Security Awareness Training = Unangreifbare Mitarbeiter

Möchten Sie ihr Unternehmen und Ihre Mitarbeiter sicher durch Internet und Cyberspace navigieren?

Die Chancen der digitalen Welt nutzen und zeitgleich Ihre Risiken minimieren?

Wenn Sie eine gute Security Awareness haben – bzw. entsprechend trainiert sind – sieht das gut aus.

Und wenn nicht? Schauen wir uns die Zahlen an:

0 €

Ø Schaden bei Unternehmen mit weniger als 250 Mitarbeitern im Jahr 2019

0 €

Ø Schaden bei Unternehmen mit mehr als 1.000 Mitarbeitern im Jahr 2019

0 %

Der Unternehmen wissen nicht einmal, ob sie angegriffen wurden.

0 €

Ø Schaden bei Unternehmen mit weniger als 1.000.000.000 € Umsatz im Jahr 2019

0 €

Ø Schaden bei Unternehmen mit mehr als 1.000.000.000 € Umsatz im Jahr 2019

Nur 0 %

Haben im ganzen Jahr 2019 keinen Cyberangriff erlebt

*Quellen: Hiscox Cyber Readiness Report 2020 und Radware Global Application and Network Security Report 2019-2020.

Security Awareness ist für alle Onlineaktivitäten unerlässlich. Ohne Sie wird aus Internetsessions eine Motorradfahrt auf der Überholspur. Ohne Helm.

Doch was ist Security Awareness überhaupt? Wie trainiert man diese? Und worauf sollte man insgesamt im Cyberspace achten? Diese uns viele weitere Fragen beantworte ich nachfolgend.

Was Sie auf dieser Seite lernen:

Was sind Security Awareness und Security Awareness Training? (Definitionen, Einordnungen, Beschreibungen und Abgrenzungen etc.)
Welche Vorteile bringt Security Awareness?
Wie Security Awareness Trainings / Schulungen richtig eingesetzt werden und welche Inhalte dabei auf keinen Fall fehlen dürfen.
Wie ich meine Security Awareness Schulungen aufbaue und warum.
Best Practises inklusive einer kostenlosen Präsentation mit spezifischen Tipps für ausgewählte, gefährdete Branchen.
Was Sie jetzt tun sollten. (Inklusive mehrerer kostenloser Poster zum sofortigen Einsatz und der direkten Verbesserung der Security Awareness)

Nachdem wir das also geklärt haben, führt es uns direkt zur grundlegenden ersten Frage:

Was sind Security Awareness und Security Awareness Training?

Stellen wir direkt zu Beginn die beiden Schlüsselelemente der menschenbasierten Onlinesicherheit gegenüber um ein besseres Verständnis von Ihnen zu erhalten:

Security Awareness

Was ist Security Awareness?

Security Awareness ist der Schutz gegen den Angriffsvektor Social Engineering. Also der Schutz vor gezielten, geplanten und systematisch realisierten sozialen Manipulationen mit dem Ziel Schaden zu verursachen.

Die Art des verursachten Schadens ist dabei egal:

Er kann physischer Natur sein, indem zum Beispiel sensible Hardware zerstört wird.
Ein Angriff gegen die eigene Reputation durch Identitätsdiebstahl.
Der Verlust kritischer Daten.
...

Am einfachsten lässt sich die Fragem was Security Awareness ist, in der direkten Gegenüberstellung von IT Sicherheit und Security Awareness beantworten:

Während IT Sicherheit also vor allem auf die Härtung, also die Sicherung von Systemen wie Computern abzielt, geht es bei Security Awareness um die "Sicherung des Denkens im Cyberraum".

Wie übersetzt man Security Awareness auf Deutsch?

Security Awareness ist etwas klotzig im Deutschen benutzbar, daher ergibt eine näherungsweise Übersetzung Sinn.

Am einfachsten übersetzt man Sie direkt, als "Sicherheitsbewusstsein". Also die bewusste Auseinandersetzung mit virtuellen Angriffs- und Verteidigungsmöglichkeiten. Und der entsprechenden Abstimmung der eigenen (täglichen) Handlungen auf diese Möglichkeiten.

Wie kann man Security Awareness definieren?

Etwas zu bennenen und umschreiben ist eine Sache. Es wirklich wasserdicht zu definieren um es zu verstehen, eine andere.

