden können, um die Verwaltung sicherer Passwörter zu erleichtern, und häufige Passwortfehler aufzeigen, die vermieden werden sollten.
Phishing vs. Spear-Phishing
Spear-Phishing ist eine spezielle Angriffsform, die sich vom herkömmlichen Phishing-Angriff ableitet und in extrem bösartiger Absicht als Cyberangriff auftritt. Bei einer herkömmlichen Phishing-Attacke fallen die Zielpersonen nach Zufall in das Raster des Angreifers. Bei einem Spear-Phishing-Angriff wird das Opfer zum Teil über Wochen und Monate gezielt ausspioniert. In diesem Zeitraum werden Gewohnheiten und Präferenzen in Erfahrung gebracht. Das dient der Erstellung eines Personendossiers. Auf Basis dieser sorgfältig erhobenen Daten werden maßgeschneiderte E-Mail- bzw. Phishing-Angriffe realisiert. Diese sind immer personenbezogen.
Sicherheit im Home-Office
Das Arbeiten von zu Hause aus ist mittlerweile üblich, birgt jedoch auch Sicherheitsrisiken. In dieser Schulung werden wir die Herausforderungen und Sicherheitsrisiken beim Home-Office beleuchten. Wir werden Sicherheitstipps für Heimnetzwerke und -geräte teilen, VPNs und sicheren Remote-Zugriff erklären sowie Massnahmen zur physischen Sicherheit im Home-Office-Umfeld besprechen.