Studytube Blog

Cyber Security Training – sicher gegen Hacker und Co.

Geschrieben von Alexander Esser | Januar 2023

Cyberkriminalität – also kriminelle Handlungen im Internet – werden in der heutigen Zeit nicht nur mehr, sondern auch immer raffinierter. Die aktuellen Zahlen sind alarmierend: 2021 verzeichnete die deutsche Polizei fast 300.000 Straftaten mit dem Tatmittel Internet und über 17 Millionen Opfer von Cybercrime. Neben dem klassischen Kreditkartenbetrug, Datendiebstahl und Kundenkonten-Hacks sind es vor allem Angriffe mit Schadprogrammen, sogenannter Malware, die Menschen wie Unternehmen Probleme bereiten.

Was ist ein Cyber Security Training?

Aufgrund der Komplexität, die durch die Vielzahl von Endgeräten und deren Vernetzung entsteht, ist es mit der Einstellung eines Cyber-Security-Spezialisten im Unternehmen aber nicht getan. Da in den meisten Firmen ein Großteil der Belegschaft das Internet tagtäglich nutzt, muss jeder und jede wissen, worauf in Sachen Cyberkriminalität im Alltag zu achten ist, um die digitalen Assets eines Unternehmens langfristig zu schützen.

Daher führt an speziellen Cyber Security Trainings kaum mehr ein Weg vorbei. Dabei erhalten die Mitarbeitenden Informationen über die Gefahren, die von Cyber-Attacken ausgehen. Sie werden in sicheren Verhaltensweisen geschult und darauf aufmerksam gemacht, welche Aktivitäten es zu vermeiden gilt.

Welche Inhalte werden in einem Cyber Security Training vermittelt?

Im allgemeinen Teil von Cyber Security Schulungen erfahren die Teilnehmenden – meist anhand von Praxisbeispielen für sicherheitsrelevante Vorfälle und deren Auswirkungen –, welche Möglichkeiten Cyberkriminelle heute haben und auch nutzen. Zudem empfiehlt es sich, einen Blick auf die geltenden Gesetzeslage und die unternehmensinternen Richtlinien im Bereich Cyber Security zu werfen. Ziel ist, dass sich am Ende alle Teilnehmenden ein gutes Bild von den Risiken machen können, denen sich ihr Unternehmen in Sachen IT- und Informationssicherheit heutzutage stellen muss.

Konkreter wird es dann mit Themen wie gängiger Schadsoftware. Dazu zählen zum Beispiel Viren, Würmer und Trojaner. Die Teilnehmenden sollten lernen, woran man Schadsoftware erkennen kann und wie sie sich vermeiden lässt. Außerdem sollte der Bereich Social Media behandelt werden, vor allem die Frage, wie mit Informationen auf sozialen Medien umzugehen ist – und zwar nicht nur in der Informationsbeschaffung, sondern auch deren Herausgabe.

Das nächste große Thema im Bereich Cyber Security ist E-Mail. Dabei geht es um ganz alltägliche Fragen, die sich alle Nutzerinnen und Nutzer stellen sollten, zum Beispiel:

  • Was ist Spam und wie lässt er sich vermeiden?
  • Welche Programme unterstützen dabei?
  • Wie erkennt man Phishing-Mails?
  • Was ist Social Engineering und Spear-Phishing und warum ist es so gefährlich?
  • Welche Anhänge, Links und Dateien darf man öffnen, welche nicht?
  • Welche Informationen und Daten sollten nicht per E-Mail verschickt werden?

Auch das Passwortmanagement sollte ein wesentlicher Bestandteil eines Cyber Security Trainings sein. Die Teilnehmenden sollten nicht nur erfahren, wie dieser Bereich im Unternehmen gehandhabt wird, sondern auch, welchen Beitrag sie zum Schutz der Daten leisten können, indem sie sich regelmäßig für neue, sichere Passwörter entscheiden und diese angemessen schützen.

Neben all den „digitalen“ Inhalten, sollte auch die Hardware nicht außenvorgelassen werden, und damit Fragen wie:

  • Was kann ein USB-Stick anrichten?
  • Wie geht man generell mit externen Datenträgern um?
  • Was ist bei der Nutzung mobiler Geräte wie Handys und Tablets zu beachten?
  • Wie sicher ist die Cloud? Was wird dort wie und von wem gespeichert?
  • Welche Gefahren birgt die private Nutzung beruflicher Endgeräte?

