Cybersicherheit ist unerlässlich – aber wie gross ist der Nutzen von Security Awareness?

#
Cybersicherheit
#
Informationssicherheit
#
Sicherheitsbewusstsein
Ein Team von 5 Personen blickt auf einen Bildschirm einer Meeting Präsentation zum Thema Security Awareness Training.

Cyberbedrohungen sind allgegenwärtig, und der Mensch bleibt eine der grössten Schwachstellen. Doch wie effektiv ist Security Awareness? Dieser Blog zeigt, warum gezielte Schulungen unverzichtbar sind, wie sie Unternehmen schützen und welche Vorteile sie langfristig bieten.

Cyberbedrohungen sind allgegenwärtig, das steht ausser Frage. Doch wie effektiv ist Security Awareness wirklich? Und lohnt es sich, in Schulungen und Trainings für Mitarbeitende zu investieren? Die Antwort ist eindeutig: Ja! Denn wer sich auf technische Sicherheitsmassnahmen allein verlässt, ignoriert einen entscheidenden Faktor – den Menschen.

Inhaltsverzeichnis

  • Die unterschätzte Gefahr
  • Der ROI von Cyber Security Awareness: Eine Investition, die sich auszahlt
  • Regionale Relevanz: Die Bedrohungslage im DACH-Raum
  • Konkrete Auswirkungen: Wenn Unwissenheit teuer wird

Die unterschätzte Gefahr

Täglich können wir von neuen Cyberangriffen lesen, die Unternehmen lahmlegen oder immense Schäden verursachen. Die Angreifer werden immer raffinierter und nutzen nicht nur technische Schwachstellen aus, sondern zielen verstärkt auf den "Faktor Mensch" ab. Phishing-E-Mails, die täuschend echt wirken, oder manipulative Social-Engineering-Angriffe sind Methoden, mit denen Kriminelle versuchen, in interne Systeme einzudringen. Laut dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) werden menschliche Eigenschaften wie Hilfsbereitschaft oder Vertrauen gezielt ausgenutzt, um Personen zu manipulieren.

Studien zeigen alarmierende Zahlen: Laut dem IBM Security Services 2014 Cyber Security Intelligence Index Report (1) sind menschliche Fehler für über 95 % der Sicherheitsverstösse verantwortlich. Diese beinhalten Datendiebstahl, Sabotage und Industriespionage, die der deutschen Wirtschaft jährlich Schäden in Milliardenhöhe zufügen.

Unzureichende Schulungen und unvorsichtiges Nutzerverhalten öffnen Cyberkriminellen Tür und Tor. Laut einer Studie des Digitalverbands Bitkom (2) führen 15 % der Unternehmen überhaupt keine IT-Sicherheitsschulungen durch. Zudem zeigt die Studie, dass nur rund jedes vierte Unternehmen (24 %) mindestens einmal pro Jahr Schulungen anbietet. Diese Zahlen unterstreichen die Notwendigkeit regelmässiger und umfassender IT-Sicherheitsschulungen für alle Mitarbeitenden, um menschliche Fehler als Einfallstor für Cyberangriffe zu minimieren.

Aus diesem Grund ist es entscheidend, den "Faktor Mensch" nicht länger als Schwachstelle zu betrachten, sondern als entscheidenden Abwehrschirm gegen Cyberbedrohungen zu stärken. Gut informierte und wachsame Mitarbeitende sind eine wichtige Verteidigungslinie gegen Cyberangriffe.

Der ROI von Cyber Security Awareness: Eine Investition, die sich auszahlt

Investitionen in Cyber Security Awareness zahlen sich aus. Durch gezielte Schulungen werden Mitarbeitende befähigt, potenzielle Bedrohungen frühzeitig zu erkennen und angemessen zu reagieren. Dies reduziert nicht nur das Risiko erfolgreicher Angriffe, sondern spart auch erhebliche Kosten, die durch Sicherheitsvorfälle entstehen könnten.

Eine Studie von Osterman Research (3) aus dem Jahr 2019 zeigt, dass kleinere Unternehmen (50 bis 999 Mitarbeitende) durch Security-Awareness-Trainings einen Return on Investment (ROI) von 69 % erzielen können, während größere Unternehmen (über 1.000 Mitarbeitende) einen ROI von 355 % erreichen. Werden jedoch außergewöhnliche Szenarien wie Totalschäden und IT-Neuaufbau berücksichtigt – einschließlich Umsatzverlust, Lösegeldforderungen, Kundenabwanderung, Reputationsverlust und schlechterer Unternehmensbewertung – kann der ROI sogar auf über 1'500 % ansteigen.

