#05: Die 4-Wochen-Falle: Weshalb Ihre letzte Security-Awareness-Schulung (vielleicht) gefährlicher war als gar keine
Liebe Security Awareness-Interessenten,
stellen Sie sich vor: Sie investieren Zeit und Budget in eine umfassende Security-Schulung für alle Mitarbeiter. Drei Monate später klickt trotzdem die Hälfte Ihres Teams auf eine Phishing-Mail. Was ist schiefgelaufen?
Die Antwort liegt in der 4-Wochen-Falle: Studien zeigen, dass 70% des Gelernten aus einmaligen Schulungen bereits nach 4 Wochen vergessen sind. Schlimmer noch – das trügerische Gefühl der Sicherheit („Wir haben ja geschult“) macht Unternehmen anfälliger für Angriffe.
Aktuelle Zahlen aus unseren laufenden Umfragen zeigen:
- 64% der Unternehmen setzen noch immer auf jährliche Einmal-Schulungen
- Nur 23% implementieren kontinuierliche Awareness-Programme
- Die Phishing-Erfolgsrate sinkt bei monatlichen Mini-Schulungen um 83%
Zusätzliche Brisanz erhält das Thema durch die neue NIS2-Richtlinie. BSI-Präsidentin Claudia Plattner bringt es auf den Punkt, wenn Sie aus Anlass des Regierungsentwurfs zur Umsetzung der NIS2-Richtilinie erklärt: „Die NIS2-Richtlinie macht Cybersicherheit zur Chefinnen- und Chefsache: Geschäftsführungen betroffener Einrichtungen sind verpflichtet, Risikomanagementmaßnahmenumzusetzen, deren Umsetzung zu überwachen und sich zu Cyberrisiken schulen zu lassen.“
Die 4-Wochen-Falle wird damit nicht nur zu einem betriebswirtschaftlichen, sondern auch zu einem regulatorischen Risiko.
Viel Spaß beim Lesen
Werner Grohmann
#04: Datenschutz und Datensicherheit: Warum sie untrennbar miteinander verbunden sind
Liebe Security Awareness-Interessierte,
stellen Sie sich vor: Ein Cyberkrimineller verschafft sich Zugang zu Ihrem Unternehmensnetzwerk, verschlüsselt Ihre Daten und fordert Lösegeld. Das klingt schon schlimm genug – doch damit muss die Geschichte (leider) noch lange nicht zu Ende sein.
Denn was als „reines“ IT-Security-Problem beginnt, kann schnell zu einem handfesten Datenschutzproblem mit rechtlichen und weiteren finanziellen Konsequenzen werden. Die Berliner Verkehrsbetriebe (BVG) mussten dies kürzlich schmerzlich erfahren: Nach einem Cyberangriff auf ihren IT-Dienstleister klagen nun 145 Betroffene auf Schadensersatz nach DSGVO – obwohl die BVG selbst gar nicht direkt angegriffen wurde.
Diese und weitere aktuelle Fälle zeigen deutlich: Datenschutz und Datensicherheit sind keine getrennten Welten, sondern zwei Seiten derselben Medaille.
Wer das eine vernachlässigt, gefährdet automatisch das andere.
Viel Spaß beim Lesen wünscht
Werner Grohmann
#03: Phishing Simulationen: Theorie und Praxis
Liebe Security Awareness-Interessierte,
im Mittelpunkt unserer heutigen Ausgabe steht das Thema „Phishing Simulation“. Theoretisch ist so eine Simulation schnell erklärt: Um den „worst case“ zu trainieren, um zu verhindern, dass er auch wirklich eintritt, werden im Unternehmen – in der Regel von der IT-Abteilung oder einem externen Dienstleister – Phishing E-Mails verschickt. Klickt ein Mitarbeitender auf den Link, landet er – Gottseidank – nicht auf einer Landing Page eines Cyberangreifers, sondern auf einer von der IT oder dem externen Dienstleister vorbereiteten Seite, die ihm erklärt, dass er soeben beinahe den „worst case“, d.h. eine Cyberattacke, ausgelöst hätte. Darüber hinaus wird gezeigt, woran er die verdächtige E-Mail erkennen hätte können und was er zukünftig tun muss, damit aus dem Testfall nicht der Ernstfall wird.
Soweit alles gut. Leider habe ich mich in jüngster Vergangenheit mit einigen IT-Verantwortlichen insbesondere in KMU unterhalten, die mir ihr Leid geklagt haben, dass die professionell vorbereiteten Simulationen bereits nach kurzer Zeit ins Leere liefen.
Woran dies liegt, erfahren Sie in dieser Ausgabe der Security Awareness Insights.
Viel Spaß beim Lesen wünscht
Werner Grohmann
#02: Security Awareness-Programm: Von einzelnen Schulungen zum ganzheitlichen Programm
Liebe Security Awareness-Interessierte,
die heutige Ausgabe widmet sich einem Thema, das für alle Unternehmen – insbesondere KMU – zunehmend an Bedeutung gewinnt: dem strukturierten Aufbau eines ganzheitlichen Security Awareness-Programms. Einzelne Schulungsmaßnahmen sind zwar ein guter Anfang, doch erst ein durchdachtes Gesamtkonzept schafft nachhaltige Sicherheit. Was dazu gehört und wie auch kleine Unternehmen mit begrenzten Ressourcen ein wirksames Programm implementieren können, erfahren Sie in dieser Ausgabe.
Viel Spaß beim Lesen wünscht
Werner Grohmann
#01: Willkommen zur ersten Ausgabe der Security Awareness Insights
Liebe Security Awareness-Interessierte,
„Hätte ich da doch bloß nicht draufgeklickt…“ – dieser Satz markierte für mich den Beginn einer leidvollen Erfahrung, die unser Unternehmen letztlich einen fünfstelligen Betrag und zwei Wochen Arbeitszeit kostete. Ein einziger Klick auf einen Link in einer Phishing-Mail führte zu verschlüsselten Systemen und schwarzen Bildschirmen.
Diese persönliche Erfahrung führte bei mir zu drei wesentlichen Erkenntnissen:
- Die beste Technik nützt nichts, wenn ein Mitarbeiter auf einen „verseuchten“ Link klickt.
- Es kann heute jedes Unternehmen treffen – unabhängig von der Größe.
Und vor allem: - Der Faktor Mensch spielt die zentrale Rolle bei der Abwehr von Cyberattacken.
Mit diesem monatlichen Newsletter möchten wir Ihnen konkrete, sofort umsetzbare Praxistipps und Handlungsempfehlungen an die Hand geben, wie Sie den „Risikofaktor Mensch“ in eine effektive „Human Firewall“ verwandeln können. Sie erhalten praxisnahe Fallbeispiele, bewährte Methoden und einfach implementierbare Lösungen – speziell für kleine und mittlere Unternehmen konzipiert, ohne großes Budget.
Lassen Sie uns gemeinsam daran arbeiten, dass niemand mehr sagen muss: „Hätte ich da doch bloß nicht draufgeklickt…“
Viel Spaß beim Lesen wünscht
Werner Grohmann