24. Oktober 2023 • Cyber security
95 % aller Hacks und Datenlecks werden durch menschliche Fehler verursacht, wie zum Beispiel:
- Klicken auf einen Phishing-Link
- Keine regelmäßigen Software-Updates
- Arbeiten im öffentlichen WLAN ohne VPN
- Verwendung schwacher Passwörter
Die meisten dieser menschlichen Fehler können verhindert werden, indem der Zustand der Cyber Security Awareness in Ihrer Organisation verbessert wird.
In diesem Artikel lernen Sie die Grundlagen der Security Awareness und wie Ihr Unternehmen heute damit beginnen kann, diese zu verbessern.
Was ist Security Awareness: eine Definition
Security Awareness bezieht sich auf das Verständnis von Cyber-Bedrohungen und Best Practices zum Schutz sensibler Informationen und Systeme. Es beinhaltet das Erkennen potenzieller Risiken, das Einhalten sicherer Verhaltensweisen und das Informiertbleiben über sich entwickelnde Cyber-Bedrohungen, um sich vor Datenlecks, Malware und anderen Online-Sicherheitsherausforderungen zu schützen.
Warum Security Awareness wichtiger ist denn je
Es gibt viele Missverständnisse über Security Awareness. Hier sind einige, die wir oft hören:
→ „Sicherheit ist die Verantwortung der IT-Abteilung, nicht meine“
→ „Cyberkriminelle sind zu fortschrittlich, als dass Security Awareness Training wirksam wäre“
→ „Cyberkriminelle hacken nur große Konzerne, warum sollten sie mich ins Visier nehmen?“
→ „Meine Mitarbeiter brauchen kein Training, sie sind erfahrene Internetnutzer“
Wie in der Einleitung dieses Artikels erwähnt, werden 95 % aller Hacks und Datenlecks durch menschliches Versagen verursacht. Egal wie viel Cyber Security Software Sie einsetzen, sie kann Sie nicht vor menschlichen Fehlern wie dem Klicken auf einen Phishing-Link oder der Verwendung schwacher Passwörter schützen. Das bedeutet, dass jeder einzelne Mitarbeiter in Ihrer Organisation die Verantwortung trägt, Ihre Unternehmensdaten sicher zu halten.
Viele der Taktiken, die Cyberkriminelle anwenden, sind nicht so ausgeklügelt, wie man denkt. Sobald Ihr Team die Grundlagen kennt, sinkt die Wahrscheinlichkeit einer Datenschutzverletzung erheblich. Die meisten Datenlecks werden beispielsweise immer noch durch schwache Passwörter und das Fehlen einer Zwei-Faktor-Authentifizierung verursacht.
Hier ist ein Beispiel, wie ein ethischer Hacker das System einer Organisation hackt. Nicht mit ausgefallenen Tools, sondern mit einfachem Social Engineering:
Wenn Ihre Organisation sich dieser Bedrohungen bewusst ist und die richtigen Verfahren implementiert hat, sind Beispiele für solche Hacks wesentlich unwahrscheinlicher.
Die meisten großen Unternehmen haben umfassend in Cyber Security investiert. Deshalb erweitern Cyberkriminelle ihren Fokus und zielen auf Unternehmen jeder Größe ab. Im Jahr 2022 waren Cyberangriffe auf kleine Unternehmen häufiger als Angriffe auf größere Unternehmen. Im selben Jahr gab es einen globalen Anstieg der Cyberangriffe um 22%.
All dies bedeutet, dass es für Unternehmen jeder Größe unerlässlich ist, in Security Awareness für ihre gesamte Organisation zu investieren.
Wie man Security Awareness innerhalb einer Organisation entwickelt
Um ein robustes Cybersecurity Awareness-Programm in Ihrer Organisation zu entwickeln, müssen Sie die folgenden Schritte unternehmen.
Sichern Sie sich die Zustimmung der Führungsebene
Bevor Sie Security Awareness Kampagnen starten, stellen Sie sicher, dass Sie die Unterstützung Ihres Führungsteams erhalten. Wenn die Führungsebene nicht engagiert ist, wird all Ihre harte Arbeit am Ende umsonst sein. Wenn Ihr CEO sich nicht dafür interessiert, warum sollte sich der Rest des Unternehmens engagiert fühlen?
Vermitteln Sie die Bedeutung von Cybersecurity Awareness (oder teilen Sie einfach diesen Artikel 😉 ) und etablieren Sie eine regelmäßige Kadenz, in der Sie sie über laufende Sicherheitsprojekte informieren.
