Im Jahr 2022 hatte die Geschäftswelt weiterhin mit Ransomware, Betrug und Datenschutzverletzungen zu kämpfen. Allerdings wurden nicht nur bekannte Unternehmen angegriffen, sondern auch das Gesundheitswesen, das Bildungswesen, Behörden und kleine Unternehmen wurden Opfer von Cyberangriffen.
In einem Bericht für das Jahr 2022 hat das Office of National Statistics (ONS) einen Anstieg der Betrugsdelikte um 25 % (auf 4,5 Millionen) für das Jahr bis März 2022 im Vergleich zum Jahr bis März 2020 festgestellt. Und im Jahr 2022 war Phishing immer noch die häufigste Bedrohung für britische Unternehmen, denn 83 % der Angriffe basierten auf Phishing.
Doch ein neues Jahr bringt neue Hoffnung und neue Ideen.
Die Schulung des Sicherheitsbewusstseins ist nach wie vor eine der wichtigsten Prioritäten für Unternehmen, die gegen Betrug, Scams und andere Cyber-Bedrohungen vorgehen wollen. Doch wie kann Ihr Unternehmen seine Sicherheitsschulungen im Jahr 2023 verbessern?
Hier sind fünf Ideen, wie Sie Ihr Unternehmen für die Sicherheit im Jahr 2023 fit machen können.
Positiv sein, sicher sein
Cyberkriminelle, insbesondere solche, die Social Engineering und Phishing einsetzen, verlassen sich auf ein schlechtes Sicherheitsverhalten, um ihre Betrügereien zum Erfolg zu führen. Bei einer guten Cybersicherheitsschulung geht es darum, negatives Sicherheitsverhalten durch eine positivere Einstellung zu ersetzen. Die Änderung von Verhaltensmustern erfordert jedoch Arbeit.
Verhalten, wie z. B. der Drang zu klicken, ist ein erlerntes Muster, und die Änderung tief verwurzelter Handlungen erfordert eine konzertierte Aktion, die Strategien wie simulierte Phishing-Kampagnen umfasst. Verbessern Sie die Inhalte Ihrer Sicherheitsschulungen durch Kampagnen, die auf bewährten Strategien basieren, wie z. B. interaktives Lernen, das schlechte Verhaltensgewohnheiten in positive Handlungen umwandelt. Interaktives Lernen und ansprechende Inhalte fördern das Engagement der Mitarbeiter und unterstützen Ihr Unternehmen bei der Entwicklung einer positiven Sicherheitskultur.
Relevant und interessant bleiben
Der Verband der Sicherheitsbranche, ISACA, untersuchte, wie die Schulung zum Thema Sicherheitsbewusstsein verbessert werden kann. An der Untersuchung nahmen über 5000 Organisationen aus der ganzen Welt teil. Die Studie ergab eindeutige Beweise dafür, dass eine wirksame Schulung des Sicherheitsbewusstseins die richtige Art der Vermittlung interessanter und relevanter Inhalte erfordert.
Zu den Erkenntnissen von ISACA gehört, dass die Informationen nach der ersten Sitzung in kleinen Häppchen und in regelmäßigen Abständen vermittelt werden sollten, um das Gelernte zu festigen. Auch die Art der Informationen ist wichtig. Fallstudien aus dem wirklichen Leben trugen dazu bei, das Wissen zu festigen und die Bedeutung eines guten Sicherheitsverhaltens zu verdeutlichen.
Die Forscher stellten fest, dass die Inhalte "sachdienlich sein, einen Bezug zu Theorie und Praxis haben und eine Geschichte erzählen" müssen. Verwenden Sie Schulungsmaterial für das Sicherheitsbewusstsein, z. B. kurze Erklärungsvideos und Phishing-Simulationsübungen, um die Mitarbeiter einzubinden und die Inhalte ansprechend und relevant zu gestalten.
Belohnen Sie den Erfolg und spielen Sie nicht die Schuldigen
Niemand spielt gerne das Spiel der Schuldzuweisungen, und bei der Schulung von Mitarbeitern zum Thema Sicherheitsbewusstsein sollten Schuldzuweisungen vermieden werden. Das Problem bei Schuldzuweisungen ist, dass sie zu einem Vertrauensverlust führen können, der noch schlimmere Missgeschicke zur Folge hat.
