Wie man den Lernerfolg von Awareness-Trainings maximiert
Die überragende Mehrheit aller Cyberangriffe beginnt mit einer Person, die einen Fehler macht. Awareness-Trainings sollen dieser "Schwachstelle Mensch" entgegenwirken. Was dabei essenziell ist, sagt Franco Cerminara, Chief Consulting Officer bei Infoguard.
Weshalb sind Security-Awareness-Trainings wichtig? Dass man nicht auf irgendwelche komischen Links klicken sollte, weiss man doch unterdessen.
Franco Cerminara: Das initiale Ziel von Cyberattacken ist immer häufiger der "Mensch". Wieso mühsam Sicherheitssysteme knacken, wenn ein gezieltes Phishing-E-Mail ausreicht? Viele Mitarbeitende erkennen solche E-Mails jedoch nicht. Genau hier setzt Security Awareness an, um die Mitarbeitenden zu schulen und zu sensibilisieren. Ziel ist es, Risiken zu identifizieren, Angriffe zu erkennen und richtig zu reagieren.
Was ist der Schlüssel zum Erfolg bei Awareness-Trainings?
Für einen maximalen Lernerfolg sollten Beispiele verwendet werden, mit denen Mitarbeitende im Alltag konfrontiert sind. Die Risiken können je nach Tätigkeit sehr verschieden sein. Darauf gilt es einzugehen. Zudem muss den Mitarbeitenden klar werden, dass sie einen bedeutenden Beitrag zur Sicherheit leisten.
Wie sorgt man dafür, dass das Gelernte nicht zum Vergessenen wird?
Eine nachhaltige Verhaltensänderung bedingt mehrere Faktoren. Dazu gehört, die Führungskräfte an Bord zu holen, denn sie agieren als Botschafter und Vorbilder. Dann muss die Kommunikation stimmen. Informationen müssen spannend, anschaulich und praxisnah sein; idealerweise, indem unternehmensinterne Beispiele verwendet und Bezug zum Privatleben geschaffen wird. Hier sollte bedacht werden, dass es unterschiedliche Lerntypen gibt, weshalb die Nutzung mehrerer Kanäle Sinn macht. Weiter ist eine positive Fehlerkultur wichtig, um über Fragen, Probleme oder auch Fehltritte sprechen zu können. Und zuletzt muss klar sein, dass Security Awareness keine einmalige Sache ist, sondern kontinuierlich trainiert werden muss.
Was müssen Reseller selbst können/wissen, um derartige Trainings erfolgreich anzubieten?
Security-Awareness-Trainings bestehen nicht nur aus einem einmaligen Workshop. Zentral ist ein mehrstufiges Konzept, das technisch sowie kommunikativ auf die Mitarbeitenden zugeschnitten ist.
Inwiefern führt das Angebot von Awareness-Trainings zu weiterem Business für Reseller?
Ausser dem Faktor Mensch gehören zu einem effektiven Sicherheitsdispositiv Prozesse und Technologien, die bei uns ebenso zum Business gehören. Dazu setzen wir auf einen 360-Grad-Ansatz – sprich, Consulting inklusive Penetration Testing, Security-Lösungen sowie Cyber-Defence-Services, um unsere Kunden 24x7 zu überwachen, Angriffe abzuwehren und im Notfall unterstützen zu können.
Die Antworten der weiteren Teilnehmenden des Podiums:
Markus Graf, Avantec: "Das Training muss auf den Kunden zugeschnitten werden."
Alex Faes, RedIT: "Phishing-Mails sind längst nicht der einzige Angriffsvektor, der behandelt wird."
Isil Günalp, Digicomp: "Auch der Unterhaltungsfaktor ist zentral."
Cornelia Lehle, G Data: "Awareness-Trainings sind kein Sprint, sondern ein Langstreckenlauf."
Christian Meier, Ispin: "Das Gelernte sollte auch einen privaten Nutzen bieten."
Alexander Reusch, Axians: "Cybersecurity Awareness ist nur ein Puzzlestück im gesamten Bild."
Palo Stacho, Lucy Security: "Das Schulungsbedürfnis in Wirtschaft und Bevölkerung ist enorm!"