Neben technischen Sicherheitslücken ist der menschliche Faktor eine zentrale Schwachstelle in der Cyberabwehr. Ob ein Angriff erfolgreich ist oder nicht, hängt maßgeblich vom Verhalten der Mitarbeitenden ab. Trotzdem sind Beschäftigte oft noch unzureichend vorbereitet oder unterschätzen, wie sich ihre Handlungen auf die IT-Sicherheit auswirken können, sagt Robert Lohmann, Produktmanager beim Lerntechnologieanbieter Scheer IMC. Sicherheitstrainings werden ihm zufolge häufig als zusätzliche Belastung empfunden, besonders wenn sie zeitaufwendig oder unattraktiv gestaltet sind. Gamification-Techniken und flexible E-Learning-Kurse können Schulungen interessanter machen und die langfristige Wissensaufnahme fördern.

Awareness schaffen und hochhalten

Ein fundiertes Verständnis über Methoden und Ziele von Cyberkriminellen helfe, Angriffe rechtzeitig zu erkennen und abzuwehren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont in diesem Zusammenhang die Bedeutung von Sensibilisierung: „Im alltäglichen Umgang mit IT-Systemen ist Awareness eine elementare Sicherheitsmaßnahme. Das bedeutet zunächst, dass ein Problembewusstsein für Cyber-Sicherheit geschaffen werden muss. Darauf aufbauend kann man eine Verhaltensänderung hin zu sicherem digitalem Umgang erreichen“, heißt es auf der BSI-Webseite. 

In dem spielerisch gestalteten E-Learning interaktiven Lernformat „Cyber Crime Time“ , das wie ein Computerspiel aufgebaut ist, übernehmen Lernende unterschiedliche Rollen, wie die eines Hackers. „So erfahren Mitarbeitende auf spielerische Weise, wie gängige Cyberangriffe funktionieren und wie sie sich im Arbeitsalltag davor schützen können“, erläutert Lohmann, , der das Training mitentwickelt hat. „Awareness ist etwas, das man dauerhaft hochhalten müssen, nichts, was einmal erreicht wird und dann einfach bleibt“, so Lohmann weiter. Regelmäßige Awareness-Trainings würden zudem sicherstellen, dass aktuelle Bedrohungen bekannt sind und die richtigen Maßnahmen ergriffen werden können: „Sie fördern die Sicherheitskultur im Unternehmen und helfen Beschäftigten, Verantwortung für die IT-Sicherheit zu übernehmen und verdächtige Aktivitäten zu melden.“

Sensibilisierung für Cyberbedrohungen wirkt

Die Wirksamkeit von Awareness-Trainings belegt Lohmann zufolge eine umfassende Untersuchung des Anbieters KnowBe4. Das Unternehmen analysierte Daten aus mehr als 55.000 Organisationen weltweit und führte rund 54 Millionen Phishing-Tests durch. Dabei zeigte sich: Ohne vorherige Schulungen klickte rund ein Drittel der Mitarbeitenden auf betrügerische Links oder folgte dubiosen Anweisungen. 

Nach gezielten Sicherheitstrainings, kombiniert mit simulierten Phishing-Angriffen, sank die Fehlerquote bereits nach drei Monaten auf 18 Prozent. Nach einem Jahr lag sie sogar unter fünf Prozent. Dass Gamification-Techniken die Aufmerksamkeit und das Engagement von Mitarbeitenden in Sicherheitsschulungen erheblich verbessert, zeigt auch eine aktuelle Studie von Keepnet: Laut den Studienautoren steigert sich die Mitarbeiterbeteiligung um 60 Prozent, was zu einer stärkeren Verankerung von Sicherheitspraktiken führt.

Faktor Mensch verantwortlich für eine Vielzahl von Angriffen und Schadensereignissen

Die Deutsche Energie-Agentur Dena hat unter der Mitwirkung des Fraunhofer Instituts die finanziellen Auswirkungen von IT-Sicherheitsmaßnahmen und die damit verbundenen Investitionseffekte ermittelt. In der Studie „Cyber-Fit: Investitionen in die Cybersicherheit der Stromwirtschaft“ haben die Herausgeber Unternehmen befragt, die unter die NIS-2-Regelungen fallen und mithilfe des Modells für den Return on Security Investment sämtliche Ausgaben herangezogen – von Personal- und Bürokratieausgaben bis hin zu den Kosten für regelmäßige Schulungen. 

Diese Investitionen wurden dann mit dem zu erwartenden abgewehrten Gesamtschaden verrechnet. Es zeigte sich: Für wichtige Einrichtungen lohnen sich Security-Investitionen bereits ab dem ersten Jahr und für besonders wichtige Einrichtungen ab dem zweiten Jahr. Für letztere gelten mit der NIS-2-Richtlinie noch höhere Standards, sodass die Investitionen hier höher sind. „Eine Vielzahl von bekannten Angriffen und Schadensereignissen basieren auf einem initialen Eintritt der Angreifer durch Ausnutzen des ‚Faktors Mensch‘, also dem gezielten Ausnutzen von unachtsamem Handeln der Beschäftigten im Unternehmen“, heißt es außerdem in der Studie. Und weiter: „Effektiv kann dem besonders durch Sensibilisierung und flächendeckende Awareness für das Thema IT-Sicherheit begegnet werden.“ (sg)