NIS-2 macht Security Awareness zur Pflicht

• Cyberkriminelle nehmen gezielt Mitarbeitende ins Visier, um Netzwerke zu infiltrieren.
• Die NIS-2 zielt auf eine Steigerung der IT-Sicherheit in Unternehmen ab und sieht verpflichtende Sicherheitsschulungen für Unternehmen vor.
• Wie können Personalverantwortliche und Personaldienstleister ihre Mitarbeitenden sensibilisieren? Im Blogbeitrag erklärt Christian Laber, Product Owner des Product Developments der G DATA academy bei der G DATA CyberDefense AG, worauf sie achten müssen.

Die NIS-2-Direktive (NIS steht für Network and Information Security) der EU hat das klare Ziel, die IT-Sicherheit von Unternehmen zu stärken. Allein in Deutschland müssen bis zum geplanten Inkrafttreten des entsprechenden nationalen Gesetzes schätzungsweise 30.000 Unternehmen die NIS-2 umsetzen. Hier kommen neben der IT auch die Personalverantwortlichen ins Spiel, denn die NIS-2 sieht konkrete IT-Sicherheitsmaßnahmen vor, die jedes betroffene Unternehmen besser heute als morgen angehen sollte. Dazu zählen nicht nur technologische Schutzmaßnahmen, sondern auch Security Awareness Trainings.

Mit Gamification zur Human Centered Security

Cyberkriminelle nutzen jede Lücke in der IT-Sicherheit, um Netzwerke von Unternehmen zu kompromittieren. Mit Phishing-Mails und vorgelagertem Social Engineering umgehen sie technische Schutzmechanismen, indem sie die Anwenderinnen und Anwender direkt ins Visier nehmen. Die Erfolgschancen individualisierter Angriffe sind dabei deutlich höher als bei einem Massenangriff. Die Erklärung dafür: Menschliches Verhalten lässt sich auf unterschiedliche externe Trigger zurückführen. Diese lösen verschiedene Reaktionen aus, die Menschen im Laufe der Zeit gelernt haben. Die Kriminellen setzen dabei beispielsweise auf Gier, Neugier, Angst sowie Druck oder Hilfsbereitschaft. Dabei ist ein Punkt von zentraler Bedeutung: Das Opfer trifft keine Schuld! Schließlich ist jeder Mensch fehlbar, und der Klick auf den Link oder den Dateianhang erfolgte ja nicht in böser Absicht. Also stellt sich die Frage, wie Unternehmen sich und ihre Angestellten schützen können. Die Antwort, die auch in der NIS-2 festgeschrieben ist: Betriebe müssen ihre Mitarbeitenden schulen.

Sicherheitsbewusstsein schulen – kurz und nachhaltig

Da diese Trainings alle Angestellten im Unternehmen betreffen, müssen sie idealerweise alle Mitarbeitenden erreichen. Ein Rundbrief an alle Angestellten, der die typischen Anzeichen einer Phishing-Mail aufzählt, sorgt nicht für mehr Sicherheit. Auch Präsenz-Schulungen stoßen schnell an ihre Grenzen. Dabei kann Security Awareness nur gelingen, wenn Schulungen nachhaltig angelegt sind. Eine Forderung, die auch Personalverantwortliche stellen – nicht nur aus wirtschaftlichen Gründen. Aber wie lernen Menschen nachhaltig? Die Antwort lautet: Durch intrinsische Motivation. Das ist ein „Lernzustand“, der durch Anreize, Spaß, Emotionalität und das Vermitteln eines Sinns im Tun, generiert wird. All das gewährleisten beispielsweise spielerische Ansätze wie Serious Games.

Lernen mit Konzept

Hinzu kommt: Personaler fordern kurze Lerneinheiten, denn Lernzeit ist schließlich Arbeitszeit. Ein geeignetes Format sind Web-basierte Trainings (WBTs). Neben der Reichweite ist vor allem die Wiederverwertbarkeit des Formats ein großer Vorteil. Auch dies stellen WBTs sicher, die Teilnehmende zeit- und ortsabhängig absolvieren. Allerdings unterliegt E-Learning einem stetigen Wandel. So gehören Videos und Multiple-Choice-Tests zwar immer noch zum Standardrepertoire vieler E-Learning-Angebote, jedoch hat sich das Lernverhalten in Zeiten einer immer stärker vernetzten, digitalen Welt in den letzten Jahren gewandelt.

Moderne Lernpläne folgen einem klaren Konzept, wie beispielsweise dem Discovery Learning, genauer gesagt dem daran gekoppelten konstruktivistischen Lernen. Diese Idee basiert auf der Theorie des Psychologen Jerome Bruner. Bruners Theorie betont die Wichtigkeit der aktiven Beteiligung der Lernenden am Lernprozess und die Rolle der Struktur und Sequenzierung des Lernmaterials.

Ein klar vorgegebenes Ziel sorgt für eine hohe intrinsische Motivation während des gesamten Trainings. Die Lernenden fokussieren die Inhalte und sind über die Dauer des Trainings hoch motiviert.

– Christian Laber

Vor diesem Hintergrund setzen moderne digitale Trainings verstärkt auf Game-based Learning. Damit lässt sich der Lerntransfer eines Trainings maximieren, indem es den Lernenden durch einen hohen Interaktivitätsgrad aus seiner gelernten passiven Konsumhaltung herausholt. Ebenfalls wird durch die stark bildliche Darstellungsform und einer stringenten Erzählweise, Theorie oder Inhalt an Bilder geknüpft. Ein erzählerischer Rahmen schafft eine dramaturgische Richtung und gleichsam positive Emotionen und motiviert die Lernenden. Ein klar vorgegebenes Ziel sorgt für eine hohe intrinsische Motivation während des gesamten Trainings. Die Lernenden fokussieren die Inhalte und sind über die Dauer des Trainings hoch motiviert.

Fazit: Ein lohnendes Invest

Bleibt zum Schluss eigentlich nur noch eine Frage: Lohnen sich Security Awareness Trainings? Die eindeutige Antwort lautet: Ja. Das belegt auch eine Studie von Osterman Research. Die Marktforscher haben die Schadensummen von Cyberattacken mit Kosten für Awareness-Schulungen verglichen und den Return on Invest (ROI) berechnet. So erzielen kleinere und mittelständische Unternehmen (bis 999 Angestellte) einen ROI von 69 Prozent, während der ROI bei größeren Organisationen (mehr 1.000 Mitarbeitende) durchschnittlich 562 Prozent beträgt. Zudem gehen die Schadensummen von Cyberattacken schnell in die Millionenhöhe. Wenn diese durch gut geschulte Angestellte gar nicht erst verursacht werden, haben sich die initialen Kosten für Security Awareness Trainings schnell amortisiert.

Christian Laber

Christian Laber ist Product Owner des Product Developments der G DATA academy bei der G DATA CyberDefense AG. Er verantwortet die Inhalte der hauseigenen Security Awareness Trainings und damit auch die Weiterentwicklung der bestehenden Kurse auf der unternehmenseigenen E-Learning-Plattform. Zudem ist er mit der inhaltlichen und technischen Konzeption neuer innovativer Trainingsformen sowie Trainings betraut.