In der heutigen Bedrohungslandschaft der Cybersecurity reicht es nicht mehr aus, ausschliesslich auf technische Massnahmen zu setzen, um die Informationssicherheit eines Unternehmens zu gewährleisten. Von organisatorischer Seite gehören noch klare Verantwortlichkeiten und Prozesse, sowie kontinuierliche Tests all dieser Aktivitäten dazu. Dabei ist der Mensch häufig das angreifbarste Glied in der Sicherheitskette und genau hier setzt Cybersecurity Awareness an: Mitarbeitende werden sensibilisiert und geschult, um Cyberangriffe frühzeitig zu erkennen und Risiken zu minimieren. Dieser Artikel beleuchtet, warum Cybersecurity Awareness ein zentraler Bestandteil eines Information Security Management Systems (ISMS) ist, wie Organisationen von entsprechenden Massnahmen profitieren können und wie wichtig dabei die volle Unterstützung von Management-Seite aus ist.
Warum Cybersecurity Awareness entscheidend ist
Es gibt zahlreiche Berichte über Unternehmen, die Opfer von Ransomware-Attacken wurden, die ihren Ursprung in einer erfolgreichen Phishing-Mail hatten. Meist hatten diese Unternehmen hohe Verluste zu verzeichnen, zum einen durch eventuelle Erpressungszahlungen, aber vor allem durch die ausgefallene Arbeitszeit und den Aufwand, ihre IT-Systeme und Daten wieder verfügbar zu machen (siehe hierzu: Europol (2025), European Union Serious and Organised Crime Threat Assessment – The changing DNA of serious and organised crime, Publications Office of the European Union, Luxembourg).
Man könnte erwarten, diese Nachrichten müssten genug Abschreckung für das Top-Management sein, um das Thema Cybersecurity Awareness ernst zu nehmen. Aber Awareness-Massnahmen sind aufwendig, kosten Geld und vor allem Arbeitszeit und sind im Endeffekt nur indirekt messbar.
Herausforderung von Cybersecurity Awareness im Unternehmen
Cybersecurity Awareness sollte Teil eines jeden funktionierenden Information Security Management Systems (ISMS) sein. Selbst in dem international grundlegenden Standard zu Informationssicherheit ISO/IEC 27001 (2022) wird das Thema Awareness konkret aufgeführt (Abschnitt 7.3). Darin steht sinngemäss, dass Mitarbeitende die Informationssicherheits-Richtlinie der Organisation, für die sie arbeiten, kennen und verstehen sollten.
Die Integration von Cybersecurity Awareness in das ISMS erfordert Zeit und kontinuierliche Kommunikation auf allen Ebenen. Besonders die Überzeugung des Top-Managements stellt eine Herausforderung dar, da Awareness-Massnahmen oft als schwer messbar gelten und Ressourcen binden. Doch genau das Top-Management trägt die Verantwortung dafür, Informationssicherheit und damit auch Awareness, aktiv im Unternehmen zu fördern.
Für Awareness spielen die Mitarbeitenden die zentrale Rolle. Sie sollten entsprechend ihrer IT-Kenntnisse und Tätigkeiten geschult werden, um Sicherheitsrisiken zu erkennen und angemessen reagieren zu können. Ihre Performance mit ihren Handlungen oder Unterlassungen beeinflussen konkret die Cybersicherheit des Unternehmens.
Entscheidend dabei ist nicht nur das erlangte Wissen der Mitarbeitenden, sondern auch die Motivation, dieses Wissen konsequent im Arbeitsalltag anzuwenden. Deshalb ist es Aufgabe des Managements, die Mitarbeitenden entsprechend ihren IT-Kenntnissen und Tätigkeiten zu fördern, um die notwendige Aufmerksamkeit für Informationssicherheit überhaupt erst zu entwickeln. Ziel der Awareness-Massnahmen ist, dass die Mitarbeitenden das Know-How erlangen, aktiv die Cybersicherheit ihres Unternehmens stärken zu können.
Der Mensch als erste Ressource für die Verteidigung
In der digitalen Welt kann ein einziger Mitarbeitender versehentlich und unter den richtigen Umständen eine ganze Firma beunruhigend direkt beeinflussen. Der Zeitraum zwischen einer erfolgreichen Phishing-Attacke und der Installation von Schadsoftware kann erschreckend kurz sein. Wenn Angreifer unentdeckt bleiben, nutzen sie die gewonnene Zeit für laterale Bewegungen innerhalb der IT-Systeme – oft mit dem Ziel, privilegierte Zugriffe zu erlangen oder kritische Systeme zu kompromittieren. Dies führt oft dazu, dass Ransomware das gesamte Unternehmen lahmlegt – mit potenziell verheerenden Folgen für Betrieb und Reputation.
Die Anforderung an das Management einer Firma sind jedoch vielfältig und das Risikobewusstsein für Cybersecurity ist häufig nicht erste, zweite oder zehnte Priorität auf der To-Do-Liste eines CEO. Wie also kann man das Thema Cybersecurity Awareness dem Management als wichtiger Bestandteil für ihre Unternehmenssicherheit vermitteln? Und wie können unternehmensweite Awareness-Massnahmen aussehen, um von den Mitarbeitenden, Line Management und Top-Management akzeptiert und positiv aufgenommen zu werden?
Awareness-Beispiel aus der Praxis: Die SBB Cybersecurity Champions
Beim Swiss Security Awareness Day der SWITCH am 24. Oktober 2024 wurden vielfältige Fragen zu Cybersecurity Awareness aus Perspektive von Firmen, Behörden und Wissenschaft diskutiert. In fast allen Präsentationen und Workshops schwang dabei mit, wie wichtig es ist, die Management-Ebene mit an Bord zu haben.
Selbstverständlich gibt es keine Geheimformel, mit der man dem Management Ressourcen entlocken kann. Dennoch gibt es durchaus Sparten, die verstanden haben, wie essenziell Cybersecurity für sie selbst ist. Ein gutes Beispiel dafür ist die SBB, die als dezentrale kritische Infrastruktur zudem besonders hohen Sicherheitsanforderungen unterliegt.
Innerhalb der SBB wurde Cybersecurity vom CEO offiziell als Top-Bedrohung eingestuft. Und entsprechend wurde eine intern aufgebaute Cybersecurity-Awareness-Struktur mit einem eigenen mehrköpfigen Team aufgestellt. In der Anfangsphase wurden gezielt zahlreiche Gespräche mit unterschiedlichen Management-Ebenen geführt und Mitarbeitenden-Feedback eingeholt. Ziel dieser umfangreichen Startphase war es, herauszufinden, wie Awareness am besten in der SBB verankert und vor allem auf die sehr unterschiedlichen IT-Kenntnis-Level der Mitarbeiter zugeschnitten werden kann, wie der SBB-Vertreter auf dem Swiss Security Awareness Day darstellte. Er betonte, dass die Kommunikation mit dem Management dafür entscheidend war und noch immer ist, damit die Bemühungen im Bereich Cybersicherheit langfristig Früchte tragen können.
Ein gutes Beispiel für eine langfristig als erfolgreich angesehene Awareness-Massnahme ist es, ein Security Champions Netzwerk innerhalb einer Organisation aufzuziehen. Dies ist ein langwieriger Prozess, der viel Zeit, viele Ressourcen und viel langfristiges Engagement bedeutet. Die SBB hat dies geschafft, indem sie kontinuierlich in Community-Management und Benefits wie extra Schulungen investiert, die Security Champions für ihre Arbeit als Anerkennung erhalten können. Insbesondere wurde vom Top-Management-Seite sichergestellt, dass Security Champions ausreichend Arbeitszeit für ihre Aufgaben zur Verfügung haben.
Dieser Aufwand lohnt sich nachhaltig, da dadurch die Mitarbeitenden vor Ort in ihren Aufgaben erreicht werden können. Das Engagement der eigenen Peers als Security Champions motiviert die Teams und holt sie in ihrem Arbeitsalltag ab. Zudem können die Champions umgekehrt aktiv Verbesserungen vorschlagen, um Cybersecurity besser in ihre Arbeitsprozesse zu integrieren und allfällige Schwachstellen oder potenzielle Cyberattacken melden.
Als Richtwert für die Arbeit eines Cybersecurity Champions, der mehrfach in der Konferenz genannt wurde, wurden etwa 2% der Arbeitszeit eines Mitarbeitenden dafür gerechnet, dass er oder sie als Multiplikator in seinem Team agiert. Das funktioniert nicht ohne Unterstützung von Management-Seite und zwar nicht nur von oberster Stelle, sondern auch von Seiten des mittleren Managements, das die Security Champions in ihren Teams unterstützen muss, damit sie auch die dafür nötigen Freiräume bekommen, sich zu engagieren.
Wie Awareness-Massnahmen erfolgreich umgesetzt werden können
Unterstützung des Managements sichern
Cybersecurity Awareness erfordert strategische Überzeugungsarbeit, insbesondere um das Management von der Notwendigkeit der Investition in Schulungen und Sensibilisierungsmassnahmen zu überzeugen.
Die oberste Führungsebene muss verstehen, welche Kosten, aber auch Vorteile Cybersecurity Awareness für ihr Unternehmen haben kann. Die Risiken einer erfolgreichen Ransomware-Attacke, die durch eine erfolgreiche Phishing-Mail ausgelöst wurde, können ein hilfreiches Beispiel dafür sein, was auf dem Spiel steht. Insbesondere, wenn das Beispiel passend für die Art des Unternehmens gewählt wird, für die eine Investition in Awareness-Massnahmen zur Debatte steht. Meiner Meinung kann diese Abschreckungsmethode erfolgreich sein für den Zuspruch des Budgets, würde aber persönlich zusätzlich den Fokus daraufsetzen, dass Awareness ein essenzieller Bestandteil einer nachhaltigen Sicherheitsstrategie ist.
