ISO 27001 Awareness Training

Ein Sicherheitsbewusstseinstraining ist wichtig für Unternehmen die ISO 27001/2 Klausel 7.2.2 einhalten müssen. Solche ISO 27001 Awareness Trainings müssen nicht mehrere Tage in Anspruch nehmen. Eine Online Schulung auf Abruf bietet mehr Flexibilität für die sehr unterschiedlichen Arbeitszeiten von Mitarbeitern in Unternehmen. Gerade wenn Mitarbeiter die deutsche Sprache nicht so gut beherrschen, ist eine alternative Schulung in Englisch ein Weg mehr auf die Bedürfnisse des einzelnen Mitarbeiters einzugehen.

Was nützt ein Sicherheitsbewusstseinstraining?

Alle Unternehmen sind allgemeinen Gefahren ausgesetzt. Manche Branchen sind besonders gefährdet oder weisen typische Angriffspunkte, die andere Branchen wegen fehlender kritischer Komponenten nicht erleben. Wenn die Belegschaft in einer verständlichen und zielgerichteten Weise unterwiesen wird, bauen Unternehmen eine cyberresistente Belegschaft auf. Der ISO 27001 Standard erwartet vom Top Management, dass sie alle notwendigen Ressourcen für die Mitarbeiterunterweisung  bereit stellt. 

Reduziert ein Awareness Training die benutzerbezogenen Sicherheitsvorfälle?

Die meisten Datenpannen entstehen durch Aktivitäten der eigenen Belegschaft. Diese Cybersicherheitsvorfälle sind auf mangelndes Fachwissen (IT Fachkräftemangel), fehlende Einsicht (Ignoranz in anderen Abteilungen), unzureichende Unterweisungen (Sparmaßnahmen) oder fahrlässiges Verhalten zurückzuführen.

Häufig werden Cyberkriminelle durch das mangelnde Wissen und das Fehlverhalten der Belegschaft begünstigt. Mitarbeiter teilen bedenkenlos ihre Zugangsdaten einem Fremden am Telefon mit und lassen so Hacker ins Firmennetzwerk. Neugierige Angestellte stecken gefundene USB-Sticks in ihren Arbeitsplatzrechner und infizieren so das gesamte Unternehmen. Sachbearbeiter ignorieren die Vorschriften, so das sie auf infizierte E-Mail Anhänge klicken.

Wissenschaftliche Studien zeigen wie effektiv eine regelmäßige und interessante Cyber Security Awareness Schulung eine Organisation schützt. Mehrere Versicherungsgesellschaften haben eine schadensreduzierende Wirkung erkannt. Die Schadenswerte sinken exponentiell je mehr das Management konsequent die internen und externen Mitarbeiter regelmäßig schulen lässt. Aufgrund der extrem hohen finanziellen Schäden aus Ransomware und Hackerangriffen, haben sich die Kosten der risikoorientierten Schulungsprogramme zum Sicherheitsbewusstsein schon nach 3 Monaten für das Unternehmen amortisiert.

Wie realistisch ist ein ISO 27001 konformes Security Awareness Training?

Damit eine Mitarbeiterunterweisung realistische Inhalte besitzt, greift man auf Erkenntnissen aus internen und externen Informationssicherheitsvorfällen. Man muss diese fokussierten Kurse als Teil eines menschlichen Risikomanagement betrachten. Es ist zwar nicht nach ISO 27001 erforderlich, dass man simulierte Phishing-Kampagnen durchführt, jedoch ist es wirksamer diese über das Jahr verteilt einzusetzen. Selbst ein vereinfachtes Richtlinienmanagement kann eine Informationssicherheitsbewusstseinsschulung niemals ersetzen.

Mitarbeiter verstehen oft nicht die Änderungen in der Bedrohungslandschaft. Manche Bürger glauben, dass die Regierung für den Schutz der Bevölkerung und Wirtschaft zuständig sind. Sie stellen zu hohe Erwartungen an die begrenztem personellen und technischen Kapazitäten der Behörden. An erster Stelle muss jeder Bürger durch sein persönliches Verhalten aktiv zur Sicherheit beitragen. Ignoranz schützt nicht vor Strafe oder Schäden, denn §17 StGB vermindert nur die Schuld:  Nach § 17 StGB handelt man ohne Schuld, wenn einem bei Begehung der Tat die Einsicht fehlt, Unrecht zu tun, soweit dieser Irrtum nicht vermeidbar gewesen ist.