Eine Security Awareness Definition die ich gleichsam praktisch und nützlich finde, ist diese:

Anwender-Sensibilisierung für Gefahrenpotentiale im Cyberraum abseits vom Technikfokus, um Angreifer-Zugriffe zu erschweren.

Warum genau diese Definition von Security Awareness? Weil sie alle vier relevanten Komponenten enthält:

Anwender-Sensibilisierung: Es geht nicht darum Unbeteiligte zu informieren. Sondern darum, tatsächlich möglichen Zielen eine realistische Auffassung zu ermöglichen.
Gefahrenpotentiale im Cyberraum: Klar definiert was und wo.
Abseits von Technik: Klar unterschieden, dass es hier nicht um Protokolle und Netze geht.
Um Angreifer-Zugriffe zu erschweren: Klar definiertes Ziel.

Gibt es sonst noch wichtiges zur Security Awareness zu wissen?

In Security Awareness geschulte Mitarbeiter / Personen werden manchmal auch als "Human Firewall", als "menschlicher Schutzschild im Cyberraum / gegen Cyberangriffe" bezeichnet.

Security Awareness Training

Was ist Security Awareness Training?

Die konstante Schärfung des eigenen Sicherheitsbewusstseins im digitalen Raum.

Security Awareness Training lässt sich auch in einer simplen Gleichung zusammenfassen:

Security Awareness + Gewohnheit + kontinuierliche Verbesserung = Security Awareness Training.

Das Verbrechen schläft nicht wie es so schön heißt. Deshalb darf auch die Verteidigung niemals nachlassen.

Oder anders ausgedrückt:

Erst wenn Sicherheit zum Alltag wird, werden erfolgreiche Angriffe zum Unding.

Es ist ähnlich wie beim Tennis: Wenn ich nicht ununterbrochen weiter an meinen Fähigkeiten feile und diese trainiere, überholt mich die Konkurrenz. Nur das wenn ich Tennis verlernt habe, keine Millionen- oder Milliardenbeträge auf dem Spiel stehen. (Es sei denn ich bin Profispieler)

Am besten funktioniert Security Awareness Training nach dem Kaizen-ähnlichen Lean-Startup-Ansatz:

Was bedeutet Security Awareness Training auf Deutsch?

Nahezu 1:1 ins deutsche übersetzt bedeutet Security Awareness Training ungefähr soviel wie "Sicherheitsbewusstseins-Übung".

Gibt es eine griffige Security Awareness Training's - Definition?

Gibt es, ich nutze gern diese:

Regelmäßige und kontinuierliche Übung und Verbesserung von Maßnahmen und Denkweisen zur Stärkung des eigenen und kollektiven Sicherheitsbewusstseins.

Ich mag diese Definition, da sie auf alle relevanten Punkte eingeht:

Regelmäßig und kontinuierlich: Klar definierte Umfänge.
Übung und Verbesseung: Die Angriffe werden stets raffinierter, daher muss dies auch für die Verteidigung gelten. Stillstand ist hier, mehr noch als sonstwo im Cyberraum, Rückschritt.
Maßnahmen und Denkweisen: Security Awareness ist vor allem Kopfsache. Sowohl in Bewertung als auch Anwendung.
Stärkung des eigenen und kollektiven Sicherheitsbewusstseins: Es geht hier nicht nur um den Einzelnen Mitarbeiter, sondern um die Gesamtheit der gesamten Firma. Eine Kette ist nur so stark wie ihr schwächstes Glied.

Gibt es sonst noch wichtiges rund ums Security Awareness Training zu wissen?

Vor allem Eines: Security Awareness ist NICHT der Ausbau und Einsatz technischer Hilfsmittel und Werkzeuge um Systeme zu härten.

Security Awareness dreht sich um den Menschen und um dessen Kopf. Nicht um Computer und Netzwerke.

Nicht ausschließlich aber im Schwerpunkt.

Warum braucht man Security Awareness Training?

Security Awareness Training ist so etwas wie der Führerschein für den Straßenverkehr. Grundlegende Verhaltensweisen um sich im digitalen Raum sicher zu bewegen.

