2.000+ Kunden schenken uns ihr Vertrauen, von Startups bis Großunternehmen
Fehler sind menschlich
90% der Risiken sitzen vorm Bildschirm
Die meisten Security-Schwachstellen werden durch Menschen verursacht. Gar nicht in böser Absicht, sondern meist aus Unwissenheit. Deshalb sind Security Awareness Trainings ein elementarer Bestandteil einer erfolgreichen Cyber-Security-Strategie.
Doch Security Awareness Training ist nicht gleich Security Awareness Training. Es gibt sehr unterschiedliche Zielgruppen mit unterschiedlichen Bedürfnissen, Botschaften und Schulungsmaßnahmen. In Summe entsteht eine komplette Cyber-Security-Qualifizierungsmatrix.
Wir stellen Dir hier die wichtigsten Security Awareness Trainings in dieser Qualifizierungsmatrix vor.
Zum Überblicksartikel Cyber-Security: Das Wichtigste für die IT-Sicherheit
- Phishing & Ransomware erkennen und abwehren
- Social Engineering erkennen und abwehren
- Verständnis zu Viren & Trojanern
- Sicherer Umgang mit Passwörtern
- Sicherer Umgang mit mobilen Geräte
- Freigegebene und verbotene Cloud-Dienste
- Umgang mit sensiblen Informationen (Informationsklassifizierung)
- Umgang mit Besuchern
- Sichere Arbeitsplatz (Clean Desk, Clear Screen, etc.)
- Sicher Arbeiten im Home-Office
Meldewege bei Vorfällen
Für Anwender sind die unmittelbaren Auswirkungen auf den Arbeitsalltag nicht dramatisch. Den Rechner sperren, verdächtige E-Mails per Reporting-Button melden oder Unterlagen in eine Datentonne anstelle des Papierkorbs zu werfen... all das sind nur wenige Sekunden Mehraufwand.
Deshalb können Security Awareness Trainings für Anwender oftmals tool-gestützt über E-Learning oder Phishing-Simulationen erfolgen.
Security Awareness Trainings für Anwender werden in der Regel über mehrere Jahre konzipiert und deshalb in eine Security Awareness Kampagne integriert.
Führungskräfte sind auch Anwender. Daher erhalten sie grundsätzlich alle Inhalte für Anwender.
Führungskräfte sind aber auch Informationseigentümer, Entscheider und Vorbild. Deshalb benötigen sie in einem Security Awareness Training zusätzliche Botschaften:
- Wie funktioniert Cyber Security im Unternehmen, mit Überblick über das ISMS Regelwerk?
- Welche Rolle und Verantwortung hat ein Informationseigentümer (Risikoabschätzung, Informationsklassifizierung, Kontrollpflichten)?
Welchen Einfluss hat die Vorbildfunktion auf das Verhalten der Anwender und somit auf die Sicherheit des Unternehmens.
Die reinen Anwender-Themen sind, wie bei allen Anwendern, auch für Führungskräfte nur überschaubar lästig. Diese werden i.d.R. entsprechend tool-basiert geschult.
Es ist allerdings schon deutlich schwieriger, einer Führungskraft die Verantwortung als Information Owner zu vermitteln. Eine Risikoanalyse des eigenen Bereiches, regelmäßige Kontrollen der Berechtigungen... solche Themen lassen sich nicht nebenbei erledigen. Und da sich Führungskräfte i.d.R. auch nicht über mangelnde Auslastung beklagen können, sind solche Zusatzaufgaben emotional ziemlich unbeliebt.
Ein einfaches "Du bist verantwortlich" führt verständlicherweise oftmals zu einer "Ja, ja, rede Du nur" Reaktion. Entsprechend negativ wird Security assoziiert, was wiederum die Vorbildfunktion sehr negativ beeinflusst.
Führungskräfte müssen persönliche Betroffenheit und Einsicht erfahren, um ihre Rolle und Verantwortung zu verstehen. Deshalb sind wir überzeugt, dass Security Awareness Trainings für Führungskräfte nur Face-to-Face (in Präsenz oder virtuell) funktionieren.