Funktioniert die Awareness-Massnahme? – Der Haken bei Phishing-Simulationen
Eine weitere Chance, die Vorteile von Awareness darzustellen, ist es konkrete Belege dafür vorzulegen, dass Awareness-Massnahmen tatsächlich funktionieren. Dafür kann das weite Feld von Phishing-Simulationen zurate gezogen werden. Wobei wissenschaftliche Analysen Phishing-Simulationen auch skeptisch gegenüberstehen (vgl. z.B.: Volkamer, M., Sasse, M. & Boehm, F. Phishing-Kampagnen zur Steigerung der Mitarbeiter-Awareness. Datenschutz und Datensicherheit (DuD) 44, 518–521 (2020)). Als Fazit steht oftmals, dass diese Simulationen, wenn sie durchgeführt werden, am besten von den Mitarbeitenden aufgenommen werden, wenn sie in mehrere abgestimmte Awareness-Massnahmen eingereiht werden.
Phishing-Simulationen sollten mit Bedacht eingesetzt werden. Werden sie isoliert oder als reines Kontrollinstrument genutzt, können sie Misstrauen gegenüber dem eigenen Management fördern. Erfolgreiche Programme kombinieren sie mit unterstützenden Massnahmen, die Mitarbeitende befähigen, Bedrohungen zu erkennen, anstatt sie zu bestrafen.
E-Learnings und Games
Awareness-Massnahmen, die mit Phishing-Simulationen im Tandem oder insbesondere für sich allein funktionieren, sind z.B. E-Learnings und Games. Diese haben den Vorteil, dass dort neben der reinen Teilnahme und positiver/negativer Phishing-Click-Raten, auch die Interaktion respektive das Verhalten geschult wird, um auf Phishing-Mails richtig zu reagieren. Zusätzlich unterstützen generelle Awareness-Massnahmen wie Botschaften auf Displays, Poster, Lockscreens etc. dabei, das Gelernte wieder in Erinnerung zu rufen. Alle diese Massnahmen sind aufwendig, aber sie erhöhen deutlich die Visibilität und damit auch den Lerneffekt.
Es gibt diverse Anbieter von Awareness-Plattformen, die Phishing-Simulationen in Kombination von Lern-Tools und teilweise auch mit Gaming-Inhalten anbieten. Allerdings ist es auch hier wichtig, dass innerhalb des Unternehmens geschulte Mitarbeitende die Inhalte und Methoden der gewählten Awareness-Plattform entsprechend auf Zielgruppen und deren Bedürfnisse im eigenen Unternehmen anpassen. Nur wenn ein aktiver Bezug zu den internen Prozessen hergestellt wird, haben die Mitarbeitenden die Chance, das Gelernte sinnvoll in ihren Arbeitsalltag zu integrieren. Dies wiederum erlaubt ihnen, mögliche Cyberattacken zu erkennen und dann auch zu melden.
Zusammen können diese Massnahmen eine aktive Fehler-Kultur unterstützen, die es den Mitarbeitenden erleichtert sich an ihr IT-Security-Team zu wenden. Sollten solche Aktivitäten schon etabliert sein, sind z.B. die Meldungen über Phishing-Verdachtsfälle ein Indikator dafür, wie viele Mitarbeitende sich aktiv an der Cybersicherheit ihres Unternehmens beteiligen. Dieser Indikator ist sogar besser reproduzierbar als die Rate derjenigen, die auf eine simulierte Phishing-Mail klicken. Das liegt daran, dass letztere Rate sehr davon abhängig ist, wie realitätsnah sich die gefakte Phishing-Mail darstellt und je nachdem leichter oder schwerer zu erkennen ist.
Fazit
Die Implementierung von Awareness-Massnahmen erfordert gezielte Strategien, um das Management von deren Nutzen zu überzeugen und eine nachhaltige Sicherheitskultur zu etablieren. Ein wichtiger Start ist oftmals eine klare und so weit als möglich realistische und vor allem auf die Organisation oder Firma abgestimmte Darstellung der Risiken von Cyberattacken, inklusive der Kosten für mögliche Gegenmassnahmen. Dazu stehen im Vergleich dazu die Kosten für die Awareness-Massnahmen. Parallel dazu sollten Prozesse aufgezeigt werden, wie eine mögliche Verbesserung der Aufmerksamkeit der Mitarbeitenden gegenüber Cyberattacken gemessen werden soll.
Für die Vertreter des mittleren Managements ist es wichtig zu wissen, dass sie die notwendigen Ressourcen an Zeit, Geld und entsprechende Schulungstools an der Hand haben, um ihre Teams auch adäquat weiterbilden zu können. Dies zu unterstützen, hängt vom Top-Management ab und dem Aufbau eines IT-Security-Awareness-Teams, das genau solche Tools, wie z.B. auf die IT-Kenntnisse der Mitarbeitenden angepasste E-Learnings und entsprechende Beratung anbieten kann. So können die einzelnen Abteilungen, deren Leitenden und damit die einzelnen Mitarbeitenden auch langfristig unterstützt werden. Denn letztendlich sind die Mitarbeitenden diejenigen essenziellen Ressourcen eines Unternehmens, auf die es in Sachen Cybersicherheit ankommt: Sie sind es, die als Erste die Cyberattacken erkennen und melden können, die auf Einzelne zielen, aber das gesamte Unternehmen zum Stillstand bringen können.