Und genau so wie es unverantwortlich wäre, Menschen ohne entsprechendes Wissen in einen Wagen steigen und fahren zu lassen, ist es fahrlässig, sich nicht zu den Gefahren und Risiken im Cyberraum auszubilden.

Was zu ganz konkreten, handfesten Argumenten für Security Awareness Training führt:

Die Vorteile von Security Awareness auf einen Blick

Richtig konzipiertes, vermitteltes und angewandtes Security Awareness Training macht

das Unternehmen nach innen und außen sicherer.
jeden Mitarbeiter zu einer eigenen digitalen Sicherheitskraft und „virtuellen Türsteher“.
Partnerunternehmen sicherer, da auch dort auf potenzielle Schwachstellen geachtet und auf diese hingewiesen wird.

Es kann

in seiner erfolgreichen Umsetzung gemessen werden.
die Lebensqualität aller geschulten Mitarbeiter erhöhen, da sich auch (negative) Gewohnheiten außerhalb der Digitalsicherheit so leicht verbessern lassen.
mit den richtigen mentalen Modellen und kognitiven Blickwinkeln, sogar zur Innovation außerhalb der Sicherheitsabteilung führen.

Uvm.

Das soll als kleine Übersicht zu den Vorteilen von Security Awareness Training erstmal ausreichen.

Nachdem wir nun das „Warum“ ausreichend beleuchtet haben, kommen wir zum „Wie“:

Wie setzt man Security Awareness Training richtig ein?

Die Krux bei Security Awareness – bei dem Bewusstsein für digitale Sicherheit liegt in drei Punkten:

Digital: Wie schafft man ein Bewusstsein für etwas, dass man weder anfassen, noch sehen kann – für Information und Daten?
Sicherheit: Datenbanken sind keine Geldbörsen. Wie bekommt man ein Gefühl dafür, wann etwas sicher und unsicher ist?
Bewusstsein: Der wahrscheinlich schwierigste Part – wie schafft man eine so gefestigte und gewohnheitsmäßige Auseinandersetzung mit einem Thema, dass es unterbewusst und automatisch geschieht?

Oder, anders formuliert:

Wie macht man digitale Sicherheit zum Reflex?

Schauen wir uns die Antwort darauf systematisch an:

Welches Wissen sollte bei einem Security Awareness Training vermittelt werden?

Die Frage nach einem Sicherheitsbewusstsein setzt noch einen großen Schritt weiter vorn an. Nämlich dabei, wie man irgendetwas zu einer Routine, einer in der Tiefe verinnerlichten Gewohnheit macht. Zu einem Teil seiner selbst.

Und wenn diese Antwort leicht wäre, gäbe es wahrscheinlich ausschließlich Millionäre mit Sixpacks auf der Welt.

Deswegen sind, egal welche Inhalte themenspezifisch auch vermittelt werden, Handlungsautomatismen automatisch auf Platz 1 eines richtigen Security Awareness Trainings.

Ich gehe sogar noch weiter:

Meiner Erfahrung und Auffassung nach, sind spezifische Regeln und Fokuspunkte für Cybersicherheit nur die Spitze des Eisbergs, die Kirsche auf der Torte.

Denn der Cyberraum und digitale Technologie verändern sich im Stundentakt.

Die grundlegenden Prinzipien hingegen nicht. Es ist egal, ob ich ein Haus aus Stein, Stahl oder Holz baue. Wenn ich nicht mit dem Fundament zuerst beginne, bricht es mir so oder so zusammen. Und genau so verhält es sich auch in diesem Fall.

Wenn das Ziel also eine universelle und zeitlose Security Awareness ist, sollte der Aufbau des entsprechenden Trainings so aussehen: (Dementsprechend baue ich meine Security Awareness Trainings auch immer auf)

