Security Awareness Training

Wie Sie erfolgreich Mitarbeiter, Führungskräfte und IT-Profis zu Security Awareness schulen.

90% der Fehler sitzen vor dem Bildschirm

Die meisten Security-Schwachstellen werden durch Menschen verursacht. Gar nicht in böser Absicht, sondern meist aus Unwissenheit. Deshalb sind Security Awareness Trainings ein elementarer Bestandteil einer erfolgreichen Cyber-Security-Strategie.

Doch Security Awareness Training ist nicht gleich Security Awareness Training. Es gibt sehr unterschiedliche Zielgruppen mit unterschiedlichen Bedürfnissen, Botschaften und Schulungsmaßnahmen. In Summe entsteht eine komplette Cyber-Security-Qualifizierungsmatrix.

Wir stellen Ihnen hier die wichtigsten Security Awareness Trainings in dieser Qualifizierungsmatrix vor.

Zielgruppen für Security Awareness Training

Typische Inhalte
  • Phishing & Ransomware erkennen und abwehren
  • Social Engineering erkennen und abwehren
  • Verständnis zu Viren & Trojanern
  • Sicherer Umgang mit Passwörtern
  • Sicherer Umgang mit mobilen Geräte
  • Freigegebene und verbotene Cloud-Dienste
  • Umgang mit sensiblen Informationen (Informationsklassifizierung)
  • Umgang mit Besuchern
  • Sichere Arbeitsplatz (Clean Desk, Clear Screen, etc.)
  • Sicher Arbeiten im Home-Office
  • Meldewege bei Vorfällen
Auswirkungen auf den Arbeitsalltag

Für Anwender sind die unmittelbaren Auswirkungen auf den Arbeitsalltag nicht dramatisch. Den Rechner sperren, verdächtige E-Mails per Reporting-Button melden oder Unterlagen in eine Datentonne anstelle des Papierkorbs zu werfen... all das sind nur wenige Sekunden Mehraufwand.

Deshalb können Security Awareness Trainings für Anwender oftmals tool-gestützt über E-Learning oder Phishing-Simulationen erfolgen.

Security Awareness Trainings für Anwender werden in der Regel über mehrere Jahre konzipiert und deshalb in eine Security Awareness Kampagne integriert.

Security Awareness Training für Anwender und Führungskräfte

Typische Inhalte

Führungskräfte sind auch Anwender. Daher erhalten sie grundsätzlich alle Inhalte für Anwender. 

Führungskräfte sind aber auch Informationseigentümer, Entscheider und Vorbild. Deshalb benötigen sie in einem Security Awareness Training zusätzliche Botschaften:

  • Wie funktioniert Cyber Security im Unternehmen, mit Überblick über das ISMS Regelwerk?
  • Welche Rolle und Verantwortung hat ein Informationseigentümer (Risikoabschätzung, Informationsklassifizierung, Kontrollpflichten)?
  • Welchen Einfluss hat die Vorbildfunktion auf das Verhalten der Anwender und somit auf die Sicherheit des Unternehmens. 

Security Awareness Training für Anwender und Führungskräfte

Auswirkungen auf den Arbeitsalltag

Die reinen Anwender-Themen sind, wie bei allen Anwendern, auch für Führungskräfte nur überschaubar lästig. Diese werden i.d.R. entsprechend tool-basiert geschult.

Es ist allerdings schon deutlich schwieriger, einer Führungskraft die Verantwortung als Information Owner zu vermitteln. Eine Risikoanalyse des eigenen Bereiches, regelmäßige Kontrollen der Berechtigungen... solche Themen lassen sich nicht nebenbei erledigen. Und da sich Führungskräfte i.d.R. auch nicht über mangelnde Auslastung beklagen können, sind solche Zusatzaufgaben emotional ziemlich unbeliebt.

Ein einfaches "Du bist verantwortlich" führt verständlicherweise oftmals zu einer "Ja, ja, rede Du nur" Reaktion. Entsprechend negativ wird Security assoziiert, was wiederum die Vorbildfunktion sehr negativ beeinflusst.  

Führungskräfte müssen persönliche Betroffenheit und Einsicht erfahren, um ihre Rolle und Verantwortung zu verstehen. Deshalb sind wir überzeugt, dass Security Awareness Trainings für Führungskräfte nur Face-to-Face (in Präsenz oder virtuell) funktionieren.

