Awareness-Training: So werden Mitarbeiter zur aktiven Firewall

Awareness braucht mehr Aufmerksamkeit

Leider nehmen viele Firmen dieses Thema Awareness noch nicht ernst genug. Sie unterschätzen die Gefahren für ihre Datensicherheit durch „Human Error“ oder halten sich als Angriffsziel für zu wenig attraktiv. 

Dabei sind längst auch Klein- und Mittelbetriebe von heimtückischen Phishing-Angriffen betroffen. Hacker umgehen technische Vorsichtsmaßnahmen, indem sie menschliche Schwächen wie Neugier immer cleverer ausnutzen – Stichwort künstliche Intelligenz. 

Unternehmen können noch so viel Geld in IT-Sicherheit investieren – das schützt nicht vor einem unbedachten Klick oder Download. Das reicht vom kleinen Ärgernis, weil man sich Adware eingefangen hat, über die Weitergabe von Konto- und Zugangsdaten bis zur ungewollten Installation gefährlicher Ransomware, die Firmendaten verschlüsselt und immensen Schaden anrichten kann.

Den richtigen Riecher für Gefahr entwickeln

Gute Schulung der Belegschaft ist also buchstäblich Gold wert. Mitarbeitern mangelt es neben technischem Grundwissen meist auch am Gespür für Bedrohungen. Beim Training geht es also zunächst darum, allen Beteiligten nachhaltig klarzumachen, dass sie mit sensiblem Datenmaterial hantieren, welche Risiken das hat und wie sie den richtigen Riecher für Gefahren entwickeln.

Ziele des Awareness-Trainings auf einen Blick

• Bewusstsein für IT und Sicherheit schärfen.
• Im Berufsalltag lauernde Gefahren erkennen.
• In kritischen Situationen richtig reagieren.

Die wichtigsten Lernbereiche

IT-Security ist ein weites Feld. Hier die wichtigsten Bereiche, die Ihr Awareness-Training behandeln sollte:

• Sicheres mobiles Arbeiten außerhalb des Büros / an öffentlichen Orten / in der Cloud
• Sichere Passwörter erstellen und richtig einsetzen
• Sicherer Umgang mit mobilen Datenspeichern, Smartphones, Tablets & Co.
• Wie man Malware und Phishing-Versuche erkennt
• Gefahren von Social Media, Hackertechniken zur Manipulation von Opfern
• Welche Schadsoftware bedroht das Unternehmen: das Wichtigste über Ransomware,  Trojaner, Keylogger und Rootkits
• Richtiges Verhalten und Reporting bei Sicherheitsvorfällen
• Rechtliche Rahmenbedingungen (DSGVO, Compliance, Arbeitsschutz, …)

Langweilig, reizlos: häufige Trainingsfehler

Awareness-Training ist kein Spurt, sondern ein Langstreckenlauf. Nur ein kontinuierlicher Prozess kann eine Bewusstseinsänderung bewirken. Um Mitarbeiter auf längere Sicht zum Lernen zu motivieren, sollte man folgende Schulungsfehler vermeiden:

• Inhalte werden nur ein einziges Mal präsentiert
• Sehr monotone Wissensvermittlung
• fehlende Lernanreize
• keine Überprüfung von Lernfortschritten (zum Beispiel durch das Simulieren von Phishing-Angriffen in der Praxis) 

So macht Awareness Spaß

Was Spaß macht und mit positiven Emotionen verknüpft ist, bleibt im Gedächtnis. Wie nun Mitarbeiter für ein Thema wie IT-Sicherheit begeistern, das die meisten nicht unbedingt spannend finden?

Tipps für ein Awareness-Training, das Appetit auf mehr macht: 

• Kurze Einheiten, kleine Schritte. Servieren Sie Wissen in kleinen, gut verdaulichen Häppchen. Nach 10 Minuten flaut die Aufmerksamkeitsspanne merklich ab.
• Keep it simple. Inhalte sollten einfach nachvollziehbar und leicht verständlich sein. Mitarbeiter sind schnell entmutigt, wenn sie jedes zweite Wort googlen müssen.
• Mehr Abwechslung bitte! Lockern Sie Lerninhalte mit Videos und interaktiven Elementen auf (Quiz, Gaming, Multiple-Choice-Tests, …) 
• Storytelling macht den Unterschied. Verpacken Sie Wissen in spannende Geschichten, die mit möglichst realen Situationen aus der Firma verknüpft sind. 
• Awareness für jeden Tag. Mitarbeiter sollten im Joballtag möglichst oft mit Awareness in Berührung kommen – z.B. durch Poster, Infografiken an der Bürowand. 
• Erfolg überprüfen und belohnen. Punkte oder Zertifikate für absolvierte Lernschritte motivieren. Ein anschließender Penetrationstest zeigt, wie erfolgreich das Training war. Übrigens: Auch Mitarbeiter, die eine simulierte Attacke schnell enttarnen, verdienen Anerkennung!

Was Ihnen das Training bringt

Die Vorteile eines effektives Awareness-Trainings machen den Aufwand mühelos wett: 

*Gut ausgebildetes Personal ist ein effektiven Schutzschild gegen Cyberangriffe. Es erkennt Gefahren frühzeitig und reagiert im Ernstfall richtig. Das spart Zeit und Geld, weil Schäden (Ausfallzeiten usw.) verhindert werden oder minimal bleiben. 

*Der verantwortungsvolle Umgang der Mitarbeiter mit heiklen Daten bewahrt vor möglichen Strafen durch DSGVO-Verstöße und stärkt das Vertrauen der Kunden. Studien zufolge brechen Verbraucher ihre Beziehung zu einem Unternehmen nach Datenschutzvorfällen oftmals ab. 

Eine solide Sicherheitspolitik ist in der Wirtschaft heute Pflicht. eww ITandTEL​​​​​​​ berät Unternehmen in sämtlichen Fragen der IT-Security umfassend und kompetent!