Im Großen und Ganzen könnte man sagen, dass die Schulung des Sicherheitsbewusstseins dafür sorgt, dass Einzelpersonen bestimmte Praktiken verstehen und befolgen, um die Sicherheit einer Organisation zu gewährleisten. So gesehen gibt es Schulungen zum Awareness Training praktisch schon immer, vor allem, wenn man die Notwendigkeit von Sicherheit bei militärischen Anwendungen bedenkt. Heutzutage liegt der Schwerpunkt bei Schulungen zum Sicherheitsbewusstsein auf der Informationssicherheit und insbesondere der Cybersicherheit. Die rasanten Fortschritte in der Informationstechnologie – und die parallelen Innovationen von Cyberkriminellen – bedeuten, dass Mitarbeiter und andere Endnutzer regelmäßige, ein spezifisches Cyber Awareness Training benötigen, um sich online sicher zu bewegen und ihre Daten und die ihres Arbeitgebers zu schützen.
Die Notwendigkeit von Sicherheitsbewusstsein
Schulungen zum Sicherheitsbewusstsein spielen eine entscheidende Rolle bei der Minimierung der ernsthaften Bedrohungen der Cybersicherheit, die für Endbenutzer durch Phishing-Angriffe und Social Engineering bestehen. Zu den wichtigsten Schulungsthemen gehören in der Regel Passwortmanagement, Datenschutz, E-Mail-/Phishing-Sicherheit, Web-/Internetsicherheit sowie physische und Büro-Sicherheit. Wie der Bericht der Aberdeen Group „Security Awareness Training“ zeigt, ist die Schulung des Sicherheitsbewusstseins auch wirtschaftlich sinnvoll: Small Investment, Large Reduction in Risk“ untersucht. Die Forscher führten einen Workshop mit Sicherheitsverantwortlichen in Unternehmen durch, um herauszufinden, warum sie in Sicherheitsbewusstsein und Schulungen investieren. Sie fanden Folgendes heraus: 91 % nutzen Security Awareness, um das mit dem Nutzerverhalten verbundene Cybersecurity-Risiko zu reduzieren; 64 % nutzen es, um das Benutzerverhalten zu ändern; 61 % nutzen es, um gesetzliche Anforderungen zu erfüllen; 55 % nutzen es, um interne Richtlinien einzuhalten. Diese Statistiken zeigen, dass einige Unternehmen Sicherheitsschulungen einfach deshalb durchführen, weil sie externe oder interne Vorschriften einhalten müssen. Dem Bericht zufolge sind diese Schulungen aber auch finanziell sinnvoll: „Eine zusätzliche Investition in Sicherheitsschulungen führt im Durchschnitt zu einer Verringerung des jährlichen Risikos von Phishing-Angriffen um etwa 50 % und zu einer durchschnittlichen jährlichen Rendite von etwa dem Fünffachen“.
Entwicklung des Sicherheitsbewusstseins
Auch wenn die Kernkonzepte zu einem Cyber Awareness Training nicht neu sind, so sind sie doch erst seit relativ kurzer Zeit im Bewusstsein der breiten Öffentlichkeit angekommen. Ein Indiz dafür war die Einführung des National Cyber Security Awareness Month im Jahr 2004. Die Initiative der National Cyber Security Alliance und des US-Ministeriums für Heimatschutz sollte den Menschen helfen, im Internet sicherer zu sein, und sie zu regelmäßigen Aktualisierungen von Antivirensoftware ermutigen. Seitdem hat der jährlich stattfindende Sensibilisierungsmonat ähnliche Veranstaltungen in anderen Ländern inspiriert, seine Themen und Inhalte ausgeweitet und eine zunehmende Beteiligung von Unternehmen und Behörden sowie von Universitäten, gemeinnützigen Organisationen und der breiten Öffentlichkeit erfahren. Der Schwerpunkt, die Methoden und die Effektivität von Schulungen zum Sicherheitsbewusstsein haben sich im Laufe der Jahre stark verändert. Im Jahr 2004 waren die meisten Programme auf die Einhaltung von Vorschriften ausgerichtet, d. h. auf die Erfüllung gesetzlicher Anforderungen. Heute hat sich dieser Schwerpunkt dahingehend verlagert, dass Schulungen zum Bewusstsein für Cybersicherheit als Mittel zur Verwaltung und Minderung von Unternehmensrisiken gesehen werden. Im Laufe der Zeit haben sich auch die Schulungsmethoden selbst weiterentwickelt. Im Jahr 2004 war das vorherrschende Paradigma jährliche Präsentationen, entweder als persönliche Schulungen oder als lange computerbasierte Schulungen. Leider führen diese langwierigen, unregelmäßigen Veranstaltungen nicht zu einer guten Wissensspeicherung. Ein allmählicher Übergang zu kurzen, konzentrierten Schulungen zu einzelnen Themen stellte eine Verbesserung dar, aber diese Schulungen wurden immer noch unregelmäßig durchgeführt, so dass das Wissen mit der Zeit verloren ging. Um das Jahr 2014 herum begann sich die Schulung des Sicherheitsbewusstseins in Richtung einer kontinuierlichen Ausbildung und Verbesserung zu verlagern, bei der ein Programm fortlaufende Bewertungs- und Schulungszyklen umfasst. Die neuesten Entwicklungen sind „Just-in-Time“-Schulungen und kontextbezogene Schulungen, bei denen die Möglichkeit besteht, Schulungen als Reaktion auf ein schlechtes Cybersecurity-Verhalten eines Endnutzers, z. B. unsicheres Surfen im Internet, zu starten.
Mehr Informationen dazu finden Sie hier: