Schulung für IT-Sicherheit

Erfahren Sie, wie Sie Ihre Mitarbeiter in Sachen Cybersecurity schulen können, um die Compliance-Vorschriften zu erfüllen.

Rapid7 Managed SOC

Inhaltsübersicht

SecOps-Anbieter-Konsolidierung

Das Argument für die Konsolidierung von Sicherheitsanbietern

EBook herunterladen

Was ist eine Schulung für IT-Sicherheit?

Die Mitarbeiter zählen zur Angriffsfläche eines Unternehmens. Dafür zu sorgen, dass sie das Know-how haben, Bedrohungen von ihrer eigenen Person und der Organisation abzuwehren, bildet einen wichtigen Bestandteil eines soliden Sicherheitsprogramms. Wenn eine Organisation verschiedene Gesetzes- und Branchenvorschriften wie FISMA, PCI, HIPAA oder Sarbanes-Oxley befolgen muss, muss sie den Mitarbeitern eine Schulung für Cybersecurity anbieten, damit diese die gesetzlichen Vorschriften erfüllen können.

Je nach den internen Sicherheitsressourcen und dem Know-how in der Organisation kann es sinnvoll sein, einen Dritten einzubringen, der eine solche Schulung unterstützt. Unabhängig davon, ob externe Unterstützung genutzt wird, sollten die Führungskräfte des Unternehmens verstehen, wie diese Schulung aufgebaut wird, sich engagieren und während des gesamten Prozesses Feedback anbieten.

Arten der Schulung

Jede Organisation setzt eine Schulungsart ein, die zu ihrer Kultur passt. Hier haben Sie eine Vielzahl von Optionen, darunter:

  • Präsenzschulung: Dabei können die Schulungsleiter sehen, wie engagiert die Teilnehmer am Prozess teilhaben und die Schulung entsprechend anpassen. In der Präsenzschulung können die Teilnehmer auch in Echtzeit Fragen stellen.
  • Online-Schulung: Diese Art der Schulung lässt sich größentechnisch viel besser anpassen als Präsenzschulungen und bringt in der Regel eine geringere Unterbrechung der Produktivität der Mitarbeiter am Arbeitsplatz mit sich, da die Teilnehmer den Inhalt von überall aus auf eigene Faust bearbeiten können. Ebenso können die Teilnehmer das Material nach ihrem eigenen Tempo durcharbeiten.
  • Visuelle Hilfsmittel: Poster im Pausenraum können nicht die einzige Quelle zur Schulung des Sicherheitsbewusstseins sein, aber wenn sie effektiv gestaltet sind, können sie als hilfreiche Hinweise dienen.
  • Phishing-Kampagnen: Kaum etwas fesselt die Teilnehmer so sehr wie die Erkenntnis, selbst einem Phishing-Angriff auf den Leim gegangen zu sein. Natürlich sollten die Teilnehmer, die den Phishing-Test nicht bestehen, automatisch für die weiterführende Schulung eingeschrieben werden.

In einigen Fällen empfiehlt sich sogar eine Kombination dieser beiden Optionen. Die Schulung für IT-Sicherheit ist keine einmalige Übung. Ideal sind regelmäßige Schulungen über unterschiedliche Medien, besonders wenn die Organisation einen hohen Personalwechsel verzeichnet.

Security Awareness: zu behandelnde Themen

Auch sollte bei der Festlegung der zu behandelnden Themen das einzigartige Bedrohungsprofil des Unternehmens berücksichtigt werden. Zu den möglichen Themen können u. a. Folgende gehören:

  • Phishing: Die Mitarbeiter sollten darüber informiert werden, wie sie Phishing erkennen und melden können. Auch müssen ihnen die Gefahren der Interaktion mit verdächtigen Links oder der Eingabe von Zugriffsdaten auf einer gefälschten Seite vermittelt werden. Phishing geht weit über die allseits bekannten betrügerischen E-Mail-Nachrichten eines nigerianischen Prinzen hinaus. Ein Überblick sollte Spear-Phishing, suspekte Telefonate, Kontakt von verdächtigen Social-Media-Konten usw. umfassen. Auch hier sind Beispiele von Phishing-Versuchen hilfreich, die in anderen vergleichbaren Organisationen aufgetreten sind.
  • Physische Sicherheit: Die Sicherheitsanforderungen für Räumlichkeiten und das Firmengelände können je nach Organisation und Branche unterschiedlich ausfallen. Da alle Unternehmen bereits über physische Sicherheitsvorschriften verfügen sollten, ist dies eine gute Gelegenheit, sicherzustellen, dass die Mitarbeiter die für sie geltenden Aspekte der Vorschriften verstehen, wie z. B. das Abschließen von Schubladen und die Regeln für den Zutritt von Gästen zu den Büroräumen. Bei der Schulung muss auch besprochen werden, wie Sicherheitsrisiken gemeldet werden können, beispielsweise ein Gast, der das Gebäude ohne Besucherpass betritt oder vertrauliche Daten, die frei zugänglich sind.
  • Desktop-Sicherheit: Erläutern Sie die möglichen Konsequenzen, die entstehen, wenn Computer nicht zur passenden Zeit gesperrt oder heruntergefahren werden oder nicht genehmigte Geräte an Workstations angeschlossen werden.
  • Wireless-Netzwerke: Erklären Sie die Funktion von drahtlosen Netzwerken und die Risiken, die bei der Verbindung mit unbekannten Netzwerken entstehen.
  • Passwortsicherheit: Die Verwendung starker Passwörter und die Aufforderung an die Mitarbeiter, ihre Passwörter regelmäßig zu ändern, sollten bereits gang und gäbe sein. Allerdings ist eine Schulung in Passwortsicherheit wichtig, um die Risiken bei der Wiederverwendung von Passwörtern oder dem Einsatz leicht zu erratender Passwörter zu erläutern, genau wie das Versäumnis, ein Standardpasswort sofort zu ändern. Auch zulässige Passwortverwaltungstools können angesprochen werden.
  • Malware: Bei einer Schulung zu Malware sollten die Arten von Malware definieren und deren Potenzial erklären. Benutzer sollten erfahren, woran sie Malware erkennen und was zu tun ist, wenn sie eine Infizierung ihres Geräts vermuten.

