Warum Regierungen Sicherheitsschulungen brauchen
Veröffentlicht am: 28 Okt. 2021
Zuletzt geändert am: 30 Sep. 2025
Es gibt eine Reihe von Gründen, warum Regierungen Sicherheitsschulungen benötigen, um das Risiko erfolgreicher Angriffe zu verringern, sensible Informationen zu schützen und das Vertrauen der Öffentlichkeit in staatliche Einrichtungen zu erhalten. Regierungen und öffentliche Einrichtungen sind im Visier von Cyberkriminellen. Untersuchungen von Checkpoint bestätigen diese Behauptung. Eine Umfrage des Unternehmens zeigt, dass der Regierungs- und Militärsektor in Großbritannien und Irland Mitte 2021 durchschnittlich 352 Cyberangriffe pro Woche zu verzeichnen hatte.
In Großbritannien insgesamt ist die Zahl der Cyberangriffe im Jahr 2020 um 20 % gestiegen, wobei Angriffsarten wie Ransomware in den letzten 3 Monaten des Jahres 2020 um satte 80 % zugenommen haben. Dieser Tsunami von Cyberangriffen folgt einem typischen Muster der Manipulation des menschlichen Faktors, in der Regel eines Mitarbeiters oder Lieferanten.
Um den Ansturm der Cyber-Bedrohungen durch Phishing, versehentliche Datenpreisgabe und Social Engineering zu mindern, müssen Behörden auf Sicherheitsschulungen setzen.
Wie es zu Datenverlusten und Cyberangriffen in Regierungen kommt
Die Hacker profitieren von den Erfolgen früherer Angriffe auf Regierungseinrichtungen.
Der vielleicht berüchtigtste Angriff war der Ransomware-Angriff WannaCry, der auf der ganzen Welt zu spüren war und den britischen NHS besonders hart getroffen hat. Wie alle Ransomware-Angriffe war auch WannaCry verheerend, schloss Krankenhäuser für neue Patienten und übte enormen Druck auf den ohnehin schon überlasteten NHS aus. Die Regierung ist ein Ziel für Cyberkriminelle, weil sie sich als erfolgreiche Option erwiesen hat – das Äquivalent der Cyberkriminalität zu den niedrig hängenden Früchten.
Angriffe wie Ransomware beginnen oft damit, dass ein Mitarbeiter dazu verleitet wird, auf einen bösartigen Link in einer E-Mail zu klicken oder einen infizierten Anhang herunterzuladen.
Eine von der Denkfabrik Parliament Street durchgeführte Anfrage zur Informationsfreiheit (Freedom of Information – FoI) ergab, dass das Finanzministerium Ihrer Majestät in den drei Jahren bis September 2021 fast 5 Millionen Phishing-, Malware- und Spam-E-Mails blockieren konnte. Ein weiterer Bericht von Parliament Street ergab, dass das Unterhaus 126 Millionen bösartige E-Mail-Versuche blockiert hat.
Aber es sind nicht nur Cyberangriffe, die den Sicherheits- und Compliance-Beauftragten der Regierung Sorgen bereiten sollten.
Ein Bericht des Verteidigungsministeriums (MoD), der von Parliament Street analysiert wurde, zeigt einen Anstieg der Datenverluste um 18%. Die meisten dieser Vorfälle wurden durch die unbefugte Weitergabe von Daten verursacht, der Rest war auf den Verlust elektronischer Ausrüstung, Geräte oder Dokumente innerhalb von Regierungsgebäuden oder die unsichere Entsorgung von Papierdokumenten zurückzuführen.
Cyberkriminelle spielen ein langes Spiel und verbessern ständig ihre Ausweichmethoden. Eine einzige bösartige E-Mail, die durch das Netz schlüpft, kann zu einem weiteren Vorfall vom Ausmaß von WannaCry werden. Ein einziger verlorener Laptop in einem Zug kann in den Medien landen und vom Information Commissioners Office (ICO) als Verstoß gegen die Vorschriften behandelt werden.
Der perfekte Cyber-Sturm, bestehend aus einer Mischung aus Cyberkriminalität und versehentlichen Insider-Ereignissen, zieht wie eine dunkle Wolke über den britischen Regierungsbehörden auf.
Wie Schulungen zum Thema Cybersicherheit einer Regierungsbehörde helfen können, cybersicher zu bleiben
Die britische Aufsichtsbehörde ICO hat erklärt, dass 90 % der Datenschutzverletzungen durch menschliches Versagen verursacht werden: Die Rolle, die der menschliche Faktor bei Datenverlusten und Cyberangriffen spielt, geht aus den Untersuchungen von Parliament Street klar hervor. Der menschliche Faktor bei der Sicherheit bietet den Behörden jedoch auch die Möglichkeit, das Risiko zu verringern.