Berechnungsgrundlage für den ROI:

  • Annahme: Unternehmen mit 1'000 Mitarbeitenden (Zahlen basierend auf Osterman Research, The ROI of Security Awareness Training, 2019)
  • Stundenlohn Security-Mitarbeitende: 38,46 €/h; Zeitinvest für Abwehrmaßnahmen: 730,9 Stunden
  • Stundenlohn allgemeine Mitarbeitende: 36,06 €/h; Arbeitsausfall bei einem Vorfall: 12,6 Stunden pro Jahr
  • Annahme: 90 % Reduktion der Vorfälle durch Security Awareness Training
  • Investierte Zeit pro Jahr und Mitarbeitendem: 5,6 Stunden (davon 30 % in bestehende Arbeitsprozesse integriert)

Für kleinere Unternehmen liegt der ROI niedriger, bleibt aber dennoch signifikant. Bei 50–99 Nutzern beträgt er beispielsweise 69 %.

TreeSolution bietet massgeschneiderte Schulungen an, die nicht nur Wissen vermitteln, sondern auch das Bewusstsein für Sicherheitsrisiken schärfen. Ein Beispiel dafür ist die TreeSolution Awareness Akademie, die alles enthält, was Sie benötigen, um sicheres Verhalten erfolgreich in Ihrer Unternehmenskultur zu verankern. Unsere benutzerfreundliche Lernplattform bietet Ihnen und Ihren Mitarbeitenden schnellen und einfachen Zugang zum neuesten Sicherheitswissen.

Zudem bietet TreeSolution Phishing-Training-Services an, die Ihre Mitarbeitenden für die Gefahren von E-Mail-Betrug sensibilisieren und ihnen helfen, Phishing-Versuche zu erkennen und zu vermeiden.

Durch diese praxisnahen Schulungen werden Ihre Mitarbeitenden zu aktiven Sicherheitsbotschaftern, die massgeblich zur Reduzierung von Sicherheitsvorfällen beitragen.

Regionale Relevanz: Die Bedrohungslage im DACH-Raum

Im deutschsprachigen Raum sind Unternehmen zunehmend Ziel von Cyberangriffen. Besonders kleine und mittlere Unternehmen (KMU) unterschätzen oft die Gefahr und investieren zu wenig in die Schulung ihrer Mitarbeitenden. Dabei können gerade sie es sich nicht leisten, Opfer von Cyberkriminalität zu werden.

Die fortschreitende Digitalisierung eröffnet zwar neue Chancen, erhöht jedoch auch die Angriffsflächen für Cyberkriminelle. KMU sind häufig attraktiv für Angreifer, da sie oft weniger umfassende Sicherheitsmassnahmen implementiert haben. Ein erfolgreicher Cyberangriff kann für diese Unternehmen existenzbedrohend sein, da sie meist nicht über die Ressourcen verfügen, um die Folgen abzufedern.

Zudem sind kleine und mittlere Unternehmen oft Teil grösserer Lieferketten, wodurch ein Angriff auf sie auch Auswirkungen auf Partner und Kunden haben kann. Es ist daher unerlässlich, dass diese Unternehmen proaktiv handeln und in ihre Cybersicherheit investieren. Ein zentraler Aspekt dabei ist die Sensibilisierung und Schulung der Mitarbeitenden, um menschliche Fehler als Einfallstor für Angriffe zu minimieren.

Durch regelmässige Schulungen und ein erhöhtes Bewusstsein für Cyberbedrohungen können KMU ihre Widerstandsfähigkeit gegenüber Angriffen stärken und so ihre Existenz sowie die ihrer Partner und Kunden schützen.

Konkrete Auswirkungen: Wenn Unwissenheit teuer wird

Stellen Sie sich vor, in Ihrem Unternehmen, der Muster GmbH, öffnet ein ungeschulter Mitarbeiter eine Phishing-E-Mail. Die Folgen können verheerend sein:

  • Finanzielle Verluste: Durch den Klick auf einen schädlichen Link wird eine Ransomware aktiviert, die wichtige Unternehmensdaten verschlüsselt. Die Wiederherstellung der Daten erfordert teure IT-Dienstleistungen und führt zu erheblichen Betriebsunterbrechungen.
  • Reputationsschäden: Kundendaten werden kompromittiert und gelangen in falsche Hände. Das Vertrauen der Kunden schwindet, und es kommt zu Vertragskündigungen sowie einem Rückgang der Neukundengewinnung.
  • Rechtliche Konsequenzen: Verstösse gegen Datenschutzrichtlinien ziehen hohe Strafen nach sich. Zudem drohen langwierige Gerichtsverfahren und zusätzliche Kosten.

