Worauf es bei Awareness-Trainings zu achten gilt

Weshalb sind Security-Awareness-Trainings wichtig? Dass man nicht auf irgendwelche komischen Links klicken sollte, weiss man doch unterdessen.

Palo Stacho: Der überwältigende Anteil der erfolgreichen Hacks nimmt immer noch seinen Anfang bei unachtsamen Mitarbeitenden. Es ist möglich, dass inzwischen viele Leute bei "komischen Links" argwöhnisch werden. Doch es gibt gefährliche Links, die auf den ersten Blick ausgesprochen legitim aussehen (URL-Spoofing) und wir sollten nicht vergessen, dass es immer noch Browser gibt, welche die Webadresse gar nicht anzeigen. Obendrein ist es sehr einseitig, die Schulungsbemühungen lediglich auf dubiose Links auszurichten. Gefahren können auch von Dateianhängen in E-Mails, von SMS, USB-Sticks und anderen Social-Engineering-Techniken ausgehen.

Was ist der Schlüssel zum Erfolg bei Awareness-Trainings?

Zunächst sollte man sich überlegen, was in diesem Kontext "Lernerfolg" heisst: Maximaler Lernerfolg bedeutet nämlich, dass das Personal im Internet ein sicheres Verhalten an den Tag legt! So etwas geht weit über eine Schulungsmassnahme hinaus, das ist ein Innovationsvorhaben. Für uns ist es erwiesen, dass der Erfolg nur dann erreicht werden kann, wenn ein ständiges Awareness-Programm betrieben wird, das einen ­positiven Charakter aufweist, das Engagement des Einzelnen fördert und messbare Ziele beinhaltet. Die im Rahmen des Programms durchgeführten Phishing-Tests haben realitätsnah zu sein. Die Lernmodule sind abwechslungsreich und unterhaltsam zu gestalten und zwingend personalisiert, sprich die Schulung ist in den Kontext des Mitarbeiters und der Firma eingebettet.

Wie sorgt man dafür, dass das Gelernte nicht zum Vergessenen wird?

Indem man laufend schult und testet. Und man misst die Awareness – die Sensibilisierungsrate. Als Kennzahlen eignen sich neben der Schulungsrate vor allem die Melderate. Damit wird der Prozentsatz der von den Mitarbeitern mit Hilfe des Phishing-Meldebuttons gemeldeten Phishingsimulations-Mails verstanden. Die häufig genannte "Klickrate" hat gemäss unserer Erfahrung eine äusserst begrenzte Aussagekraft.

Was müssen Reseller selbst können/wissen, um derartige ­Trainings erfolgreich anzubieten?

Standardisierte Nullachtfünfzehn-Phishingtests oder Awareness-Trainings erzielen wenig Nachhaltigkeit. Natürlich sollte das zum Grundangebot gehören. Die Reseller sollten aber Lösungen einsetzen, die eine Individualisierung und Anpassbarkeit der Trainings ermöglichen.

Inwiefern führt das Angebot von Awareness-Trainings zu weiterem Business für Reseller?

Das Schulungsbedürfnis in Wirtschaft und Bevölkerung ist enorm! Cybersecurity Awareness geht jeden etwas an, mehr muss man dazu nicht sagen.

Die Antworten der weiteren Teilnehmenden des Podiums:

• Markus Graf, Avantec: "Das Training muss auf den Kunden zugeschnitten werden."

• Franco Cerminara, Infoguard: "Für einen maximalen Lernerfolg sollten Alltagsbeispiele verwendet werden."

• Alex Faes, RedIT: "Phishing-Mails sind längst nicht der einzige Angriffsvektor, der behandelt wird."

• Isil Günalp, Digicomp: "Auch der Unterhaltungsfaktor ist zentral."

• Cornelia Lehle, G Data: "Awareness-Trainings sind kein Sprint, sondern ein Langstreckenlauf."

• Christian Meier, Ispin: "Das Gelernte sollte auch einen privaten Nutzen bieten."

• Alexander Reusch, Axians: "Cybersecurity Awareness ist nur ein Puzzlestück im gesamten Bild."