Eine gute Methode, um Menschen für digitale Gefahren zu sensibilisieren, ist das Live-Hacking. Dabei wird live und vor Ort demonstriert, wie einfach oder schwierig Hacker in Systeme und Netzwerke eindringen können.

Neben diesen Grundlagenthemen könnten für bestimmte Zielgruppen im Unternehmen weitere Inhalte relevant sein. Je nach Aufgabenbereich, IT-Wissen sowie Nutzung empfehlen sich eventuell mehrere Trainings, die unterschiedlich weit in die Tiefe gehen.

Bedeutung von Cyber Security Training für Unternehmen

Laut dem Allianz Risk Barometer 2022 stehen Cyberattacken auf Platz 1 der Risiken für Unternehmen, gefolgt von Unternehmensunterbrechungen, die wiederum in vielen Fällen mit Cyberangriffen in Zusammenhang stehen. Umfrageergebnisse wie dieses zeigen, wie bedeutend das Thema weltweit ist. Umso wichtiger ist es, sich als Unternehmen vor Cyberkriminalität zu schützen.

Neben entsprechendem technischen Know-how ist das Bewusstsein der Mitarbeitenden ein wesentlicher Faktor. Denn in vielen Fällen sind es unvorsichtige Mitarbeitende, die den Tätern und Tätergruppen Tür und Tor öffnen: ob via E-Mail, Social Media oder Websites. Die Kosten pro erfolgreichem Cyber-Angriff lagen 2021 in Deutschland bei rund 18.700 Euro – wenn man bedenkt, dass für einen Schaden in dieser Höhe oft schon ein Klick reicht, wird klar, warum Cyber Security Trainings in jedem Unternehmen stattfinden sollten.

Digitale Durchführung von Cyber Security Training in Unternehmen

Die Herausforderung bei Cyber Security Trainings liegt nicht nur darin, dass sie eine große Zahl von Mitarbeitenden erreichen sollten, sondern auch darin, dass sich das Internet und alles, was dazugehört, rasant weiterentwickelt. Mit einer einzelnen Schulung ist es daher in der Regel nicht getan. Aus diesem Grund empfehlen sich digitale Trainings wie E-Learning-Kurse oder Webinare.

Sie bieten den Vorteil, dass:

  • man mit digitalen Inhalten viele Mitarbeitende auf einmal erreichen kann
  • digitale Inhalte zeitlich und örtlich unabhängig abgerufen werden können.
  • sie mit wenig Aufwand regelmäßig aktualisiert werden können.
  • sie alle Mitarbeitende individuell und flexibel in ihren Arbeitsalltag integrieren können.

Außerdem ermöglichen digitale Tools wie Studytube:

  • die Überprüfung des Lernfortschritts aller Teilnehmenden
  • die Optimierung der Trainings basierend auf Testergebnissen und Feedback
  • die (automatisierte) Kommunikation mit den Teilnehmenden über wichtige Aktualisierungen der Inhalte
  • individuelle Lernpfade je nach benötigtem Schulungsgrad der Mitarbeitenden

Fazit

Cyber Security ist ein Thema, an dem in Zeiten der Digitalisierung und des Internets der Dinge kaum ein Unternehmen vorbeikommt. Da das unbedachte Verhalten von Mitarbeitenden in Sachen Sicherheit mitunter das größte Risiko darstellt, sollte jeder und jede im Unternehmen wissen, wie wichtige digitale Assets wie Kunden- und Unternehmensdaten geschützt werden können. Digitale Systeme wie Studytube liefern die optimalem Voraussetzungen für regelmäßige aktuelle Trainings, um sicherzugehen, dass die Mitarbeitenden das notwendige theoretische Wissen haben und dieses in ihrem Alltag auch anwenden können.

Glossar

Social Engineering = Ausnutzen menschlicher Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität, um Personen geschickt zu manipulieren

Spoofing = Form des Social Engineering, bei dem in Computernetzwerken die eigene Identität verschleiert wird, zum Beispiel in Form einer seriös aussehenden, aber gefälschten E-Mail-Nachricht

Phishing = Spoofing im großen Stil, wobei sich Täter über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner ausgeben, um an persönliche Daten zu gelangen oder jemanden zur Ausführung einer schädlichen Aktion wie der Installation einer Schadsoftware zu bewegen

Honeypot = Computersysteme, die Angreifer gezielt anlocken, um deren Methoden zu untersuchen oder von wichtigeren Systemen und Daten abzulenken