Aufbau und Inhalte meiner Security Awareness Schulung

Fakten: Welche Schäden werden in welcher Branche durch welche Angriffe in welcher Zeit verursacht?
Live-Test: Ich zeige live am Bildschirm, welche Daten ich in weniger als 10 Minuten über Ihre Firma und Ihre Mitarbeiter herausfinde und welche Angriffsszenarien ich daraus erstellen kann. (Inklusive der Tools, die ich dafür verwende. Welche ausschließlich legal, kostenlos und jederzeit von jedem einsetzbar sind)
Die 35 wichtigsten, spezifischen Verteidigungsstrategien im Netz. (Jede hilft in einer oder mehreren speziellen Situationen, Zum Beispiel beim Passwortschutz oder dem Verlust eines Geräts)
Die 4 wichtigsten, generellen Verteidigungsstrategien gegen Cyberattacken. (Diese helfen universell und zeitlos und machen die spezifischen Strategien wasserdicht)
Grundlagen und Umsetzung effektiver Gewohnheits-Änderungen. (Inklusive Jederzeit sofort anwendbarem "Cheat-Sheet")
Konkrete Anwendungen, Vorstellung, Live-Einsatz und Konfigurationshinweise unknackbarer Tools / von Geheimdiensten und Spionen empfohlene Tools. (Wie z.B. KeePass oder VeraCrypt)
Leitregeln und Strategien zur Erhöhung der generellen Online-Sicherheit wie zur Erstellung unknackbarer Passwörter, Empfehlungen von gezielter Software
Erklärung von wichtigem Grundlagenwissen rund um Netzwerke und Systeme. (Wie z.B. der Funktionsweise von HTTPS / SSL Zertifikaten)
Erklärung von Strategien unangreifer Unternehmen wie Google. (Inklusive Hinweise zu deren konkreten Tools)
Kurze Übersicht über die Funktionsweise und den Aufbau des Internets. (Inklusive Deep Web und Dark Web und den verschiedenen Märkten wie Graumarkt oder Schwarzmarkt)
Eine Übersicht der besten Weiterbildungsquellen und Experten zu den jeweiligen Themen.
Eine Übersicht welche Tools Edward Snowden empfiehlt um sicher durchs Netz zu kommen.
Konkrete mentale Modelle, also geistige Blickwinkel um Probleme aus anderen Perspektiven betrachten und lösen zu können, Erläuterung von Schlüsselbegriffen uvm.

Zusätzlich behandle ich das wichtigste Dokument der Cybersecurity-Branche: Das „Framework for Improving Critical Infrastructure Cybersecurity“ des amerikanischen National Institute of Standard and Technology (NIST)

Ich bin der felsenfesten Überzeugung, dass all diese Inhalte notwendig sind, um ein wirklich nachhaltiges, langfristiges und stetig selbstverbesserndes Sicherheitsbewusstsein zu kreieren.

Bei jedem Einzelnen Mitarbeiter. Genau so wie in der jeweiligen Abteilung und der gesamten Firma.

Umfassende Security Awareness ist weniger Schulungsinhalt als vielmehr eine Frage der Firmenkultur.

Mein Security Awareness Training’s Ansatz

In meiner Security Awareness Schulung habe ich einen sehr menschenzentrierten Ansatz, welcher sich vor allem auf Erkenntnisse der Neurobiologie und Psychologie stützt. Dieser folgt einer zentralen Prämisse:

Die Verteidigung gegen Angriffe auf Menschen muss den Menschen im Mittelpunkt haben.

Klingt so logisch, dass es beinahe trivial wirkt. Doch Alltag ist leider oftmals eine Cybersicherheit, die sich nahezu ausschließlich auf Technologie und Hardware richtet.

Doch was bringen mir die dicksten Festungswälle und der tiefste Burggraben, wenn der Koch oder der Torewächter den Feind hineinbitten?

Deshalb fokussiere ich mich zunächst auf den gleichen Stand aller Mitarbeiter bei den Themen

Gefahrenlage
Angriffs-Szenarien
Begriffsklärung
Priorität der Thematik.

Nachdem ich mit diesen Fundamenten fertig bin, gebe ich Inputs zu Psychologie, Evolutionsbiologie und Gewohnheiten um aus dem Gelernten nahtlos Routine zu machen.

Der Fokus meiner Trainings ist die langfristige Anwendung nach minimalem Input.

Zum Schluss, nachdem ich aus Gefahrenbewusstsein Sicherheitsbewusstsein und aus diesem eine Gewohnheit gemacht habe, zeige ich sofort anwendbare Programme und Software.

Diese ist frei verfügbar und zählt zur besten, die aktuell am Markt ist.

Allen voran arbeite ich dabei mit

Veracrypt und
Keepass.