Typische Inhalte
  • Die elementare Bedeutung von Hardening und Patching für einen wirkungsvollen Schutz
  • Verständnis zum "Defense in Depth" Ansatz, mit Sicherheitszonen und Role Based Access
  • Sicherer Umgang mit privileged Accounts
  • Sinn und Nutzen von Vulnerability Management
  • Die Bedeutung eines zentralen Logging für die Erkennung von Angriffen
  • Die Bedeutung von Fehlermeldungen für die Erkennung von Angriffen
  • Welche System-Anomalien weisen auf einen Angriff hin
  • Wie verhalte ich mich im Incident Response

Security Awareness Training für Administratoren

Auswirkungen auf den Arbeitsalltag

"Was? Für jedes System einen oder sogar mehrere Accounts, je nach Anwendungsfall? Und jeder Account ein eigenes Passwort? Und patchen innerhalb von Tagen? Habt Ihr eigentlich einen Vogel? Wisst Ihr denn überhaupt, wie ich arbeite?"

IT-Administratoren beeinflussen mit ihrem Verhalten massiv die Cyber Security eines Unternehmens, durch ihre privilegierten Accounts sogar deutlich mehr als Anwender. Ihnen ist aber der Zusammenhang zwischen erfolgreichen Cyber-Attacken und ihrem eigenen Verhalten meist gar nicht bewusst. Zusätzlich gibt es bei dieser Zielgruppe vermehrt "gefährliches Security-Halbwissen" aus IT-Foren und Communities, welches dieses Verhalten zementiert und einen Veränderungsimpuls deutlich erschwert.

Ein Änderung dieses Verhaltens hat aber einen sehr großen Einfluss auf den Arbeitsalltag. Er wird komplizierter. Security Awareness Trainings für IT-Administratoren müssen daher unbedingt erst einmal Verständnis und Einsicht für diese Verhaltensänderung schaffen, sonst werden die Appelle verpuffen. Cyber Security LAB E-Learnings schaffen exakt diese Basis.

Typische Inhalte
  • Die Schutzziele und Prinzipien der Cyber Security
  • Die Phasen des Secure Development Lifecycle
  • Der Nutzen von Threat Modeling in der Design-Phase
  • Häufige Fehler in der Implementierung

    • Input Validierung
    • Autorisierung
    • Authentisierung
    • Umgang mit Secrets in der Entwicklung
    • Logging
  • Der Nutzen von Code Reviews und Penetrationstests in der Validierungssphase
  • Die Bedeutung der Konfiguration für die Security und Klärung der Verantwortlichkeiten
  • Maßnahmen zur sicheren De-Kommissionierung von Software
Auswirkungen auf den Arbeitsalltag

Secure Development und Secure Coding bedeutet für Software-Entwickler eine erhebliche Umstellung. Entwickler wollen am liebsten Code schreiben und Security behindert sie dabei. Bereits die Design-Themen wie beispielsweise Risikoabschätzung und Threat-Modelling sind in deren Augen nicht gerade "sexy" und verlangsamen den Entwicklungsprozess. Ähnliches gilt für Codeanalysen und das Fixen von Pentest-Findings.

Auf der anderen Seite können Entwickler durch Fehler in ihrer Software schwerwiegende Schwachstellen erzeugen, die für weltweite Attacken ausgenutzt werden können (Solarwinds, Kaseya, Log4shell, die Liste ist lang).

Secure Development verändert den Arbeitsalltag für Entwickler ähnlich massiv wie Secure Administration für Administratoren. Da kommen Dinge hinzu, auf die man nicht gerade gewartet hat. Security Awareness Trainings für Software-Entwickler müssen daher unbedingt erst einmal Verständnis und Einsicht für eine Verhaltensänderung schaffen, sonst werden die Appelle verpuffen und die Schwachstellen bleiben. Cyber Security LAB E-Learnings schaffen exakt diese Basis.

