In Zeiten von Phishing und Co. wird das Thema Security Awareness immer wichtiger. In vielen Unternehmen herrscht jedoch ein Mangel an entsprechenden Schulungen und Fachkräften. Gefordert ist die Geschäftsleitung, die Strategie und Mittel bereitstellen muss.
Die Rolle von Security Awareness (dt.: Sicherheitsbewusstsein) im Kampf gegen Cyberkriminalität ist heute unbestritten. Die Qualität interner Schulungen – falls vorhanden – lässt jedoch in vielen Unternehmen zu wünschen übrig. Zu diesem Schluss kommt der Security Awareness Report 2021 des SANS Institute, das auf Trainings in diesem Bereich spezialisiert ist.
Eine Hürde ist laut der Studie, dass über 75 Prozent aller internen Security Awareness-Spezialisten nur Teilzeit in dieser Funktion tätig sind. Die themenbezogene Tätigkeit nimmt zudem nur gerade mal die Hälfte ihrer Arbeitszeit in Anspruch. Daraus lässt sich schliessen, dass viele Unternehmen die Notwendigkeit entsprechender Schulungen nicht hoch genug einschätzen.
Erschwerend kommt hinzu, dass die mit Schulungen betrauten Personen häufig keine didaktische, sondern eine in erster Linie technische Ausbildung haben. In der Praxis verhindert dies teilweise, dass es ihnen gelingt, ihre Botschaft so zu vermitteln, dass sie bei den Mitarbeitenden auch wirklich ankommt.
Zeit- und Personalmangel als Haupthindernisse
In Fällen, in denen Awareness-Schulungen bei den Mitarbeitenden wirklich zu einem veränderten Verhalten führten, waren gemäss dem SANS-Report mindestens 2,5 Vollzeitstellen notwendig, um das entsprechende Programm zu verwalten. Noch höher – bei 3,5 FTEs – liegt die Zahl bei Programmen, die einen weiterreichenden Einfluss auf die Firmenkultur hatten.
Nicht von ungefähr werden als Haupthindernisse für effektive Awareness-Schulungen der Zeitmangel für die Programm-Verwaltung und der Personalmangel für die Programm-Umsetzung genannt. Eine Schwierigkeit scheint auch zu sein, dass für den Erfolg solcher Programme langfristige Investitionen in Fachkräfte notwendig sind, die darüber hinaus über entsprechende kommunikative Fähigkeiten verfügen sollten.
Virenschutzprogramme bleibt unverzichtbar
Fehlt es unter den Mitarbeitenden am nötigen Sicherheitsbewusstsein, bleiben Virenschutzprogramme im Kampf gegen Cyberangriffe unverzichtbar. Doch auch in Fällen, in denen sich entsprechende Schulungen als effektiv erweisen, bieten bewährte Antiviren-Programme, wie Bitdefender, weiterhin einen Grundschutz gegen Phishing und Malware aller Art – für vergleichsweise wenig Geld.
