Das Problem mit dem Cyber Security Awareness Month
Veröffentlicht am: 25 Nov. 2022
Zuletzt geändert am: 24 Juli 2025
Der Monat des Bewusstseins für Cybersicherheit ist in Europa und den USA Teil einer breit angelegten Initiative, die den Menschen helfen soll, sicher im Internet zu bleiben. Die Initiative wurde 2004 in den USA und 2012 in Europa ins Leben gerufen. In diesem Jahr stand die Veranstaltung in den USA unter dem Motto „See Yourself in Cyber„. In Europa wurde das Bewusstsein für Phishing und Ransomware gefördert.
Wir unterstützen natürlich alle Bemühungen, das Bewusstsein für Cybersicherheit zu fördern. Die Menschen sind das schwächste Glied in den Sicherheitsbemühungen eines Unternehmens. Es ist wichtig, ihnen einfache Schritte beizubringen, mit denen sie sich online schützen können. Für einen Angreifer ist es immer noch viel einfacher, jemanden dazu zu bringen, ein Passwort preiszugeben oder auf einen E-Mail-Link zu klicken, als in ein gut geschütztes Netzwerk einzudringen. Ein gutes Bewusstsein für Cybersicherheit kann Unternehmen vor finanziellen Verlusten, Strafen für die Einhaltung von Vorschriften und Rufschädigung schützen.
Doch auch nach jahrelangen Veranstaltungen rund um den jährlichen „Awareness Month“ bleibt die Ausnutzung eines mangelnden Bewusstseins für Cybersicherheit der Hauptangriffsvektor bei Datenschutzverletzungen.
Der Verizon Data Breach Investigation Report 2022 stellte fest, dass 82 % der Sicherheitsverletzungen im vergangenen Jahr auf Social Engineering zurückzuführen waren und die Zahl der Phishing-Klicks weiter steigt. Wenn Angreifer erst einmal Fuß gefasst haben, können sie Kommando- und Kontrollkanäle einrichten, sich seitlich bewegen, um Zieldaten zu identifizieren, Daten für Ransomware-Forderungen zu verschlüsseln oder sensible Informationen zu stehlen.
Monat des Bewusstseins für Cybersicherheit?
Ja, wir unterstützen den Cyber Security Awareness Month. Er bringt die nötige Aufmerksamkeit für ein Problem, an dessen Lösung wir seit Jahren gearbeitet haben. Er kann einige Organisationen dazu veranlassen, erste Schritte zu unternehmen, um das Sicherheitsbewusstsein ihrer Mitarbeiter zu verbessern oder ihre bestehenden Programme zu verstärken. Wir lehnen es einfach ab, das Bewusstsein für Cybersicherheit als ein jährliches Ereignis zu behandeln.
Lernen ist kein einmaliges Ereignis. Man lernt nicht eine neue Sprache oder ein Musikinstrument, indem man sich einmal im Jahr auf diese Aufgabe konzentriert. Das Gleiche gilt für das Erkennen und Vermeiden von Cybersicherheitsbedrohungen. Um dies zu lernen, braucht man Zeit und Wiederholungen.
Wenn es sich bei den Schulungen um Veranstaltungen handelt, die einmal oder zweimal im Jahr abgehalten werden, um die Compliance-Anforderungen zu erfüllen, behalten die Studenten ihr Wissen nicht. Die berühmte Ebbinghaus-Vergessenskurve zeigt, dass Studenten allein in der ersten Woche über 75% einer Lektion vergessen. Am Ende eines Monats haben die Studenten nur noch 21% der Lektion behalten.
Das Bewusstsein der Mitarbeiter schärfen
Lehren ist ein Prozess, kein Ereignis. Dazu gehört auch die Vermittlung von Wissen über Cybersicherheit. Studien zeigen, dass der Abwärtstrend der Vergessenskurve durch regelmäßige Wiederholung der Lektionen verringert werden kann. Diese Wiederholungen müssen nicht alle Informationen aus der Lektion enthalten. Ziel ist es, dass der Lernende über den Stoff nachdenkt und ihn in der Praxis anwendet.
Aufbau einer Kultur des Cyber-Bewusstseins
Der „Monat“ des Cyber-Sicherheitsbewusstseins kann wie eine Spielerei erscheinen. Ein effektives Programm zur Sensibilisierung für Cybersicherheit muss 12 Monate im Jahr mit einer Vielzahl von Tools und Techniken durchgeführt werden.
eLearning-Lektionen sind sicherlich Teil eines jeden erfolgreichen Programms, aber die Teams sollten die Lektionen regelmäßig durch Erinnerungen, Phishing-Simulationen, Mikro-Lektionen, Bildschirmschoner und Poster verstärken. Die Lektionen sollten auf die verschiedenen Bedrohungen ausgerichtet sein, denen ein Unternehmen ausgesetzt ist.
Schulungen für Finanzteams sollten auf die spezifischen Bedrohungen innerhalb der Abteilung zugeschnitten sein. IT-Organisationen müssen auf den Diebstahl privilegierter Zugangsdaten vorbereitet sein. Jeder muss laufend für Phishing- und Ransomware-Angriffe geschult werden.
Ein Programm zur Sensibilisierung für Cybersicherheit ist ein wichtiger Teil einer allgemeinen Risikobewertung. Die Verantwortlichen für die Awareness-Programme müssen in der Lage sein, den Fortschritt anhand von Berichten zu verfolgen und Korrekturmaßnahmen einzuleiten, wenn im Unternehmen noch Risiken bestehen. Wenn Einzelpersonen oder Teams bei der Schulung schlecht abschneiden, sollte automatisch eine Nachschulung geplant werden.
Am wichtigsten ist, dass Unternehmen, die sich für das Bewusstsein für Cybersicherheit und Online-Sicherheit einsetzen, die Notwendigkeit der Unterstützung durch die Geschäftsleitung erkennen. Regelmäßige Mitteilungen direkt von der Führungsebene über die Notwendigkeit der Cybersicherheitshygiene – und warum sie für das Unternehmen eine Priorität ist – helfen beim Aufbau einer dauerhaften Sicherheitskultur.