Die Entwicklung einer robusten Cybersicherheitsstrategie braucht Zeit und hängt von vielen Aspekten der IT-Systeme, Mitarbeiter und Prozesse des Unternehmens ab. Geben Sie nicht den Mitarbeitern die Schuld an Sicherheitsfehlern, technologischen Veränderungen und veränderten Techniken von Cyberkriminellen, sondern nehmen Sie schlechtes Sicherheitsverhalten als Vorwand, um das Verhalten zu ändern und aus Fehlern zu lernen.
Fortgeschrittene Security Awareness Trainingsprogramme bieten interaktive Trainingseinheiten während einer Übung, um den Mitarbeitern zu zeigen, wo sie Fehler gemacht haben und wie sie sicherstellen können, dass sie das gleiche Verhalten nicht wiederholen.
Belohnen Sie außerdem Erfolge, anstatt sie zu tadeln und zu beschämen. Wenn Mitarbeiter in Schulungen gut abschneiden, bieten Sie ihnen kleine Belohnungen und schaffen Anreize für gutes Verhalten.
Generieren Sie verwertbare Daten
Metriken bieten einen wichtigen Einblick in die Effektivität eines Security Awareness Training-Moduls; einige fortschrittliche Systeme bieten sehr detaillierte Ansichten über die Effektivität eines bestimmten Moduls, sowohl im Zeitverlauf als auch auf individueller Basis.
Phishing-Simulationsmodule beispielsweise generieren Daten auf Mitarbeiterbasis und zeigen die Lernkurve der Mitarbeiter auf, während sie die Fähigkeiten zur Erkennung von E-Mail-Bedrohungen entwickeln. Nutzen Sie die Metrikdaten zum Sicherheitsbewusstsein, um Ihre Schulungsmodule zu verfeinern und schwer zu ändernde Verhaltensweisen zu identifizieren, denen Sie mehr Aufmerksamkeit schenken sollten. Nutzen Sie die Metrikdaten, um maßgeschneiderte simulierte Phishing-Kampagnen zu entwerfen, und sprechen Sie damit bestimmte Rollen und Gruppen an. Im Laufe der Zeit ermöglicht Ihnen das Feedback, das Ihnen die detaillierten Schulungsmetriken liefern, die Entwicklung effektiverer Schulungssitzungen.
Integrieren Sie Sicherheitsschulungen in Ihre Organisation
Die Sicherheitsnormen sollten auf organisatorischer Ebene festgelegt werden, indem der Einzelne in eine Sicherheitskultur eingebunden wird, in der die Sicherheit an erster Stelle steht. Bei einer erfolgreichen Sicherheitsschulung geht es um die Reifung von Methoden und Ansätzen, nicht nur um die Einhaltung von Vorschriften.
Die gesetzlichen Anforderungen an Sicherheitsschulungen sollten jedoch als Grundlage dienen, um die Wirksamkeit Ihrer Schulungen zu messen. Durch die Verzahnung von Unternehmenszielen und Sicherheitsschulungen verlagert sich bei diesem Ansatz die Last der Sicherheit von einer individuellen zu einer kollektiven Anstrengung: Erstellen Sie ein Programm für Sicherheitsschulungen, das den Sicherheitsbedürfnissen Ihres Unternehmens entspricht und alle Mitarbeiter von der Vorstandsebene an in die Schulungen einbezieht. Stellen Sie sicher, dass jede Abteilung über maßgeschneiderte Schulungsprogramme verfügt, die reale Bedrohungen widerspiegeln. So zielen beispielsweise Betrügereien wie Business Email Compromise (BEC) auf Abteilungen wie das Büro des Geschäftsführers und die Kreditorenbuchhaltung ab.
Die Chancen stehen gut, dass das Jahr 2023 für Unternehmen, die sich mit Sicherheitsbedrohungen auseinandersetzen müssen, genauso herausfordernd sein wird wie die vergangenen Jahre. Kein Unternehmen, egal welcher Größe oder Branche, kann sich auf seinen Lorbeeren ausruhen und hoffen, dass es nicht zur Zielscheibe wird.
Unsere Mitarbeiter sind jedoch unsere Stärke. Durch die Anwendung dieser fünf Verbesserungsstrategien auf Ihr Schulungsprogramm für das Sicherheitsbewusstsein im Jahr 2023 können Sie dazu beitragen, eine robuste Cybersicherheitslage zu entwickeln und Ihre Mitarbeiter gegen Cyberkriminelle und Betrüger zu stärken.