Auch Versicherungen sind nicht gewillt Risiken und Schäden aus (vorsätzlich) fahrlässigen Verhalten zu versichern. Daher verlangen einige Versicherungen von ihren Kunden eine entsprechende Verbesserung der grundlegenden Cybersicherheit. Erst nach Durchführung der ISO 27001 Zertifizierung, der Mitarbeiterunterweisung und mehrerer Sicherheitstests (z.B. Penetration-Tests) sind manche namhafte Versicherer bereit eine Versicherungspolice auszustellen.

Folglich muss ein ISO 27001 konformes Security Awareness Training in soweit realistisch sein, dass Mitarbeiter den Ernst der Lage begreifen und sich freiwillig verpflichten aktiv mehr zur Sicherheit beizutragen. Dazu gehört auch zu verstehen, wie man die Unternehmensrichtlinien in der täglichen Arbeitsumfeld befolgt. Praxisnahe Aufkläreng der Belegschaft reduziert auch die Betriebskosten. 

Warum ist ein Awareness Training für ISO 27001 notwendig?

Um ein funktionierendes ISMS sicherzustellen, müssen Unternehmen die Unterweisung ihrer Mitarbeiter dokumentieren. Bei einem ISO 27001 Audit kann das Auditteam die Unterlagen zum Trainingsprogram anfordern. Aus den Schulungsunterlagen geht hervor, dass Mitarbeiter regelmäßig die ISO 27001 Security Awareness Schulung durchlaufen.

Die Schulungen zum Sicherheitsbewusstsein dienen dazu die Mitarbeiter über die möglichen Gefahren aufzuklären und ein Grundverständnis zu schaffen, wie jeder zu mehr Sicherheit beitragen kann. Dabei soll nicht etwa Angst vor Repressalien oder Gefahren geschürt werden. Das Personal muss sich bei Informationssicherheitsvorfällen richtig verhalten. Die Realität zeigt, dass nicht jeder Angestellte und Arbeiter mit der modernen digitalen Arbeitswelt optimal umgehen kann. Alter, Qualifikation und Verständnisschwierigkeiten erschweren es Mitarbeitern sich in einer Bedrohungslage korrekt zu verhalten.

Die Schulungsanforderungen des ISO 27001 und anderer verwandter Standards (z.B. TISAX) können mit zweckmäßigen und kompakten Lehrgängen erfüllt werden.  Unterweisung müssen anschaulich und ohne Fachbegriffe erfolgen. Dann fällt es den Kollegen anderer Abteilungen leichter Cyberbedrohungen auszuweichen. Damit helfen sie auch ihren IT Kollegen, das Unternehmen weitgehend vor Gefahren zu schützen.

In der Kollegstufe mehr digitale Gruppenarbeiten

Welche Schulungen vermitteln Mitarbeitern Grundwissen für mehr Informationssicherheit im Unternehmen?

Folgende Schulungen helfen Unternehmen wirtschaftlich vertretbar ihre Mitarbeiter zu schulen, um die gesetzlichen / regulatorischen Anforderungen zu erfüllen:

  • Datenschutzunterweisung (DSGVO)
  • ISO 27001: Informationssicherheit Awareness Training

Wie spart man Arbeitszeit bei der Schulung der Mitarbeiter?

Das Schulungsprogram der Econry Akademie bietet weltweit Schulungen in virtuellen Klassenzimmern und Video-Tutorials mit Selbstbedienung an. Es liegt auf der Hand, dass Benutzerkurse nicht zu viel Arbeitszeit verbrauchen und ein nachhaltiger Lernerfolg entsteht. dadurch sollen Mitarbeiter besser mit Gefahren der Informationssicherheit umgehenNach ISO 27001 zertifizierte Betriebe können die Compliance-Standards durch automatisierte Benutzerschulungsprogramme einhalten.

Was ist die richtige Vorgehensweise beim Awareness Training?

Folgende Elemente erhöhen die Nachhaltigkeit einer Investition in Schulungen zum Sicherheitsbewusstsein:

  • Geschäftsleitung übernimmt Verantwortung für in Sicherheitsbewusstsein
  • Analyse des vorhandenen Sicherheitsniveaus
  • Schulungsplan mit regelmäßigen und konsistenten Aktionen
  • Wiederholte Überprüfung der Lernerfolge und Sicherheitsbewusstsein
  • Nachhaltiger Umgang mit falsch handelnder Mitarbeitern
  • Nachschulung von unzureichend geschulten Mitarbeitern
  • Richtlinienprozesse transparent und messbar implementieren