Die Fähigkeit, Benutzer über Cybersicherheitsprobleme und Datenrisiken aufzuklären, ist ein wichtiger Bestandteil einer umfassenden Sicherheitsrichtlinie und -strategie. Security Awareness Training bietet ein formelles Programm zur Vermittlung dieser Kenntnisse. Die fünf Grundlagen eines effektiven Security Awareness Trainings sind:
Datenverstöße verhindern
Datenschutzverletzungen sind in der Regel mit einer Phishing-Kampagne verbunden. Ein Angestellter oder eine andere beteiligte Person, wie z.B. ein Auftragnehmer oder Lieferant, wird Opfer einer Phishing-Nachricht und das Ergebnis kann eine Infektion mit Ransomware (oder anderer Malware) oder der Diebstahl von Zugangsdaten sein.
In der Sicherheitsschulung werden Mitarbeiter und andere Personen darin geschult, die verräterischen Anzeichen von Phishing-Nachrichten und anderen Social Engineering-Betrügereien zu erkennen. Phishing-Simulationen können bei dieser Schulung helfen und Messwerte erfassen, die zeigen, wie effektiv die Schulung ist. In einer IT-Abteilung mit knappem Budget können Sicherheitstrainingsprogramme sehr kosteneffektiv sein.
Verhindern Sie eine versehentliche Datenexposition
Die versehentliche Preisgabe von Daten umfasst eine ganze Reihe von Ereignissen, von der falschen Zustellung von E-Mails bis hin zum einfachen Ablegen sensibler Dokumente auf einem Drucker. Das Sicherheitstraining schult die Mitarbeiter in den hygienischen und technologischen Aspekten des Online-Schutzes. Mitarbeiter und andere Personen werden in bewährten Praktiken geschult, z. B. in der Einhaltung von Richtlinien für einen sauberen Schreibtisch und in der Sicherstellung, dass sie keine Passwörter weitergeben.
Kontinuierliche Sicherheit
Cyberkriminelle suchen immer nach Möglichkeiten, herkömmliche Sicherheitsmaßnahmen zu umgehen. Dazu gehört auch, dass sie die Taktik ändern, um Mitarbeiter dazu zu bringen, bösartige Aktivitäten in ihrem Namen durchzuführen. Security Awareness Training ist keine einmalige Veranstaltung, sondern funktioniert nach dem Prinzip der kontinuierlichen Weiterbildung, um sicherzustellen, dass eine Regierungsbehörde (und ihre Mitarbeiter) über die Veränderungen in der Landschaft der Cyber-Sicherheitsbedrohungen auf dem Laufenden bleibt.
Sicherheit für alle
Jeder Angestellte, Berater und Lieferant ist ein potenzielles Ziel für Cyberkriminelle, das sie ausnutzen können. Jeder Mitarbeiter und Lieferant ist auch ein menschlicher Faktor bei der versehentlichen Offenlegung von Daten. Daher sind Schulungsprogramme für das Sicherheitsbewusstsein am effektivsten, wenn sie in der gesamten Organisation eingesetzt werden und auch Zulieferer einschließen. Da Regierungsbehörden ausgelagerte Dienstleistungen und Personal einsetzen, ist dieser Aspekt der Sicherheitsschulung wichtig, um sicherzustellen, dass das Sicherheitsdenken universell ist.
Die menschliche Firewall und die Verstärkung der technischen Maßnahmen
Das Konzept einer menschlichen Firewall ist eine Idee, die auf der Schulung durch ein Sicherheitsbewusstseinstrainingsprogramm aufbaut. Wenn es gut gemacht ist, kann die Sicherheitsschulung jeden in einer Organisation befähigen und gleichzeitig sicherstellen, dass die Gruppe als Ganzes von dieser Schulung profitiert.
Einhaltung gesetzlicher Vorschriften, Datenschutzstandards und Behörden
Ein weiteres Ergebnis eines effektiven Programms zur Förderung des Sicherheitsbewusstseins ist die Erfüllung der gesetzlichen Anforderungen an die Informationssicherheit. Die Regierung sollte dem Rest der Branche mit gutem Beispiel vorangehen, indem sie sicherstellt, dass sie die verschiedenen Datenschutzvorschriften in Großbritannien sowie die Vorschriften, die sich über die Grenzen Großbritanniens hinaus auswirken können, einhält. Viele Datenschutzstandards und -vorschriften, darunter ISO27001 und DPA2018/UK GDPR, schreiben nun vor, dass eine Organisation ihre Mitarbeiter im Hinblick auf die Sicherheit schulen muss, oder ermutigen sie ausdrücklich dazu.
Während herkömmliche Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung und Verschlüsselung dazu beitragen können, Datenschutzverletzungen zu verhindern, gibt es nichts Besseres, als die Mitarbeiter für die Risiken zu sensibilisieren, die einem Unternehmen durch Phishing und andere Social-Engineering-Angriffe drohen.
Regierungsbehörden sind genauso wie andere Branchen durch Datenverluste und Cyberangriffe gefährdet. Indem sie ihren Mitarbeitern wichtige Sicherheitsschulungen anbieten, können Regierungsbehörden ihr Risiko verringern und ein Beispiel und einen Präzedenzfall für andere Branchen schaffen.