Security Awareness Trainings für Entwickler

Security Awareness Training für Anwender und Führungskräfte

Icon für Security-Awareness
Intranet Security Portal
Ein gutes Intranet ist ein tägliches Security Awareness Training. Kein Anwender wird jemals in ein E-Learning gehen, um mal kurz etwas nachzusehen. Sie brauchen ein Cyber-Security-Wiki für den Alltag. Darin steht alles, was Anwender zum Thema Security wissen müssen. Ohne Fremdwörter, aber mit Security-Videos, Anleitungen, Richtlinien und Ansprechpartnern.
Icon für Phishing-Simulationen
Phishing-Tests
Phishing-Tests sollten immer eine Lernkomponente enthalten, deshalb zählen sie auch zu Security Awareness Trainings. Mit Phishing-Tests alleine wird aber keine Security Awareness erzeugt, auch wenn manche Tool-Anbieter das gerne so verkaufen. Sie sind für uns ein wichtiger Baustein in einer Vielzahl von Trainingsmaßnahmen.
Mehr über Phishing-Tests erfahren
Icon für Online-Schulung (E-Learning)
E-Learning
Quasi "El Classico" unter den Security Awareness Trainings, denn mit einem E-Learning können Sie weltweit die Anwender schulen und den Erfolg nachweisen. Keine andere Trainingsmaßnahme hat dieses Kosten-/Nutzenverhältnis. Ein E-Learning gibt es in zig Varianten, vom "Learning Nugget" bis hin zum mehrstündigen Kurs.
Mehr zu E-Learning-Kursen
Icon für Impulsvorträge
Live Hacking Events
Es gibt kein besseres Security Awareness Training als ein Live Hacking. Beispiele und Hintergrundgeschichten erzeugen persönliche Betroffenheit und bleiben hängen. Da Präsenz z.T. erheblich teurer ist als Webinare, sollten Sie "die Hütte vollmachen" (Betriebsversammlungen, Security Days, etc.) oder exklusives Publikum ansprechen (Vorstandsrunden, Leadership-Meetings, etc.).
Mehr zu Live Hacking erfahren
Icon für Präsenzschulungen und Webinare
Webinare
Sie sind mit Corona gekommen um zu bleiben. Webinare haben die gleiche Durchschlagskraft wie Präsenztrainings, sind aber deutlich kosteneffizienter und mittlerweile voll akzeptiert. Vom 20 min. CxO-Briefing über 45 min. Themen-Webinar (Phishing, Ransomware, Social Engineering, etc.) bis zur virtuellen Keynote Ihres Cyber Security Days. Aus unserer Sicht ein "Must Have" der Security Awareness Trainings.
Mehr zu Webinaren erfahren
Icon für Datenschutz
Spezielle Schulungen
Ausgewählte Zielgruppen sind besonders exponiert und benötigen spezielle Security Awareness Trainings, beispielweise Personal Assistants und Buchhaltung für das Thema CEO Fraud oder HR für das Thema Dateianhänge unbekannter Absender. Da auch hier Live-Hacking-Beispiele und Hintergrundgeschichten den Unterschied ausmachen, sind Webinare i.d.R. besser als nur ein E-Learning.

Security Awareness Training für IT-Administratoren

Icon für Online-Schulung (E-Learning)
Anwender E-Learning
Auch IT-Administratoren sind Anwender und müssen sich an die Richtlinien halten. Auch Admins lassen sich hervorragend phishen, man benötigt nur einen anderen Wurm als Köder. Es gibt also viele gute Gründe, warum auch Admins das Security Awareness Training für alle Mitarbeiter absolvieren sollten.
Mehr zu E-Learning-Kursen
Icon für Cyber-Security-LABs
Cyber LAB für IT-Admins
Sie müssen Admins erst einmal für die Aufnahme Ihrer Security-Botschaften "öffnen", also Verständnis und Bereitschaft erzeugen. Im Cyber LAB nehmen sie die Sichtweise eines Hackers ein und zerlegen ein ganzes Unternehmensnetzwerk. Danach verstehen sie die Gefahr und wünschen sich Abhilfe.
Cyber LABs für Administratoren
Icon für Security-Awareness
How-To Schulungen
Wenn die Admins bereit sind, ihr Verhalten security-bewusster zu gestalten, können Sie ganz konkrete Inhalte vermitteln, beispielsweise "wie werden bei uns Server gehärtet" oder "wie sieht unser Privileged Identity Management aus und wie werden die Tools genutzt". Das sind in der Regel Schulungen durch Ihre eigenen Teams.

Security Awareness Training für Software-Entwickler

Icon für Online-Schulung (E-Learning)
Anwender E-Learning
Auch Entwickler sind Anwender im Unternehmen. Sie schreiben E-Mails, erzeugen Dokumente, haben Zugang zu Systemen und müssen sich somit an die Richtlinien halten. Daher gehört es quasi zum Standard, dass Entwickler das Basis Security Awareness Training für alle Mitarbeiter absolvieren.
Mehr zu E-Learning-Kursen
Icon für Cyber-Security-LABs
Cyber LAB für Entwickler
Sie müssen Entwickler erst einmal für die Aufnahme Ihrer Security-Botschaften "öffnen", also Verständnis und Bereitschaft erzeugen. Im Cyber LAB nehmen sie die Sichtweise eines Angreifers ein und hacken eine Anwendung nach allen Regeln der Kunst. Danach wünschen sie sich einen Secure-Coding-Kurs.
Cyber LABs für Entwickler
Icon für Security-Awareness
Secure-Coding-Schulungen
Nachdem die Bereitschaft für Secure Development geweckt wurde, können Sie die konkreten Inhalte vermitteln: Threat-Modelling nach dem STRIDE Model oder Secure Coding mit PHP, mit .NET, mit Java, etc. Solche Kurse können durch Ihre internen Spezialisten oder online mit eigenen LABs angeboten werden.