Der Mensch ist eines der größten Einfallstore für Cyberangriffe. 70%-90% der Sicherheitsvorfälle im Unternehmen sind auf menschliches Fehlverhalten zurückzuführen – beispielsweise durch das Anklicken einer Phishingemail, Fehlkonfigurationen oder unsichere bzw. geteilte Passwörter.

Kurzum – IT Sicherheit scheitert oft nicht an der Technik sondern an demjenigen, der sie bedient.

Security Awareness – also das Schaffen eines Bewussten Umgang mit Cyberrisiken – ist daher fester Bestandteil der NIS2 Anforderungen.

Ziel ist es, dass Mitarbeiter Bedrohungen frühzeitig erkennen, Risiken verstehen und im Ernstfall richtig handeln.

Viele Unternehmen setzten dabei auf standardisierte Trainings-Tools, also Online-Plattformen mit kurzen Lerneinheiten. Diese sind eine gute Basis, um Mitarbeiter regelmäßig zu schulen und die Durchführung nachzuweisen.

Eine häufige Fehlannahme ist allerdings, dass mit der Einführung solcher Plattformen das Thema „Security Awareness“ ausreichend abgedeckt: NIS 2 fordert nämlich explizit nicht nur die Durchführung solcher Maßnahmen, sondern auch die Wirksamkeit und die Steuerung dieser. 

Ein einfaches Beispiel aus der Praxis: Ein Unternehmen führt ein jährliches Online-Training mit anschließendem Multiple-Choice-Test durch. Alle Mitarbeiter bestehen den Test und das Unternehmen kann nachweisen, dass die Maßnahme durchgeführt wurde. Einige Wochen später erhält ein Mitarbeiter, der das Training erfolgreich absolviert hat eine Phishing Email und gibt seine Zugangsdaten ein. Trotz der bestandenen Multiple-Choice-Prüfung war das Verhalten im entscheidenden Moment nicht sicher.

Hier setzt NIS 2 an: Die Richtlinie verlangt nämlich, dass Unternehmen die Maßnahme nicht nur durchführen, sondern auch überprüfen, ob diese wirksam sind. Die Geschäftsführung ist dabei dafür verantwortlich, dass diese Wirksamkeit regelmäßig überprüft wird, Ergebnisse ausgewertet und bei Bedarf gezielte Maßnahmen zur Verbesserung eingeleitet werden.

In diesem Beispiel könnte man zusätzlich zur Online-Plattform einmal jährlich ein Präsenzveranstaltung abhalten, deren Inhalt auf die Infrastruktur und den Sicherheitsbedarf des Unternehmens individuell angepasst ist. Diese Präsenztrainings haben in der Praxis häufig einen deutlich höheren Lerneffekt als Online-Formate. Der Grund dafür liegt darin, wie Menschen lernen und Informationen verarbeiten.

Der direkte Vorteil ist der konkrete, individuelle Bezug zu innerbetrieblichen Prozessen, Systemen und Risiken, die es im Unternehmen im Arbeitsalltag gibt. Dadurch, dass sich der Zuhörer aktiv mit praxisnahen Inhalten und Bedrohungszenarien auseinandersetzten kann, erscheinen die Inhalte als weniger abstrakt und werden als relevant für die tägliche Arbeit wahrgenommen.

Ein weiterer Punkt der für ein Präsenztraining spricht ist, dass es interaktiv ist. Anhand von realen Szenarien können Situationen simuliert und besprochen werden. Mitarbeiter werden aktiv eingebunden, wodurch in einer Gruppe häufig eine höhere Aufmerksamkeit entsteht und eine Verbindlichkeit sich mit den Themen aktiv auseinanderzusetzten. So wird im kompletten Team das Sicherheitsbewusstsein und der Teamgeist gestärkt, da jeder einzelne Mitarbeiter aktiv eingebunden wird.