Floragasse 7 – 5th floor, 1040 Vienna

Security Awareness

Sollen Ihre MitarbeiterInnen Sicherheitsmaßnahmen blind befolgen oder verstehen? Sollen sie risikobehaftete Situationen eigenständig erkennen können? Dann sind Security-Awareness-Schulungen das Mittel der Wahl, denn MitarbeiterInnen setzen sich üblicherweise nicht täglich mit Sicherheitsrisiken auseinander. Ganz im Gegenteil, Sicherheitsmaßnahmen werden oft als lästig oder hinderlich empfunden. Änderung beginnt im Kopf und genau dort setzt Security Awareness an.

Zusätzlich zu technischen und organisatorischen Sicherheitsmängeln ist der „Faktor Mensch“ eines der größten Sicherheitsrisiken in jedem Unternehmen. Die Sorglosigkeit der MitarbeiterInnen im Umgang mit Computer und Internet, mangelndes Bewusstsein hinsichtlich informationssicherheitsrelevanter Themen sowie die gezielte Ausnutzung der menschlichen Psyche bei Angriffen stellen für jedes Unternehmen ernst zu nehmende Bedrohungen dar.

Dies zeigt sich insbesondere darin, dass ein Großteil der weltweit schwersten und fortgeschrittenen Angriffe auf Social-Engineering-Angriffstechniken wie etwa „Spear Phishing“ zurückgreift. Ohne die gezielte Manipulation von MitarbeiterInnen wären viele der dieser Sicherheitsvorfälle nicht möglich gewesen.

Gut geschulte MitarbeiterInnen hingegen können frühzeitig Angriffsversuche und Verstöße gegen Unternehmensvorgaben erkennen und so neben technischen und organisatorischen Maßnahmen essenziell zum Informationssicherheitsniveau im Unternehmen beitragen. Durch Sicherheitsbewusstsein und die Einhaltung allgemeiner und unternehmensspezifischer Sicherheitsempfehlungen kann der Mensch zu einem der zentralen und stärksten Glieder der „Sicherheitskette“ werden.

Basic-Security-Awareness-Schulung

Die Basic-Security-Awareness-Schulung soll Ihre Mitarbeiterinnen und Mitarbeiter für Informationssicherheitsgefahren im Arbeitsalltag sensibilisieren und ihnen einfache, verständliche Handlungsempfehlungen vermitteln, wie sie diese Gefahren vermeiden oder ihnen entgegenwirken können. Das Ziel ist es, einen Überblick über das Thema Informationssicherheit zu geben und bei MitarbeiterInnen Interesse und Bewusstsein für dieses Thema zu wecken.

Als Zielgruppe werden sowohl das Management als auch EndbenutzerInnen adressiert.

  • Mögliche Themengebiete für EndanwenderInnen sind beispielhaft: (Spear-)Phishing, Ransomware, Social Engineering, Passwortsicherheit, …
  • Mögliche Themen für Mitglieder des Managements: CEO Fraud, Einführung in die Thematik der unternehmerischen Haftungsfrage in Bereich IT-Sicherheit, …

Individuelle Security-Awareness-Schulung

Im Rahmen eines typischen Projektes werden mehrere Security-Awareness-Schulungen vorbereitet und durchgeführt. Als Zielgruppe werden sowohl das Management, IT-Admins, SoftwareentwicklerInnen als auch EndbenutzerInnen adressiert.

Bei der Erstellung der Schulung wird durch SBA Research gezielt auf die zu schulende Gruppe eingegangen. Dies gewährleistet, dass Inhalte zielgruppenspezifisch aufbereitet und kommuniziert werden. Im Gegensatz zur Basic-Security-Awareness-Schulung fließen bei der Anpassung der Inhalte für EndanwenderInnen und Management auch Unternehmensvorgaben und individuelle Bedrohungsszenarien ein.

Der Projektablauf sieht wie folgt aus:

  1. Abstimmung der Schulungsinhalte:
  • In Zusammenarbeit mit Ihnen werden ausgehend von SBA die Schulungsinhalte individuell abgestimmt.
  • Mögliche individuelle Themengebiete für EndanwenderInnen sind beispielhaft: Schulung von IT-Sicherheits-Unternehmensrichtlinien, Maßnahmen gegen Social Engineering, Umgang mit Unternehmens-Hardware, …
  • Mögliche Inhalte für IT-AdministratorInnen sind beispielhaft: IT Security Frameworks und Best Practice Guides (ISO 2700X, CIS CSC, …), Überblick und Diskussion der wichtigsten technischen und organisatorischen Sicherheitsmaßnahmen, …
  • Mögliche Inhalte für SoftwareentwicklerInnen sind beispielhaft: OWASP Top 10, Defense-in-Depth, Complete Mediation, Session Management, …
  • Mögliche Themen für Mitglieder des Managements: Branchenspezifische Anforderungen an IT-Sicherheit, Demonstration individuell erstellter Angriffsszenarien und davon abgeleiteter Handlungs-Empfehlungen, …

2. Erstellung und Anpassung der Schulungsunterlagen

  • Die Schulungsinhalte werden entsprechend angepasst und um einprägsame Alltags- und unternehmensspezifische Beispiele ergänzt.
  • Die Schulungsinhalte werden an die Zielgruppen angepasst.

3. Durchführung der Awareness-Schulungen.

Benefits