Security-Awareness-Training: Sinnvolle Schulung für Angestellte

Moderne, qualitativ anspruchsvolle Anbieter machen Security-Awareness-Training für Mitarbeiter von Unternehmen zu einer wichtigen Präventivmaßnahme.

Security-Awareness-Trainings von Unternehmen für Mitarbeiter wurden lange Zeit als eine Angelegenheit betrachtet, die nur aus Konformitätsgründen durchgeführt werden musste. Die Schulungen selbst hielt man aber nicht für unbedingt wirkungsvoll, um Unternehmensdaten angemessen zu schützen.

Inzwischen gibt es einen großen und wettbewerbsintensiven Markt, auf dem qualitativ anspruchsvolle Anbieter Trainingsprodukte für Security-Awareness anbieten. Experten raten dazu, dass Führungskräfte im Bereich Unternehmens-Security ihre Haltung gegenüber der Aufklärung ihrer Mitarbeiter überdenken sollten.

Das Marktforschungs-Unternehmen Gartner veröffentlichte im Oktober 2014 seinen ersten „Magic Quadrant“ zu Anbietern von Computer-basierten Fortbildungen für Security-Awareness. Der Bericht analysiert das Angebot der 19 größten Dienstleister in diesem Schulungs-Bereich. 

Neben großen US-Unternehmen wie Wombat Security Technologies oder FishNet Security sind auch international tätige Anbieter wie SANS Institute oder SCIPP International. Zudem werden überraschend viele Newcomer unter den Ausbildungsfirmen vorgestellt. Zusammengerechnet erzielen alle im Gartner-Report aufgeführten Anbieter einen Jahresumsatz von rund 650 Millionen US-Dollar.

Laut Andrew Walls, dem Autor und Vizepräsidenten der Gartner-Marktforschung, zeigt die Studie allerdings nicht die Tausende von Nischen-Anbietern für Schulungen. Diese können aber unter den richtigen Umständen ebenso nützlich sein wie die großen Wettbewerber. Ein kleines Trainings-Unternehmen könnte zum Beispiel nur in der Gegend um München arbeiten. Wenn er dort sehr gute Bewertungen von seinen Kunden erhält, sollte eine Münchner Firma prüfen, ob dieser lokale Anbieter ihren Bedürfnissen gerecht wird.

„Die Tatsache, dass der Anbieter außerhalb seines geografischen Bereichs nicht tätig wird, ist dabei für die Qualität der Fortbildung irrelevant“, kommentiert Walls.

Weiterhin merkt er an, dass es global gesehen viele derartige Anbieter gibt, die ausschließlich in einem einzelnen Großraum arbeiten. Das kann zum Beispiel Peking oder London sein. Außerdem gibt es Firmen, die Fortbildungen im Bereich Security-Awareness nur in einer bestimmten Sprache anbieten. 

Das ist in Ländern wie Indien eine weit verbreitete Praxis. Wenn man die großen und kleinen Wettbewerber zusammenzählt, so ergibt sich laut Walls ein Markt, der es bereits auf mehr als eine Milliarde US-Dollar Jahresumsatz bringt. Basierend auf den begrenzten Marktdaten, wird das jährlich zu erwartende Wachstum auf etwa 13 Prozent geschätzt.

Security-Awareness-Fortbildungen verändern sich

Walls stellt fest, dass der Markt für Weiterbildungen im Bereich Security-Awareness wächst. Dieser Trend zeichnet sich trotz des lange gehegten Misstrauens vonseiten vieler Unternehmen ab. Diese waren der Meinung, das Security-Training für Angestellte einfach nicht funktioniert.

Diese Haltung, sagte er, ist weitgehend auf Fehler zurückzuführen, die Unternehmen in der Vergangenheit gemacht haben. Oft wurden interne Security-Teams damit betraut, Ausbildungs-Programme zu entwickeln. Der Input von internen Security-Experten ist laut Walls wichtig für eine hochwertige Weiterbildung. Aber diesen Do-it-Yourself-Trainingsprogrammen fehlt oft die ausschlaggebende Komponente. Das sind Spezialisten für die Entwicklung von Lernmaterial und andere Schulungsexperten.

