Ein Großteil der heutigen Sicherheitsprobleme ist auf Mitarbeiter des eigenen Unternehmens zurückzuführen. Statistiken belegen, dass weltweit zahlreiche Security-Pannen durch unbewusstes oder bewusstes Vorgehen von noch beschäftigten und ehemaligen Mitarbeitern passieren.

So werden beispielsweise Links angeklickt, die zu Phishing-Seiten führen, oder bösartige Webseiten aufgerufen, hinter denen Viren und andere hochentwickelte Bedrohungen lauern. Laut dem Cyber Security Intelligence Index von IBM sind heute bei über 90 Prozent aller Sicherheitsvorfälle solche menschlichen Fehler die Ursache.

Betroffen davon sind Betriebe aller Branchen und aller Größen. Selbst die Big Player der Tech-Industrie sind nicht davor gefeit, Opfer ungewollter Datenabflüsse zu werden: Erst vor kurzem gerieten der US-Elektroautopionier Tesla und Smartphone-Gigant Apple ins Fadenkreuz von Innentätern, die geheime Informationen gestohlen haben - oder kurz davor waren und entdeckt wurden.

Trainings steigern Sicherheit

Warum in neuerer Zeit gerade Mitarbeiter zum Sicherheitsrisiko werden, hat einen einfachen Grund. In den letzten Jahren haben die meisten Unternehmen leistungsfähige Phishing-Filter und Firewalls installiert. Viele nutzen auch Experten-Tools zur Abwehr der Cyber-Bedrohungen. Diese IT-Schutzmaßnahmen machen es Angreifern immer schwerer, sie auf rein technischem Wege zu überwinden.

Hacker konzentrieren sich deshalb vermehrt auf die Mitarbeiter eines Unternehmens als potentielle Schwachstelle. Lässt sich ein Mitarbeiter dazu manipulierten, aktiv auf einen schädlichen Link zu klicken, einen infizierten Dateianhang zu öffnen oder sensible Daten preiszugeben, lassen sich die besten Sicherheitsmaßnahmen vergleichsweise einfach umgehen.

Was können IT-Verantwortliche tun, um das Sicherheitsrisiko Mensch in den Griff zu bekommen? Regelmäßige Mitarbeiterschulungen sind eine angemessene Maßnahme. Dabei wird den Teilnehmern im Rahmen von sogenannten Security Awareness-Trainings das Wissen vermittelt, während der täglichen Arbeit mit verschiedenen Sicherheitsbedrohungen umzugehen. Vorrangiges Ziel der Schulungen ist es aber, die Mitarbeiter für Themen wie Security Policies und Richtlinien, Bedrohungen und Risiken oder die Einhaltung von Regularien zu sensibilisieren.

Klassische Schulung bringt wenig

Solche Security Awareness-Trainings gibt es in unterschiedlichen Formen als Klassenraumschulungen oder Online-Trainings. Die Evaluierung klassischer Schulungsprogramme hat allerdings gezeigt, dass diese den Mitarbeitern kaum die erforderlichen Verhaltensänderungen vermitteln können.

Der mangelnde Erfolg erklärt sich damit, dass viele Teilnehmer die Trainings allzu oft mit halbtäglichen Pflichtveranstaltungen am Computer assoziieren. Passiver Frontalunterricht, das Herunterbeten zahlloser zu befolgender Anweisungen, kaum Interaktion - all dies hat zur Folge, dass sich die Mitarbeiter anschließend nur an wenige Aspekte erinnern und dem Thema keine weitere Aufmerksamkeit schenken.

Selbst Unternehmen mit engagierten Teams im Bereich Sicherheitsbewusstsein tun sich schwer, mit Schulungen eine echte Verbesserung des Sicherheitsverhaltens zu erreichen. In der Regel bestehen gut strukturierte Schulungsprogramme aus einer Reihe von simulierten Phishing-Angriffen pro Jahr plus einiger Übersichtslektionen, weil andere Programmelemente zu schwer durchzuführen und zu verwalten sind. Doch auf diese Weise erhalten die Mitarbeiter nicht die erforderlichen umfassenden Fähigkeiten, um für anhaltend gute Sicherheit in ihrem Unternehmen zu sorgen.

Interaktives Online Awareness Training

Dass es auch anders geht, zeigt Kaspersky Lab. Die Security-Spezialisten haben ein Awareness-Konzept ausgearbeitet, das auf drei Pfeilern basiert: Festlegen von Trainingszielen, Erfolgsmessung sowie Aufbau von Security Awareness.

Im Zentrum steht die Schulungsplattform CyberSecurity Trainings. Kaspersky Lab hat dieses interaktive Training entwickelt, damit Unternehmens-Mitarbeiter wichtige Grundlagen der Cybersecurity in kurzen und eingängigen Modulen berufsbegleitend erlernen und festigen können. Die Programme vermitteln nicht nur Wissen, sondern etablieren neue Verhaltensmuster - das eigentliche Ziel von Sicherheitsschulungen.

Der ganzheitliche Ansatz basiert auf modernsten Lerntechniken, kombiniert mit Planspielen, Praxisbezug, Gruppendynamik und Vertiefungsübungen. Das macht das Training interessant und abwechslungsreich, Langeweile gibt es hier nicht.

Auf der Demoseite können Sie verschiedene Module testen und sehen, wie die Plattform funktioniert. Das vollständige Training besteht aus über 25 Schulungsmodulen mit einer jeweiligen Dauer von 15 Minuten und verfügt über Assessment-Tools, eine automatische Anmeldefunktion zu den Schulungsmodulen sowie erweiterte Analyse- und Reporting-Funktionen.