Abgerundet wird das Ganze zum Schluss mit einem Ausblick auf die Zukunft der Cybersecurity. Also vor allem künstlicher Intelligenz und der Bedeutung der immer stärkeren Individualisierung von allem für Cyberkriminelle.

Wenn ich diese in Ihr Unternehmen bringen soll, vereinbaren Sie gern ein kostenloses Erstgespräch mit mir zum Thema.

Hier geht's zum kostenlosen Erstgespräch zu Ihrem Security Awareness Training

Nachdem wir das „Was“ grundlegend geklärt haben, kommen wir jetzt zum „Wie“. Der konkreten Anwendung bzw. hinfreichen Hinweisen zur erfolgreichen Umsetzung.

Best Practises der Security Awareness

Angriffe auf Menschen und von dort aus auf Systeme aus dem Digitalraum geschehen mit der Entwicklungsgeschwindigkeit digitaler Lösungen.

Es ist abseits von grundlegenden Prinzipien, mentalen Modellen und einem praktischen Verständnis der Evolutionsbiologie also unmöglich, zeitlose Tipps zum Schutz zu geben.

Da ich diesen Job aber mache, um so viele Unternehmen wie möglich zu härten, habe ich wirkungsvolle Tipps für verschiedene Branchen zusammengefasst:

Kurzanleitung für ausgewählte, gefährdete Bereiche

Da ich in meinen Schulungen und Trainings zur Security Awareness immer wieder einige Schlüsselbranchen sehe, habe ich in einer kleinen Präsentation meine Tipps für diese Branchen zusammengefasst.

Sie können sich diese kostenlos und direkt als .ppt oder auch in .PDF-Form herunterladen.

Konkret gehe ich auf folgende Bereiche und Wirtschaftszweige ein:

Hotelpersonal
Gesundheitswesen
Regierung
Fluggesellschaften
Führungskräfte
Kleine Geschäfte
Angestellte

Hier geht’s zu den kostenfreien Downloads:

Hier geht's zum kostenlosen Erstgespräch zu Ihrem Security Awareness Training

Was Sie jetzt tun sollten:

Wenn Sie bis hierhin gekommen sind, haben Sie sehr wahrscheinlich schon einige Ideen für die nächsten Schritte mitgenommen.

Sollten Sie jetzt allerdings sagen „Wir haben eine globale Pandemie, da werden weder Angreifer noch ich die Cyberaktivitäten in den Fokus rücken“ – muss ich Sie korrigieren.

Tatsächlich ist das Gegenteil der Fall. Warum?

Weil sich die Zahl potenzieller, lohnenswerter Opfer gerade in Krisen multipliziert. Der Teich wird für Angreifer also größer und damit lohnenswerter. Das folgt einer einfachen Schrittfolge:

Spätestens seit 2007, also dem verstärkten Auftreten von Smartphones, ziehen Krisen meist verstärkte digitale Aktionen nach sich. Digitale Lösungen, welche sich in normalen Zeiten wahrscheinlich nicht rentieren, werden in Krisen plötzlich ungleich interessanter. Denn je automatisierter und skalierbarer eine Lösung, desto zukunftssicherer ist sie.

Denn umso weniger Variablen wie Filialen, Grundstücke oder Mitarbeiter brauche ich für den gleichen oder höheren Output.

Soweit, so nachvollziehbar.

Auf Krise folgt also Innovation / Digitalisierung, um so die Krisenauswirkungen abzufedern bzw. krisensicher zu sein.

Das Problem ist jetzt aber: Je mehr Unternehmen immer digitaler werden, desto lukrativer werden digitale Angriffe. Denn Angreifer können jetzt mit dem gleichen Aufwand mehr Ziele erreichen.

Und der Mensch ist dabei das leichteste, denn dieser ist aus dem ständigen Update-Zyklus weitestgehend ausgeschlossen.

Heißt in kurz: digitale Transformation führt einerseits zu einer langen Liste von Vorteilen. Sie kann aber auch zu gravierenden Risiken führen, wenn die Sicherheit Ihrer Umsetzung nicht von Sekunde Eins an bedacht und eingebaut wurde.

Was also tun?

Entgegen der meisten Empfehlungen, vor allem von Softwareanbietern, rate ich nicht zum reflexartigen Neukauf von ebendieser Software und der Schulung daran.

Sondern zur „Härtung“ der eigenen Mitarbeiter.