Diese Katastrophe hätte durch gezielte Security-Awareness-Schulungen verhindert werden können. Mit praxisnahen Phishing-Tests und interaktiven Trainings hätten die Mitarbeitenden verdächtige Mails schneller erkannt und angemessen reagiert.

Wie Sie gelesen haben, gibt es erhebliche Unterschiede zwischen Bedrohungslage und Wahrnehmung. Um das Risiko erfolgreicher Cyberangriffe zu minimieren, ist Security Awareness mit regelmässigen Schulungen ein Muss. Gezielte Trainings und die richtige Strategie sind entscheidend, um Unternehmen gegen Cyberbedrohungen zu wappnen.

Die TreeSolution Awareness Akademie unterstützt Unternehmen dabei, nachhaltiges Sicherheitsbewusstsein zu etablieren. Durch interaktive Schulungen, Phishing-Tests und praxisnahe Szenarien können Mitarbeitende effektiv auf reale Cybergefahren vorbereitet werden. Dies reduziert nicht nur das Risiko von Angriffen, sondern stärkt auch langfristig die Sicherheitskultur innerhalb des Unternehmens.

Ein effektives Schulungsprogramm, wie die TreeSolution Awareness Akademie, hilft Unternehmen dabei, Security Awareness nachhaltig in die Unternehmenskultur zu integrieren. Ergänzend dazu bieten die TreeSolution Phishing-Trainings praxisnahe Simulationen, mit denen Mitarbeitende lernen, Cyberangriffe frühzeitig zu erkennen und darauf zu reagieren. So wird das Risiko von Sicherheitsvorfällen signifikant reduziert.

Quellen: 

  1. IBM Security Services 2014 Cyber Security Intelligence Index Report: https://duo.com/blog/human-error-accounts-for-over-95-percent-of-security-incidents-reports-ibm
  2. Bitkom (12.09.2023): Presseinformation - IT-Sicherheit: 8 von 10 Unternehmen schulen Beschäftigte.
    https://www.bitkom.org/Presse/Presseinformation/IT-Sicherheit-8-von-10-Unternehmen-schulen-Beschaeftigte?utm_source=chatgpt.com
  3. Osterman Research - Studie zum ROI von Security Awareness Training (2019): https://ostermanresearch.com/wp-content/uploads/2021/01/ORWP_0313-The-ROI-of-Security-Awareness-Training-August-2019.pdf

Newsletter

Verpassen Sie keine News mehr zu Cyber Security Awareness und erhalten Sie Tipps und Tricks für die Mitarbeitendenschulung in Ihrem Unternehmen.

Vielen Dank für Ihre Newsletter Anmeldung.
Beim Absenden des Formulars ist etwas schief gelaufen.

Verwandte Artikel

#
Sicherheitsbewusstsein
#
Informationssicherheit

Cyber Security Awareness - Was genau ist das Ziel dahinter?

#
Cybersicherheit
#
Informationssicherheit

5 Tipps zum Thema Cybersicherheit

#
Cybersicherheit
#
Sicherheitsbewusstsein

Phishing – die Gefahr lauert im Netz

#
Informationssicherheit
#
Awareness Strategie
#
Awareness Messung

Wie man eine Cybersicherheitskultur managen kann

Umschlagsymbol

Formular, E-Mail, Telefon

Sie können ein kurzes Formular ausfüllen oder uns eine E‑Mail schicken. Wir melden uns innerhalb von zwei Werktagen bei Ihnen. Sie können uns auch direkt anrufen. Klicken Sie auf «Kontakt» und Sie erhalten alle notwendigen Kontaktdaten.

Kalendersymbol

Kostenlose Online-Beratung

Wenn Sie lieber einen bestimmten Termin buchen möchten, können Sie dies tun, indem Sie auf die blaue Schaltfläche unten klicken. Das Online-Buchungssystem öffnet sich in einem neuen Fenster und Sie können Ihren kostenlosen Beratungstermin vereinbaren.