„Effektive Bildungskonzepte sind keine triviale Angelegenheit. Es ist wichtig, das Ziel-Publikum sehr gut zu kennen und die Wirksamkeit der Fortbildung zu evaluieren“, merkte Walls an. „In der Geschichte der Security-Awareness-Ausbildung wurde das alles von der Branche ignoriert. Keiner kümmerte sich um Effizienz. Die Frage ‚inwieweit ist das nützlich?‘, wurde nicht gestellt“, fügte er an.

„Daraus resultierte die allgemein geläufige Einschätzung, dass Security-Awareness-Training weder Zeit noch Geld wert ist“, bemerkte Walls. „Es ist der klassische Fall, in dem die Schuld den Falschen gegeben wurde ... aber der Fehler liegt bei Ihnen, nicht beim Publikum.“

Security-Awareness-Fortbildungen: Nicht nur aus Konformitätsgründen

Laut Walls entscheiden sich trotz der angesprochenen Bedenken zunehmend mehr Firmen für Security-Awareness-Schulungen. Sie sehen darin die Möglichkeit, eine Vielzahl von Security- und Geschäfts-Problemen anzugehen.

Zum einen hat die zunehmende Verbreitung von BYOD-Programmen (Bring Your Own Device) in Unternehmens-Umgebungen Walls zufolge Veränderungen mit sich gebracht. Viele der bewährten technischen Kontrollmechanismen, die Unternehmen erfolgreich genutzt haben, um Desktops und Notebooks zu sichern, wurden umgangen oder aufgeweicht. Letztendlich war das Einzige, was zwischen einem Angreifer und sensiblen Unternehmensdaten stand, das Wissen eines Mitarbeiters über Best Practices beim Betrieb eines BYOD-Smartphones.

Ein weiterer Faktor ist laut Walls eine scheinbar unablässige Welle von Datenschutz-Verletzungen, von der Firmen aller Größen und Branchen betroffen sind. Unternehmen können so viele Technologien einsetzen, wie sie wollen, um das Datenschutz-Problem in den Griff zu bekommen. Aber wenn weiterhin die Gefahr besteht, dass Arbeitnehmer Phishing-E-Mails öffnen, sind Schulungen unabdingbar.

Walls zufolge machen sich Unternehmen auch um ihre Reputation sorgen, da diese im Falle einer Datensicherheits-Verletzung erheblich leiden könnte. US-Einzelhändler wie Target und Home Depot wurden zum Beispiel wegen erheblicher Datensicherheits-Verletzungen scharf kritisiert. Es kamen Informationen ans Tageslicht: beide Firmen hatten ernsthafte personelle und technische Fehler im Rahmen der jeweiligen Security-Vorkehrungen begangen.

Im Falle eines schwerwiegenden Vorfalls befürchten Unternehmen laut Walls ähnliche Vorwürfe von Kunden und Aktionären, die eine mangelhafte Ausbildung der Mitarbeiter kritisieren könnten.

„Unternehmen wollen darauf hinweisen können, dass ihre Mitarbeiter über das nötige Wissen unterrichtet wurden und die erforderlichen Kenntnisse haben“, sagt Walls.

Wie findet man den geeigneten Anbieter für Security-Awareness-Fortbildungen?

Es gibt tausende Anbieter auf dem Markt für Fortbildungen im Bereich Security-Awareness. Fast 20 davon erscheinen im Magic Quadrant von Gartner. Unternehmen werden sich nun fragen: Welches ist das beste Schulungs-Unternehmen? Obwohl bestimmte Anbieter von Gartner als „führend“ oder „visionär“ gekennzeichnet wurden, betont Walls, dass es im Bereich der Weiterbildung keinen „besten“ Kandidaten gibt. Es gibt nur den Richtigen für eine bestimmte Sachlage.

Walls zufolge müssen Unternehmen verstanden haben, dass es generell notwendig ist, Security-Schulungen auf die entsprechende Zielgruppe abzustimmen. Kundendienstmitarbeiter kommen wahrscheinlich gut damit zurecht, wenn sie zweimal pro Jahr mit computerbasierten Modulen geschult werden. Geschäftsführer und andere leitende Angestellte nehmen Informationen möglicherweise besser durch andere Trainings-Methoden auf.