- Die elementare Bedeutung von Hardening und Patching für einen wirkungsvollen Schutz
- Verständnis zum "Defense in Depth" Ansatz, mit Sicherheitszonen und Role Based Access
- Sicherer Umgang mit privileged Accounts
- Sinn und Nutzen von Vulnerability Management
- Die Bedeutung eines zentralen Logging für die Erkennung von Angriffen
- Die Bedeutung von Fehlermeldungen für die Erkennung von Angriffen
- Welche System-Anomalien weisen auf einen Angriff hin
Wie verhalte ich mich im Incident Response
"Was? Für jedes System einen oder sogar mehrere Accounts, je nach Anwendungsfall? Und jeder Account ein eigenes Passwort? Und patchen innerhalb von Tagen? Habt Ihr eigentlich einen Vogel? Wisst Ihr denn überhaupt, wie ich arbeite?"
IT-Administratoren beeinflussen mit ihrem Verhalten massiv die Cyber Security eines Unternehmens, durch ihre privilegierten Accounts sogar deutlich mehr als Anwender. Ihnen ist aber der Zusammenhang zwischen erfolgreichen Cyber-Attacken und ihrem eigenen Verhalten meist gar nicht bewusst. Zusätzlich gibt es bei dieser Zielgruppe vermehrt "gefährliches Security-Halbwissen" aus IT-Foren und Communities, welches dieses Verhalten zementiert und einen Veränderungsimpuls deutlich erschwert.
Ein Änderung dieses Verhaltens hat aber einen sehr großen Einfluss auf den Arbeitsalltag. Er wird komplizierter. Security Awareness Trainings für IT-Administratoren müssen daher unbedingt erst einmal Verständnis und Einsicht für diese Verhaltensänderung schaffen, sonst werden die Appelle verpuffen. Cyber Security LAB E-Learnings schaffen exakt diese Basis.
- Die Schutzziele und Prinzipien der Cyber Security
- Die Phasen des Secure Development Lifecycle
- Der Nutzen von Threat Modeling in der Design-Phase
- Häufige Fehler in der Implementierung:
- Input Validierung
- Autorisierung
- Authentisierung
Umgang mit Secrets in der Entwicklung
Logging
- Der Nutzen von Code Reviews und Penetrationstests in der Validierungssphase
- Die Bedeutung der Konfiguration für die Security und Klärung der Verantwortlichkeiten
Maßnahmen zur sicheren De-Kommissionierung von Software
Secure Development und Secure Coding bedeutet für Software-Entwickler eine erhebliche Umstellung. Entwickler wollen am liebsten Code schreiben und Security behindert sie dabei. Bereits die Design-Themen wie beispielsweise Risikoabschätzung und Threat-Modelling sind in deren Augen nicht gerade "sexy" und verlangsamen den Entwicklungsprozess. Ähnliches gilt für Codeanalysen und das Fixen von Pentest-Findings.
Auf der anderen Seite können Entwickler durch Fehler in ihrer Software schwerwiegende Schwachstellen erzeugen, die für weltweite Attacken ausgenutzt werden können (Solarwinds, Kaseya, Log4shell, die Liste ist lang).
Secure Development verändert den Arbeitsalltag für Entwickler ähnlich massiv wie Secure Administration für Administratoren. Da kommen Dinge hinzu, auf die man nicht gerade gewartet hat. Security Awareness Trainings für Software-Entwickler müssen daher unbedingt erst einmal Verständnis und Einsicht für eine Verhaltensänderung schaffen, sonst werden die Appelle verpuffen und die Schwachstellen bleiben. Cyber Security LAB E-Learnings schaffen exakt diese Basis.
Beratung? Fallbeispiele? Preise?
Lass uns in einem Webmeeting über Deinen Bedarf sprechen. Wir zeigen Dir, wie die unterschiedlichen Zielgruppen in Deinem Unternehmen effizient geschult werden.
Intranet Security Portal
Ein gutes Intranet ist ein tägliches Security Awareness Training. Kein Anwender wird jemals in ein E-Learning gehen, um mal kurz etwas nachzusehen. Man braucht ein Cyber-Security-Wiki für den Alltag. Darin steht alles, was Anwender zum Thema Security wissen müssen. Ohne Fremdwörter, aber mit Security-Videos, Anleitungen, Richtlinien und Ansprechpartnern.
Phishing-Tests
Phishing-Tests sollten immer eine Lernkomponente enthalten, deshalb zählen sie auch zu Security Awareness Trainings. Mit Phishing-Tests alleine wird aber keine Security Awareness erzeugt, auch wenn manche Tool-Anbieter das gerne so verkaufen. Sie sind für uns ein wichtiger Baustein in einer Vielzahl von Trainingsmaßnahmen.
