Definition Was ist Security Awareness?

Autor / Redakteur: zeroshope / Heidemarie Schuster

Security Awareness beschreibt ein Konzept für Mitarbeiterschulungen in Unternehmen. Ziel ist es, sie für Sicherheitsfragen zu sensibilisieren und erste Kompetenzen zu vermitteln. Die Inhalte der Schulungen können eine große thematische Breite haben.

Firmen zum Thema

Grundlagenwissen zum IT-Business
Grundlagenwissen zum IT-Business
(Bild: © adiruch na chiangmai - Fotolia.com)

Unter dem Begriff „Security Awareness“ (Sicherheitsbewusstsein) ist ein spezielles Schulungskonzept zu verstehen, das in Unternehmen zur Anwendung kommt. Hier geht es darum, Mitarbeiter für Sicherheitsfragen zu sensibilisieren. Sie sollen sich bestimmter Bedrohungssituationen bewusstwerden. Das Ziel ist es, dass Gefahren gar nicht erst zu Problemen werden. Es geht also um Prävention. Das klassische Beispiel hierfür ist, dass die Mitarbeiter nicht auf Anhänge in E-Mails unbekannter Absender klicken.

Unternehmensrichtlinien sind ebenfalls Thema der Schulungen

Neben der Sensibilisierung für Bedrohungspotenziale kommt es in Security-Awareness-Schulungen auch zur Vermittlung der Unternehmensrichtlinien, die für die IT-Sicherheit gelten. Hier wird auf besondere Maßnahmen eingegangen, die dem besonderen Charakter der Firma geschuldet sind. Als Beispiel: Ein Unternehmen, das Waffen baut, hat andere Sicherheitsvorschriften als ein Verlag.

In mittleren und großen Firmen werden die Schulungen auf regelmäßiger Basis durchgeführt. Dies ist aufgrund der hohen Personalfluktuation notwendig, die in diesen Unternehmen typisch ist. Bei kleineren Betrieben kommen die Schulungen zumeist anlassbezogen vor. Dies gilt beispielsweise, wenn es ein Problem gab, das vermeidbar gewesen wäre. Experten empfehlen allerdings eigentlich, in allen Unternehmen regelmäßig Security-Awareness-Schulungen abzuhalten.

Die möglichen Inhalte von Security Awareness-Schulungen

Tatsächlich ist es Teil vieler Schulungen, auch erste Kompetenzen im Umgang mit real gewordenen Bedrohungen zu vermitteln. Allerdings sind die Angriffe in vielen Fällen zu komplex, um für „normale“ Mitarbeiter beherrschbar zu sein. Deshalb geht es in der Hauptsache um die erwähnte Prävention. Folgende Gebiete sind dabei wichtig und deshalb mögliche Bestandteile der Schulungen:

  • Daten- und Informationssicherheit
  • elektronische Kommunikation
  • physische Sicherheit der IT
  • soziale Netzwerke
  • Social Engineering
  • Passwörter
  • Pishing

(ID:47385106)