Warum Security-Awareness-Trainings so wichtig sind

Weshalb sind Security-Awareness-Trainings wichtig? Dass man nicht auf irgendwelche komischen Links klicken sollte, weiss man doch unterdessen.

Markus Graf: Security-Awareness-Trainings sind eine der wenigen Möglichkeiten, um das wichtigste Puzzleteil in der IT-Security mit ins Boot zu holen: die Mitarbeiterinnen und Mitarbeiter. Sie sind das Ziel unzähliger Angriffsversuche und gleichzeitig wichtige Sensoren in unserem Netzwerk. Die Angriffe beschränken sich längst nicht mehr auf Mails in schlechtem Deutsch und auffällige Links. Das Erkennen von Angriffen durch die Mitarbeitenden bedingt Wachsamkeit und Aufmerksamkeit. Mit Awareness-Trainings wird dies gezielt geschult und gefördert.

Was ist der Schlüssel zum Erfolg bei Awareness-Trainings?

Das Training muss auf den Kunden und seine Mitarbeitenden zugeschnitten werden. Nach gewissen Basisinformationen wird mittels Fragen und spielerischen Elementen die Security-Maturität jeder Mitarbeiterin und jedes Mitarbeiters bestimmt und darauf werden die Lerninhalte optimiert. Praxisnahe Beispiele aus dem Alltag schaffen die Brücke zwischen Theorie und Arbeitsalltag.

Wie sorgt man dafür, dass das Gelernte nicht zum Vergessenen wird?

Es ist wichtig, auf eine Infrastruktur zugreifen zu können, die unterschiedliche Inhalte und Lernstrategien bietet und dass diese auf die Mitarbeiterbedürfnisse angepasst werden können. Um eine gewisse Routine - eine permanente Awareness - bei den Mitarbeitenden zu schaffen, ist es wichtig, das Thema regelmässig immer wieder präsent zu machen. Die Individualisierung der Inhalte ist dabei ebenso wichtig wie die Individualisierung der Frequenz und der Art der Präsentation. Zu häufige Wiederholung stumpft ab und wird als störend und nervig empfunden, immer nur Fragebögen ausfüllen ebenso.

Was müssen Reseller selbst können/wissen, um derartige Trainings erfolgreich anzubieten?

Lernerfolge sind kontinuierlich zu beobachten und die Schlüsse daraus sind individuell in neue Kampagnen einzuarbeiten. Da ergibt es Sinn, die Umgebung zu kennen. Zudem ist die Absprache zwischen Kunde, Partner und Hersteller wichtig, damit die Erwartungen an die Trainings erfüllt werden können.

Inwiefern führt das Angebot von Awareness-Trainings zu weiterem Business für Reseller?

Das Anbieten von Awareness-Trainings erzeugt für einen Reseller nicht direkt weiteres Business. Ein auf Security sensibilisierter Kunde ist aber eher bereit, sich mit dem Thema IT-Security auseinanderzusetzen und sich konkret zu informieren. Darum ist es elementar, sich mit Kunden über ganzheitliche Security auszutauschen, bei der auch nicht-technische Aspekte eine Rolle spielen. Awareness-Trainings können dabei ein Element der Security-Strategie darstellen.

Die Antworten der weiteren Teilnehmenden des Podiums:

• Franco Cerminara, Infoguard: "Für einen maximalen Lernerfolg sollten Alltagsbeispiele verwendet werden."

• Alex Faes, RedIT: "Phishing-Mails sind längst nicht der einzige Angriffsvektor, der behandelt wird."

• Isil Günalp, Digicomp: "Auch der Unterhaltungsfaktor ist zentral."

• Cornelia Lehle, G Data: "Awareness-Trainings sind kein Sprint, sondern ein Langstreckenlauf."

• Christian Meier, Ispin: "Das Gelernte sollte auch einen privaten Nutzen bieten."

• Alexander Reusch, Axians: "Cybersecurity Awareness ist nur ein Puzzlestück im gesamten Bild."

• Palo Stacho, Lucy Security: "Das Schulungsbedürfnis in Wirtschaft und Bevölkerung ist enorm!"