Von Fabian Stahl, Inhaber und Geschäftsführer Stahl IT-Systempartner, Pfaffenhofen a. d. Ilm
Cyberangriffe finden nicht "irgendwo" statt. Zuletzt waren einige unserer Kunden bedroht.So kam unser Solution Slot „Awareness für Phishing & Co. – Das Cybercrime-Training” mit unserem Solution Partner G DATA gerade zur richtigen Zeit. Ich habe sieben gute Gründe mitgenommen, warum es JETZT Awareness Trainings braucht.
August 2024
Neulich haben wir wieder zu einem STAHL Solution Slot geladen. In dieser Webinar-Reihe gibt es kompaktes IT-Wissen. Das Thema dieses Mal: „Awareness für Phishing & Co. – Das Cybercrime-Training”. Vielen Dank Felix Adami von G DATA CyberDefense für deine überzeugende Live-Demo.
Doch genug der Vorrede, kommen wir direkt zu den sieben Gründen, warum auch kleine und mittlere Unternehmen Security Awareness Trainings nicht länger auf die lange Bank schieben sollten.
1. Die Bedrohung durch Cybercrime ist real
206 Mrd. Euro Schaden entstehen der deutschen Wirtschaft pro Jahr durch Cybercrime (Quelle: Bitkom 2023). Kleine Firmen meinen oft: Was ist bei uns schon zu holen? Aber Cyberkriminelle arbeiten selten gezielt. Sie versuchen es einfach bei allen geleakten E-Mail-Adressen, die sie haben. Irgendwo wird schon jemand auf ein Phishing-Mail hereinfallen … Denn: Mehr als 90 % der Angriffe beginnen mit einer E-Mail (Deloitte 2020).
2. Fehlende Kompetenz beim Thema IT-Sicherheit
Viele Mitarbeitende in Unternehmen überschätzen ihre Kenntnisse zur IT-Sicherheit: 38 % sehen bei sich eine mittlere Kompetenz, 32 % sogar eine große oder sehr große Kompetenz (Quelle: Statista im Auftrag von G DATA). So entsteht ein trügerisches Sicherheitsgefühl. Obendrein kommt noch: Man verlässt sich auf Antiviren-Schutz, Firewalls, IT-Systemadministratoren und das IT-Systemhaus.
Dabei ist – siehe Punkt 1 – der Initial Access für einen Cyberangriff meist der Faktor Mensch. Daher gilt: Sichere Passwörter, Multi-Faktor-Authentifizierung oder das Melden von gefährlichen Anhängen gehen alle im Unternehmen etwas an.
Die Lösung: Holen Sie alle Mitarbeitenden ins Team Security!
3. Security-Trainings sind Pflicht
Die Lernplattform und Reportings unserer Awareness Trainings sind ISO 27001-konform. Es ist alles enthalten, was für das Audit gefordert wird. Für die ISO-Zertifizierung reichen schon sechs Trainings aus dem Basic-Level. Zeitaufwand pro Einheit: 10-15 Minuten. Das schafft wirklich jeder, in den Arbeitsalltag zu integrieren. Auch die europaweit geltende NIS-2-Richtlinie sieht die Schulung von Mitarbeitenden im Bereich IT-Sicherheit vor. Cyberversicherungen fordern ebenfalls Awareness Trainings.
4. Awareness lässt sich prima online schulen
Diese Aussage aus dem Webinar ist mir besonders in Erinnerung geblieben: „Im Kontext Cyber-Security machen überhaupt nur Online-Trainings Sinn.“ Wir wissen doch alle aus eigener Erfahrung: Bei Präsenz-Seminaren ist die Aufmerksamkeit oft nicht sehr hoch, das Wissen wird nicht eingeübt und geht bald wieder verloren.
Gutes Beispiel, wie sich das Bewusstsein für IT-Sicherheit am besten im Alltag trainieren lässt, ist eine Phishing-Simulation. Die Mitarbeitenden erhalten eine fingierte Phishing-Mail. Falls jemand den Link darin anklickt, ploppt das direkte Feedback auf: „Autsch, das hätte ein Phishing-Versuch sein können.“ Und es gibt noch Hinweise, wo man dieses Versehen im Ernstfall hätte melden müssen.
5. Awareness-Trainings machen Spaß
Gamification und Storytelling sind die Stichworte: Trainings-Teilnehmer können immer wieder den Fortgang der Geschichte beeinflussen. So wird man z. B. von einem fiktiven Hacker kontaktiert. Von ihm „lernt“ man, wie er einen Cyberangriff organisiert. Videosequenzen oder kleine Quizze zwischendurch sorgen für Abwechslung. Die einzelnen Einheiten sind kurz gehalten, nur 10 bis 15 Minuten.
Security Trainings können alles andere als langweilige Pflicht sein. Nämlich spielerisch, Charakter- und Story-basiert …
6. IT-Administratoren haben keinen Stress damit
Die Devise von G DATA: „Wir wollen, dass Sie das so wenig wie möglich selbst pflegen müssen.“ Grundlage ist eine Lernplattform, für die die Nutzer direkt aus der Active Directory angelegt werden. Die Plattform kann auf das Erscheinungsbild des Unternehmens angepasst werden.
Die Teilnehmenden klicken sich Schritt für Schritt durch die Kurseinheiten. Am Ende wird automatisch ein Zertifikat generiert. Dies ist einerseits ein Anreiz für die Teilnehmer und dient als Nachweis für ISO & Co.
7. Sommerzeit für Test nutzen – jetzt bei STAHL
Die ruhigere Ferienzeit ist ideal für einen Test. Wir bei STAHL bieten Awareness Trainings jetzt neu als Cloud Service an. Die Kosten pro Nutzer und Monat sind überschaubar, gemessen daran, welche Schäden bei einem erfolgreichen Cyberangriff entstehen können oder welche Strafen drohen bei damit zusammenhängenden Datenschutzverstößen.
Fragen Sie mich gern nach einem Testzugang für ein Awareness Training. Und natürlich bieten wir noch viele weitere Cloud Services und Managed Services rund um IT-Sicherheit an. Wir sind IT-Systempartner für Unternehmen und öffentliche Einrichtungen in Süd- und Mittelbayern.
Dieser Beitrag erschien ursprünglich auf der Company-Website https://stahlgmbh.de/meldungen
Bildmaterial: G DATA academy
