Im Jahr 2022 hatte die Geschäftswelt weiterhin mit Angriffen von Ransomware, Betrug und Datenschutzverletzungen zu kämpfen. Es waren jedoch nicht nur bekannte Unternehmen, die angegriffen wurden, sondern auch das Gesundheitswesen, das Bildungswesen, Behörden und kleine Unternehmen wurden Opfer von Cyberangriffen.

In einem Bericht für das Jahr 2022 hat das Office of National Statistics (ONS) einen Anstieg der Betrugsdelikte um 25% (auf 4,5 Millionen) für das Jahr bis März 2022 im Vergleich zum Jahr bis März 2020 festgestellt. Und im Jahr 2022 war Phishing immer noch die häufigste Bedrohung für britische Unternehmen: 83 % der Angriffe basierten auf Phishing.

Aber ein neues Jahr bringt neue Hoffnung und neue Ideen.

Die Schulung des Sicherheitsbewusstseins hat für Unternehmen, die Betrug, Betrug und andere Cyber-Bedrohungen bekämpfen wollen, weiterhin oberste Priorität. Aber wie kann Ihr Unternehmen seine Sicherheitsschulungen im Jahr 2023 verbessern?

Hier sind fünf Ideen, wie Sie Ihr Unternehmen für die Sicherheit im Jahr 2023 fit machen können.

Seien Sie positiv, seien Sie sicher

Cyberkriminelle, insbesondere solche, die Social Engineering und Phishing einsetzen, verlassen sich auf ein schlechtes Sicherheitsverhalten, damit ihre Betrügereien funktionieren. Bei einem guten Cybersicherheitstraining geht es darum, negatives Sicherheitsverhalten durch eine positivere Einstellung zu ersetzen. Die Änderung von Verhaltensmustern erfordert jedoch Arbeit.

Verhalten, wie z.B. der Drang zu klicken, ist ein erlerntes Muster und die Änderung von tief sitzenden Handlungen erfordert eine konzertierte Anstrengung mit Strategien wie simulierten Phishing-Kampagnen. Verbessern Sie die Inhalte Ihrer Sicherheitsschulungen durch Kampagnen, die auf bewährten Strategien basieren, wie z.B. interaktives Lernen, das schlechte Verhaltensgewohnheiten in positive Handlungen umwandelt. Interaktives Lernen und ansprechende Inhalte fördern das Engagement der Mitarbeiter und helfen Ihrem Unternehmen, eine positive Sicherheitskultur zu entwickeln.

Relevant und interessant bleiben

Die ISACA, eine Organisation der Sicherheitsbranche, untersuchte, wie die Schulung zum Sicherheitsbewusstsein verbessert werden kann. An der Untersuchung nahmen über 5000 Organisationen aus der ganzen Welt teil. Die Studie ergab eindeutige Beweise dafür, dass eine wirksame Schulung des Sicherheitsbewusstseins die richtige Art der Vermittlung interessanter und relevanter Inhalte erfordert.

Zu den Erkenntnissen von ISACA gehört, dass die Informationen nach der ersten Sitzung in kleinen Häppchen und in regelmäßigen Abständen vermittelt werden sollten, um das Gelernte zu festigen. Auch die Art der Informationen ist wichtig. Fallstudien aus dem wirklichen Leben halfen dabei, das Wissen zu festigen und die Bedeutung von guten Sicherheitsverhaltensweisen zu verstärken.

Die Forscher stellten fest, dass die Inhalte „sachdienlich sein, einen Bezug zu Theorie und Praxis haben und eine Geschichte erzählen müssen“. Verwenden Sie Material für Sicherheitsschulungen wie kurze Erklärvideos und Phishing-Simulationsübungen, um die Mitarbeiter einzubinden und die Inhalte ansprechend und relevant zu gestalten.

Belohnen Sie den Erfolg und spielen Sie nicht das Spiel der Schuldigen

Niemand spielt gerne das Spiel der Schuldzuweisungen, und bei der Schulung von Mitarbeitern sollte man Schuldzuweisungen vermeiden. Das Problem bei Schuldzuweisungen ist, dass sie dazu führen können, dass Menschen das Vertrauen verlieren, was zu noch schlimmeren Missgeschicken führt.