Das sollte man laut Walls im Kopf behalten, wenn man sich nach einem geeigneten Unternehmen umsieht, um die Wunschthemen abzudecken. Es kann eine bestimmte Branche betreffen oder einfach nur eine Anti-Phishing-Schulung. Beurteilen Sie dann die zur Verfügung stehenden Trainingsmodule. So stellen Sie fest, ob sie mit dem Schulungsbedarf Ihrer Mitarbeiter übereinstimmen.

„Eine sehr interaktive Weiterbildung könnte geeignet sein, oder auch ein Buch, das versendet wird. Aber Unternehmen müssen diese Analyse im Vorfeld durchführen“, räumt Walls ein. Er stellt außerdem fest, dass viele der Firmen, mit denen er gesprochen hat, sich für mehrere Anbieter entschieden haben. 

Damit können sie den unterschiedlichen Bedürfnissen gerecht werden. „Wenn Sie ein multinationales Unternehmen sind, das mit Menschen in Indonesien und New Jersey zu tun hat, dann können Sie kein Schulungs-Konzept anwenden, das für alle identisch ist“, erklärt er.

Neben der Vorabbeurteilung der Anforderungen eines Unternehmens gibt es laut Walls einen anderen wichtigen Faktor, um einen Anbieter für Fortbildungen zu prüfen. Dabei geht es um die Beurteilung des Angebots. Einige Firmen bieten zum Beispiel kurze Trainings-Videos mit einem anschließenden Quiz an. Diese helfen Unternehmen, die Konformitätsvorschriften zu erfüllen. Walls betont allerdings, dass solche Methoden für die Verbesserung der Security in einem Unternehmen nutzlos sind.

Stattdessen sollte ein Unternehmen einen Anbieter ausfindig machen, dessen Service kontinuierliche Bewertungsleistungen umfasst. Walls merkt an, dass in den USA Anti-Phishing-Anbieter wie Wombat, PhishMe und PhishLine in den letzten Jahren sehr beliebt wurden. Das liegt nicht nur daran, das Phishing eine große Bedrohung für die Unternehmens-Sicherheit darstellt. Diese Firmen können beweisen, dass ihr Präventions-Training gegen Phishing tatsächlich funktioniert.

„Sie senden Ihnen eine E-Mail mit einem Link darin. Wenn Sie darauf klicken, haben Sie den Test nicht bestanden und müssen die Schulung wiederholen“, sagte Walls. „Die kontinuierliche Beurteilung der Resonanz ist ein grundlegendes Element ihrer Arbeit.“

Walls sagt, dass er in den kommenden Jahren weitreichende Konsolidierungen unter den größeren Trainings-Anbietern erwartet. Einige größere Anbieter werden an Übernahmen interessiert sein. Damit können sie Trainings-Services im Bereich Security-Awareness in ein größeres Produktangebot integrieren, erklärt er. 

US-Anbieter wie PhishMe und Wombat haben dagegen bereits Partnerschaften mit anderen Security-Unternehmen etabliert. Anti-Phishing-Anbietern wird es wahrscheinlich weniger gut ergehen, fügt er hinzu. Das liegt daran, dass ihre Services nicht mehr einzigartig sind.

Zukünftige Marktkonsolidierungen werden sich laut Walls letztendlich positiv auf die Branche auswirken. Schulungen sollten ein legitimer, unbedingt notwendiger Bestandteil der Unternehmens-Sicherheit werden.

„Wenn Sie Ihre Mitarbeiter nicht zu Ihren Richtlinien schulen, sollten Sie auch nicht erwarten, dass sie ihnen folgen“, sagt Walls. „Security-Awareness-Fortbildungen sollten für Unternehmen zu den grundlegenden Präventivmaßnahmen gehören, ähnlich wie Anti-Malware auf Desktop-Rechnern.“

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Januar 2015 aktualisiert

Erfahren Sie mehr über IT-Sicherheit: Jobs und Training

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close