Security Awarenes, bzw. das Security-Awareness-Training umfasst verschiedene Schulungsmaßnahmen, um Mitarbeiter eines Unternehmens oder einer Organisation für Themen rund um die Sicherheit der IT-Systeme zu sensibilisieren. Ziel ist es, die durch Mitarbeiter verursachten Gefahren für die IT-Sicherheit zu minimieren.
Im Rahmen eines Security-Awareness-Trainings werden Mitarbeiter zu den verschiedenen Themen rund um die Computersicherheit im Unternehmen geschult. Die Schulungsmaßnahmen können verschiedene Formen haben und als Klassenraumschulungen oder Online-Trainings durchgeführt werden. Ziel der Security Awareness (SecAware) ist es, die Teilnehmer für die Themen der IT-Sicherheit zu sensibilisieren und ihnen das notwendige Wissen zu vermitteln, mit den verschiedenen Sicherheitsbedrohungen während der täglichen Arbeit umzugehen.
Security-Awareness-Schulungen unterrichten auch über die spezifischen Unternehmensrichtlinien und -prozesse zur IT-Sicherheit. Die Teilnehmer erhalten Informationen, welche Abläufe einzuhalten oder Personen zu informieren sind, wenn sicherheitsrelevante Ereignisse erkannt werden. Herrscht in Unternehmen eine hohe Fluktuation der Mitarbeiter oder sind viele externe Mitarbeiter beziehungsweise Leiharbeiter beschäftigt, sind die Trainings in regelmäßigen Abständen durchzuführen. Die Schulungen stärken das Verständnis für die Bedeutung der Sicherheit von Daten und IT-Infrastrukturen. Der Erfolg des Security-Awareness-Trainings ist überprüfbar, indem beispielsweise die Zahl der sicherheitsrelevanten Zwischenfälle im Unternehmen über einen bestimmten Zeitraum beobachtet wird.
Ziele der Security Awareness
Da Menschen neben der Technik selbst das höchste Risiko für die IT-Sicherheit darstellen, müssen sie für die möglichen Bedrohungsszenarien sensibilisiert werden. Nur so ist die Einhaltung eines bestimmten Sicherheitsniveaus erreichbar. Das im Unternehmen vorhandene IT-Sicherheitskonzept ist nur umsetzbar, wenn die Mitarbeiter es kennen und es befolgen. Um mögliche Bedrohungen frühzeitig zu erkennen, abzuwehren und Folgen erst gar nicht entstehen zu lassen, versucht das Training die Security-Awareness und das Security-Wissen der Teilnehmer zu steigern.
Mögliche Inhalte eines Security-Awareness-Trainings
Ein Security-Awareness-Training kann viele verschiedene Themen beinhalten. Typische Schulungsinhalte sind:
- grundlegende Informationen zur Informations- und Datensicherheit
- sicherer Umgang mit E-Mails
- Bedrohungspotenzial durch Schadsoftware
- physische Sicherheit am Arbeitsplatzrechner
- Umgang mit mobilen Datenspeichern
- Risiken und Gefahren bei der Verwendung von mobilen Geräten
- Gefahren durch soziale Netzwerke
- Gefährdungspotenzial durch Social Engineering
- Gefahren der Internetnutzung
- Gefahr durch Phishing und Ablauf einer Phishing-Attacke
- sichere Passwörter
- verantwortungsvoller Umgang mit Passwörtern
- sichere Verwendung öffentlicher Internetzugänge und Hotspots
- die konkreten Sicherheits- und Passwortrichtlinien im Unternehmen
- Verhalten bei sicherheitsrelevanten Ereignissen
- Informationspflichten bei erkannten Gefahren
Formen eines Security-Awareness-Trainings
Ein Security-Awareness-Training kann verschiedene Formen haben. Für die unterschiedlichen Anforderungen der Unternehmen existieren zahlreiche Optionen zur Durchführung des Trainings. Die klassische Art des Security-Awareness-Trainings ist die Klassenraumschulung. Der Seminarleiter führt das Training durch und vermittelt die verschiedenen Themen mithilfe von theoretischen Inhalten, praktischen Beispielen und Übungsaufgaben. Fragen und spezielle Themen der Teilnehmer sind direkt in das Training integrierbar.
Das Online-Training kann von den Teilnehmern individuell am Arbeitsplatz oder von zu Hause ausgeführt werden. Die physische Anwesenheit zu einer bestimmten Zeit in einem Schulungsraum ist nicht notwendig. Je nach Art des Online-Trainings kann es ein Kursleiter aktiv begleiten oder es findet ohne Kursleiter statt. Mit Online-Tests lässt sich der Lernerfolg der Teilnehmer überprüfen.
Eine Schulung zur Security Awareness ist durch Informationsmaterial ergänzbar. So können beispielsweise Poster mit wichtigen Inhalten zum Thema Security in Kaffeeküchen platziert oder Info-Flyer am Arbeitsplatz verteilt werden.