Sobald Ihr Führungsteam wirklich von der Notwendigkeit der Cyber Security Awareness überzeugt ist, können Sie sich auf die sogenannten Abteilungs-Champions konzentrieren. Dies sind oft Teamleiter, die näher an den Mitarbeitern sind und Sie bei der Umsetzung von Sicherheitsinitiativen unterstützen können. Sie sind die Personen, über die Sie Bedenken und neue Sicherheitsmaßnahmen kommunizieren.
Wenn Sie in einer größeren Organisation arbeiten und viele Stakeholder überzeugen müssen, kann es hilfreich sein, diese in einer Stakeholder-Management-Vorlage zu verfolgen.

Wenn Sie Ihre Pläne dem Führungsteam präsentieren, ist es wichtig klarzustellen, dass es sich um ein langfristiges Programm handelt. Ist dies nicht klar, könnten einige denken, Sie würden eine einmalige Veranstaltung organisieren. Doch Ihr Awareness-Programm muss ein Marathon und kein Sprint sein, um effektiv zu wirken.
Legen Sie klare Richtlinien und Verfahren fest.
Sicherheitsrichtlinien und -verfahren sind die Grundlage der Verteidigung jeder Organisation gegen Cyberangriffe. Diese Richtlinien dienen als Regelwerk, das nicht nur definiert, wie Daten, Systeme und Netzwerke zu schützen sind, sondern auch vorschreibt, wie sich Mitarbeiter in der digitalen Welt verhalten sollen.
Zwei Beispiele für wesentliche Sicherheitsrichtlinien sind:
- Richtlinie zur Datenzugriffskontrolle: Diese Richtlinie legt fest, wer unter welchen Umständen auf sensible Daten zugreifen darf. Sie definiert Benutzerrollen und -berechtigungen, Authentifizierungsmethoden für den Zugriff und Einschränkungen bei der Datenfreigabe. Dies verhindert, dass unbefugte Personen vertrauliche Informationen einsehen und ändern.
- Passwortrichtlinie: Eine robuste Passwortrichtlinie legt Richtlinien für die Erstellung und Verwaltung von Passwörtern fest. Sie definiert Kriterien für Passwortkomplexität, Ablauf und Schutz. Dies reduziert das Risiko eines unbefugten Kontozugriffs.
Sie benötigen auch klare Verfahrensanweisungen, wie Mitarbeiter bei einer Cyber-Bedrohung oder einem Vorfall vorgehen sollen.
Richten Sie regelmäßige Mitarbeiterschulungen ein.
Sobald Sie die Zustimmung des Führungsteams erhalten haben, ist es an der Zeit, Awareness Training für alle Mitarbeiter innerhalb der Organisation einzurichten. In diesen Trainings sollten die Mitarbeiter über alle relevanten Cyber-Bedrohungen lernen, die wir später in diesem Artikel behandeln werden.
Bei der Suche nach einer Trainingslösung sollten Sie die folgenden Aspekte berücksichtigen:
- Wählen Sie eine Trainingslösung, die auf Gamification basiert. Ein Security Awareness Game wie Guardey ermöglicht es Nutzern, aktiv zu lernen.
- Bieten Sie wiederkehrende Schulungen an. Unternehmen bieten oft jährliche Schulungen an, die einen schnellen Wissensschub vermitteln, aber keine dauerhafte Verhaltensänderung bewirken. Suchen Sie nach Trainingslösungen, die wöchentliche, mundgerechte Schulungen anbieten.
- Stellen Sie sicher, dass Sie Schulungen zu allen aktuellen Cyber-Bedrohungen anbieten. Wenn eine Schulungslösung beispielsweise keine Inhalte zu den Bedrohungen durch KI bietet, ist sie nicht die richtige Lösung. Cyberkriminelle agieren schnell, was bedeutet, dass sich Ihre Schulungslösung ebenso schnell weiterentwickeln sollte, um Ihre Mitarbeitenden auf dem Laufenden zu halten.
Gestalten Sie Ihr Programm mit einem positiven Ton.
Oft ist die Kommunikation rund um Cyber Security negativ behaftet. Wenn Mitarbeiter einen Phishing-Test nicht bestehen oder keine hohen Punktzahlen im Awareness Training erreichen, können sie das Gefühl haben, dafür beurteilt oder sogar bestraft zu werden. Deshalb ist es entscheidend, Ihr Programm als etwas zu positionieren, das sowohl Ihrem Unternehmen als auch dem Mitarbeiter zugutekommt.