Die Entwicklung einer robusten Cybersicherheitsposition braucht Zeit und hängt von vielen Aspekten der IT-Systeme, Mitarbeiter und Prozesse des Unternehmens ab. Geben Sie nicht den Mitarbeitern die Schuld an Sicherheitsfehlern, technologischen Veränderungen und neuen Techniken der Cyberkriminellen, sondern nutzen Sie schlechtes Sicherheitsverhalten als Vorwand, um Ihr Verhalten zu ändern und aus Fehlern zu lernen.

Fortgeschrittene Security Awareness Trainingsprogramme bieten interaktive Trainingseinheiten während einer Übung, um Mitarbeitern zu zeigen, wo sie Fehler gemacht haben und wie sie sicherstellen können, dass sie dasselbe Verhalten nicht wiederholen.

Belohnen Sie außerdem Erfolge, anstatt sie zu tadeln. Bieten Sie Mitarbeitern, die bei Schulungen gut abschneiden, kleine Belohnungen und schaffen Sie Anreize für gutes Verhalten.

Generieren Sie umsetzbare Daten

Metriken bieten einen wichtigen Einblick in die Effektivität eines Security Awareness Training-Moduls. Einige fortschrittliche Systeme bieten einen sehr detaillierten Überblick über die Effektivität eines bestimmten Moduls, sowohl im Zeitverlauf als auch auf individueller Basis.

Phishing-Simulationsmodule generieren beispielsweise Daten auf Mitarbeiterbasis und zeigen die Lernkurve der Mitarbeiter, während sie die Fähigkeiten zur Erkennung von E-Mail-Bedrohungen entwickeln. Nutzen Sie die Metrikdaten zum Sicherheitsbewusstsein, um Ihre Schulungsmodule zu verfeinern und schwer zu ändernde Verhaltensweisen zu identifizieren, denen Sie mehr Aufmerksamkeit schenken sollten. Nutzen Sie die Metrikdaten, um maßgeschneiderte simulierte Phishing-Kampagnen zu entwerfen, und sprechen Sie damit bestimmte Rollen und Gruppen an. Im Laufe der Zeit wird Ihnen das Feedback, das Ihnen die detaillierten Trainingsmetriken liefern, die Entwicklung effektiverer Trainingseinheiten ermöglichen.

Integrieren Sie Sicherheitstraining in Ihre Organisation

Sicherheitsnormen sollten auf organisatorischer Ebene festgelegt werden, um die Menschen in eine Sicherheitskultur einzubinden, in der Sicherheit an erster Stelle steht. Bei einer erfolgreichen Sicherheitsschulung geht es um die Reifung von Methoden und Ansätzen, nicht nur um die Einhaltung von Vorschriften.

Die gesetzlichen Anforderungen für Sicherheitsschulungen sollten jedoch als Grundlage dienen, um die Wirksamkeit Ihrer Schulungen zu messen. Durch die Verzahnung von Unternehmenszielen und Sicherheitsschulungen verlagert dieser Ansatz die Last der Sicherheit von einer individuellen zu einer kollektiven Anstrengung: Erstellen Sie ein Sicherheitsschulungsprogramm, das den Sicherheitsbedürfnissen Ihres Unternehmens entspricht und alle Mitarbeiter von der Vorstandsebene an in die Schulungen einbezieht. Stellen Sie sicher, dass jede Abteilung über maßgeschneiderte Schulungsprogramme verfügt, die reale Bedrohungen widerspiegeln. Zum Beispiel zielen Betrügereien wie Business Email Compromise (BEC) auf Abteilungen wie das Büro des CEO und die Kreditorenbuchhaltung ab.

Die Chancen stehen gut, dass das Jahr 2023 für Unternehmen, die mit Sicherheitsbedrohungen zu kämpfen haben, genauso herausfordernd sein wird wie die vergangenen Jahre. Kein Unternehmen, egal welcher Größe oder Branche, kann sich auf seinen Lorbeeren ausruhen und hoffen, dass es nicht zur Zielscheibe wird.

Unsere Mitarbeiter sind jedoch unsere Stärke. Wenn Sie diese fünf Verbesserungsstrategien auf Ihr Schulungsprogramm für das Sicherheitsbewusstsein im Jahr 2023 anwenden, können Sie dazu beitragen, eine robuste Cybersicherheitslage zu entwickeln und Ihre Mitarbeiter gegen Cyberkriminelle und Betrüger zu stärken.