E-Learning
Quasi "El Classico" unter den Security Awareness Trainings, denn mit einem E-Learning kann man weltweit Anwender schulen und deren Lernerfolg nachweisen. Keine andere Trainingsmaßnahme hat dieses Kosten-/Nutzenverhältnis. Ein E-Learning gibt es in zig Varianten, vom "Learning Nugget" bis hin zum mehrstündigen Kurs.
Live Hacking Events
Es gibt kein besseres Security Awareness Training als ein Live Hacking. Beispiele und Hintergrundgeschichten erzeugen persönliche Betroffenheit und bleiben hängen. Da Präsenz z.T. erheblich teurer ist als Webinare, sollte man "die Hütte vollmachen" (Betriebsversammlungen, Security Days, etc.) oder ein exklusives Publikum ansprechen (Vorstandsrunden, Leadership-Meetings, etc.).
Webinare
Sie sind mit Corona gekommen um zu bleiben. Webinare haben die gleiche Durchschlagskraft wie Präsenztrainings, sind aber deutlich kosteneffizienter und mittlerweile voll akzeptiert. Vom 20 min. CxO-Briefing über 45 min. Themen-Webinar (Phishing, Ransomware, Social Engineering, etc.) bis zur virtuellen Keynote bei einem Cyber Security Day. Aus unserer Sicht ein "Must Have" der Security Awareness Trainings.
Spezielle Schulungen
Ausgewählte Zielgruppen sind besonders exponiert und benötigen spezielle Security Awareness Trainings, beispielweise Personal Assistants und Buchhaltung für das Thema CEO Fraud oder HR für das Thema Dateianhänge unbekannter Absender. Da auch hier Live-Hacking-Beispiele und Hintergrundgeschichten den Unterschied ausmachen, sind Webinare i.d.R. besser als nur ein E-Learning.
Anwender E-Learning
Auch IT-Administratoren sind Anwender und müssen sich an die Richtlinien halten. Auch Admins lassen sich hervorragend phishen, man benötigt nur einen anderen Wurm als Köder. Es gibt also viele gute Gründe, warum auch Admins das Security Awareness Training für alle Mitarbeiter absolvieren sollten.
Cyber LAB für IT-Admins
Admins müssen erst einmal für die Aufnahme von Security-Botschaften "geöffnet" werden, es muss also Verständnis und Bereitschaft erzeugt werden. Im Cyber LAB nehmen Admins die Sichtweise eines Hackers ein und zerlegen ein ganzes Unternehmensnetzwerk. Danach verstehen sie die Gefahr und wünschen sich selbst Abhilfe.
How-To Schulungen
Wenn die Admins bereit sind, ihr Verhalten security-bewusster zu gestalten, können ganz konkrete Inhalte vermittelt werden, beispielsweise "wie werden bei uns Server gehärtet" oder "wie sieht unser Privileged Identity Management aus und wie werden die Tools genutzt". Das sind in der Regel Schulungen durch interne Teams.
Anwender E-Learning
Auch Entwickler sind Anwender im Unternehmen. Sie schreiben E-Mails, erzeugen Dokumente, haben Zugang zu Systemen und müssen sich somit an die Richtlinien halten. Daher gehört es quasi zum Standard, dass auch Entwickler das Basis Security Awareness Training für alle Mitarbeiter absolvieren.
Cyber LAB für Entwickler
Entwickler müssen erst einmal für die Aufnahme von Security-Botschaften "geöffnet" werden, es muss also Verständnis und Bereitschaft erzeugt werden. Im Cyber LAB nehmen Entwickler die Sichtweise eines Angreifers ein und hacken eine Anwendung nach allen Regeln der Kunst. Danach wünschen sie sich meist einen Secure-Coding-Kurs.
Secure-Coding-Schulungen
Nachdem die Bereitschaft für Secure Development geweckt wurde, kann es mit konkreten Inhalte weitergehen: Threat-Modelling nach dem STRIDE Model oder Secure Coding mit PHP, mit .NET, mit Java, etc. Solche Kurse können durch interne Spezialisten oder online mit individuellen LABs angeboten werden.
Amadeus gewinnt einen Security Awareness Award für eine herausragende Kampagne zur Cyber Security und Mitarbeiter-Sensibilisierung
Lanxess gewinnt den Digital Leader Award 2020 mit der HvS Security Awareness Kampagne
Warum Security Schulungen gerade bei der Zielgruppe Admins und Entwickler so wichtig sind.
So schafft es Security vom Backlog in den Entwicklungsalltag.