Wirksamkeit des Security Awareness-Trainings messen

Es ist sinnvoll, anhand von vorhandenen Verfahren die Wirksamkeit von Schulungen zu bewerten. Eine Möglichkeit hierfür wäre ein Quiz. Um den Ausgangsstand zu ermitteln, bietet es sich an, noch vor der Schulung einen Quiz durchzuführen, und diesen nach der Schulung zu wiederholen, um Veränderungen erkennen zu können. Sofern regelmäßig Phishing-Tests durchgeführt werden, sollten Organisationen darauf achten, ob sich die Reaktion der Mitarbeiter auf diese Tests nach der Schulung für Sicherheitsbewusstsein verbessert (oder verschlechtert).

Auch wenn es etwas weniger wissenschaftlich sein mag, können Organisationen auch versuchen, die Auswirkungen der Schulung an der Trendentwicklung der Zahl und Art von Sicherheitsvorfällen abzulesen, wenn neue Mitarbeiter und Ressourcen zum Unternehmen hinzustoßen. Es kann auch aufschlussreich sein, vor und nach der Schulung mal durch das Büro zu gehen, um nach frei einsehbaren Passwörtern, unversperrten Computern und potenziellen Sicherheitsrisiken zu sehen, um zu erkennen, ob sich das Verhalten geändert hat.

Aus der Sicht der Teilnehmer

Für das Sicherheitsteam steht die Sicherheit an erster Stelle, aber andere Teams verfolgen andere Ziele. Organisationen sollten dies berücksichtigen. Im Idealfall findet eine rollenspezifische Schulung der Mitarbeiter statt, um sicherzugehen, dass die Schulungsthematik für die jeweilige Person und ihre Aufgaben relevant ist. So können die Mitarbeiter sich auf die für sie wichtigen Dinge konzentrieren und so schnell wie möglich zu ihrer Arbeit zurückkehren. Auf diese Weise wird auch dafür gesorgt, dass besonders risikoreiche Anwender wie Domänenadministratoren adäquat geschult werden, damit die für ihren Aufgabenbereich relevanten Risiken und Bedrohungen erfasst werden.

Wenn Sie die Richtlinien und Best-Practices mit den Mitarbeitern besprechen, achten Sie darauf, in jedem Fall zu erklären, warum die einzelnen Punkte wichtig sind. Die Benutzer beachten die Richtlinien viel eher, wenn sie den vollen Kontext verstehen und die Vorgehensweise als richtig ansehen. So wird das Risiko der Installation von beliebiger Software aus dem Internet sehr viel klarer, wenn die Person versteht, wie schnell gut verschleierte Ransomware alle Dateien auf ihrer Workstation verschlüsseln kann. Abschließend sollten Organisationen darauf achten, einzelne Mitarbeiter nicht bloßzustellen oder sich ihnen gegenüber herablassend zu verhalten, falls diese Mitarbeiter Probleme bei der Schulung haben. Teamleiter tun gut daran, eine vertrauensvolle Atmosphäre zu schaffen, in der alle Fragen und Meldungen von Vorfällen willkommen sind.

Am Ende der Schulung sollten die Benutzer das Gefühl haben, dass sie zum Schutz der Organisation beitragen und mit anderen Teams zusammenarbeiten können, um eine sicherere Umgebung zu schaffen. Damit diese Schulung erfolgreich ist, ist es wichtig, dass die individuellen Bedürfnisse und die Unternehmenskultur allen bekannt sind.

Erfahren Sie mehr über SecOps

Security Operations: Aktuelles aus dem Rapid7 Blog

Verwandte Themen

Security Operations Center (SOC)

SecOps
Lesen

Systemüberwachung und Fehlerbehebung

SecOps
Lesen

Wie Sie ein Cybersecurity-Programm aufsetzen

SecOps
Lesen
Weitere Themen anzeigen Weitere Themen anzeigen