In vielen Unternehmen bleibt Security Awareness ein theoretisches Konzept – Schulungen werden einmal pro Jahr durchgeführt, doch nachhaltige Veränderungen im Verhalten der Mitarbeitenden bleiben aus. Doch was, wenn IT-Sicherheit so selbstverständlich wäre wie das tägliche Zähneputzen? Mit dem richtigen Training kann sich sicheres Verhalten automatisieren – genau wie «Muscle Memory» im Sport. Wir zeigen, wie Sie Ihre Awareness-Strategie so gestalten, dass Cyber Security zur natürlichen Gewohnheit wird.

Wer ist verantwortlich: die Mitarbeitenden oder die IT?

Oft herrscht eine typische Fehlannahme: Die IT sieht die Mitarbeitenden als grösste Security-Schwachstelle, während diese meinen, dass IT-Security ausschliesslich in den Händen der IT liegt. Doch wer trägt letztendlich die Verantwortung?

Die Realität: Beide.

• Die IT kann Phishing-E-Mails automatisiert aus der Inbox der Mitarbeitenden entfernen – aber niemals zu 100 %, da sonst legitime Mails fälschlicherweise blockiert würden.

• Die Mitarbeitenden müssen sich bewusst sein, dass nicht jeder Angriff technisch verhindert werden kann und sie eine Mitverantwortung für die Sicherheit tragen.

Nur wenn beide Seiten aktiv mitwirken, entsteht eine nachhaltige Sicherheitskultur.

Warum «Awareness» alleine nicht reicht

«Security Awareness» bedeutet wörtlich, dass sich Mitarbeitende der Risiken bewusst sind. Doch reines Bewusstsein reicht nicht – es braucht gezieltes Training, um aus Wissen automatisierte Handlungsabläufe zu machen.

Dazu gehören drei Stufen der Entwicklung:

• Stufe 1 - Awareness: Mitarbeitende sind sich bewusst, dass sie zur Sicherheit der IT beitragen müssen (Sensibilisierung mittels Schulungen, Praxis-Beispielen, Live Hackings etc.)

• Stufe 2 - Training der Mustererkennung: Mitarbeitende sind darauf trainiert, typische Warnzeichen zu erkennen, die auf ein Phishing hinweisen (laufende Wiederholung von Schulungsinhalten, z. B. über eine E-Learning-Plattform, Phishing-Tests und Reminder in Form von Postern, Bildschirmschonern, Awareness-Newslettern etc.)

• Stufe 3 - Aktiv werden: Mitarbeitende erkennen Bedrohungen eigenständig und melden diese, um andere zu schützen

«Muscle Memory» statt jährliche Sprints

Viele Organisationen setzen nur auf jährliche Security Awareness-Schulungen. Das Problem? Die Wirkung verpufft schnell. Sicheres Verhalten muss zur Gewohnheit werden – durch regelmässiges Training, welches das Muskelgedächtnis aktiviert. Erst dann erkennen Mitarbeitende Bedrohungen intuitiv und handeln richtig.

Nur bei ausreichendem Training greift das Muskelgedächtnis, entwickeln die Mitarbeitenden also ihre Mustererkennung und durchschauen dann im Alltag mit hoher Wahrscheinlichkeit die Phishing-E-Mails und handeln entsprechend.

Die vier wichtigsten Eigenschaften eines nützlichen Awareness-Tools

Ein Teil einer Awareness-Strategie beinhaltet wiederholtes Lernen. Mit einer Online-Plattform geht dies sowohl automatisiert als auch abwechslungsreich, interaktiv und individualisiert – zumindest mit dem richtigen Tool. Aber was muss ein Tool leisten können, um Sie beim Thema Security Awareness effektiv zu unterstützen?

• Abwechslungsreiche Lernformate – E-Learning-Module, Games und Netflix-ähnliche Kurzfilme, um Inhalte spannend zu vermitteln

• Simulierte Phishing-Angriffe und automatisierte Tests – abgestimmt auf das individuelle User-Niveau, um die Mitarbeitenden effektiv in ihrem Alltag trainieren zu können

• Zusatzmaterialien, um Mitarbeitende zu erinnern und zu motivieren (Handouts, Poster, Grafiken, Bildschirmschoner, Texte für Newsletter, etc.)

• Ausgereifte Plattform mit durchdachten Standards und Optionen sowie vielen Automatismen, um wenig Zeit mit der Administration verbringen zu müssen und Mitarbeitende stufengerecht trainieren zu können.

Unser Partner KnowBe4 – Cyber Security Educator of the Year 2024 – bietet die weltweit grösste Sammlung mehrsprachiger Security Awareness-Inhalte: von Schulungen über interaktive Spiele bis hin zu lehrreichen Kurzfilmserien.

Braucht es denn noch Security Awareness-Spezialisten?

Ja. Security Awareness-Spezialisten helfen unter anderem, die Schulungen mit der physischen Welt zu verknüpfen, um sie effektiver zu machen:

• Vor-Ort-Schulungen und Live Hackings
• Pappaufsteller, Plakate und kundenspezifisch angepasste Handouts
• Awareness-Quizzes und Security Taschenbüchlein
• Leitfaden zu Sicherheitsthemen, Verhaltens-Checklisten und vieles mehr.

Die Kombination aus Awareness Training in der virtuellen und realen Welt hat sich als erfolgreich erwiesen.

Auch als Manager der Tools, können Ihnen Security Spezialisten den Aufwand abnehmen. Sie kennen die Inhalte und technischen Möglichkeiten der Plattform und können diese optimal auf die jeweiligen Gegebenheiten Ihrer Organisation abstimmen.

Awareness jetzt ganzheitlich und erfolgreich angehen

Bringen Sie Ihre Security Awareness auf das nächste Level und verankern Sie Sicherheitsbewusstsein nachhaltig in Ihrer Unternehmenskultur. Wir zeigen Ihnen, welche Massnahmen für Ihr Unternehmen sinnvoll sind – jetzt unverbindlich beraten lassen.

---

Mini-Handout Awareness für Mitarbeitende: Phishing und co. erkennen, verhindern oder deeskalieren