Beachten Sie dabei auch, dass sich die Mitarbeiter nicht in gleichem Maße für Ihr Sicherheitsprogramm interessieren werden wie Sie. Die Kommunikation des Warums kann daher einen wirklich großen Unterschied machen. Zeichnen Sie ein anschauliches Bild davon, welche Auswirkungen es haben kann, wenn kein Security Awareness Programm existiert.
Welche Cyber threats sollten im Training behandelt werden?
Security Awareness umfasst mehr als nur Phishing und Passwortmanagement. Beim Training Ihres Personals müssen Sie sicherstellen, dass Sie jede Cyber-Bedrohung abdecken, der Sie begegnen könnten. Hier ist eine bei Weitem unvollständige Liste, die Ihnen eine Vorstellung von Bedrohungen gibt, die im Training enthalten sein sollten.
- Phishing-Angriffe: Bringen Sie Ihrem Team bei, Phishing-E-Mails und verdächtige Links zu erkennen, und betonen Sie die Wichtigkeit, sensible Informationen nicht mit unbekannten Quellen zu teilen.
- Ransomware: Geben Sie Anleitungen zur Identifizierung potenzieller Ransomware-Bedrohungen und betonen Sie die Wichtigkeit regelmäßiger Datensicherungen.
- Social Engineering: Schulen Sie Mitarbeiter, vorsichtig zu sein, wenn sie sensible Informationen persönlich, telefonisch oder online teilen, und die Identität von Personen zu überprüfen, die vertrauliche Daten anfordern.
- Passwortsicherheit: Fördern Sie sichere Passwortpraktiken, einschließlich der Verwendung komplexer und einzigartiger Passwörter, der Aktivierung der Zwei-Faktor-Authentifizierung und der Vermeidung der Passwortweitergabe.
- Malware: Schulen Sie Mitarbeiter über die Risiken des Herunterladens von Software oder Dateien aus nicht vertrauenswürdigen Quellen und die Bedeutung der Verwendung seriöser Antivirensoftware.
- Insider-Bedrohungen: Schaffen Sie Bewusstsein für das Potenzial böswilliger Handlungen durch Mitarbeiter oder Partner und betonen Sie die Notwendigkeit einer Kultur der Wachsamkeit und des Vertrauens.
- BYOD (Bring Your Own Device)-Risiken: Stellen Sie Richtlinien für die sichere Nutzung privater Geräte am Arbeitsplatz und zur Erkennung der damit verbundenen potenziellen Sicherheitsbedrohungen bereit.
- Datenhandhabung und -schutz: Weisen Sie Mitarbeiter an, wie sensible Daten ordnungsgemäß zu handhaben, zu speichern und zu übertragen sind, um Datenlecks und unbefugten Zugriff zu verhindern.
- Wi-Fi-Sicherheit: Schulen Sie Mitarbeitende über die Gefahren der Nutzung ungesicherter öffentlicher Wi-Fi-Netzwerke und die Wichtigkeit der Nutzung eines Virtual Private Network (VPN) bei Bedarf.
- E-Mail-Sicherheit: Betonen Sie bewährte E-Mail-Praktiken, wie die Überprüfung von E-Mail-Absendern, das Nicht-Öffnen von Anhängen oder Klicken auf Links in verdächtigen E-Mails sowie das Melden von Phishing-Versuchen.
Und die Liste ist lang. Wenn eine Security Awareness Training-Lösung einige der oben genannten Themen nicht abdeckt, sollten Sie diese als unvollständig und ungeeignet betrachten.
Das Fazit
Entgegen der landläufigen Meinung können Sie Hacker tatsächlich überlisten. Organisationen mit ausgeprägtem Security Awareness sind einfach weniger anfällig für Cyberangriffe. Die meisten Hacks und Datenlecks entstehen immer noch durch einfache menschliche Fehler: das Klicken auf Phishing-Links, die Arbeit in einem ungesicherten Netzwerk oder die Nichtverwendung der Zwei-Faktor-Authentifizierung.
Um Cybersecurity Awareness in Ihrer Organisation zu etablieren, sollten Sie in Betracht ziehen, regelmäßiges Security Awareness Training anzubieten. Dies ermöglicht Ihren Mitarbeitern, die größten Cyber-Risiken kennenzulernen und entsprechend zu handeln, wenn sie damit konfrontiert werden.
Mit Guardeys Security Awareness Game erhält Ihr Team wöchentlich eine 3-minütige Challenge zu einem spezifischen Sicherheitsthema. Das Game wurde in Zusammenarbeit mit ethischen Hackern und Pädagogen entwickelt, um eine nachhaltige Verhaltensänderung zu bewirken. Sie können jetzt eine 14-tägige kostenlose Testphase starten.