Veröffentlicht in Weiterbildung.

Warum Informations-sicherheitstraining sich lohnt – Ein Blick auf den ROI

Geschrieben von ICON auf .

Im Bereich Informationssicherheit sind die Hauptbedrohungen auf den Faktor Mensch gerichtet. Mitarbeiter*innen müssen Angriffe deshalb erkennen und abwehren können.

Als E-Learning-Agentur hat uns interessiert, welchen Beitrag Schulungen dazu leisten können. Wie sieht der Return on Investment (kurz ROI) von Informationssicherheitstrainings aus? Lohnt sich die Investition?

Dafür haben wir uns verschiedene Studien angesehen. Alle sind unisono zu dem Ergebnis gekommen: Ja, es lohnt sich!

Soviel vorweg, lassen Sie uns nun aber erstmal einen Blick darauf werfen, warum das auch für Sie wichtig ist.

Die wachsende Gefahr durch Cyberangriffe

In unserer vernetzten Welt nehmen Cyberangriffe auf Unternehmen ständig zu. Zu diesem Schluss kommt unter anderem die 2020 Ponemon Studie, die die Kosten von Cyberkriminalität in 16 Industriezweigen in 11 Ländern (darunter Deutschland) untersucht hat:

Abb. 1: Anstieg der Sicherheitsverletzungen seit 2013

Sind diese Angriffe erfolgreich, richten sie immense wirtschaftliche Schäden an. IBM Security veröffentlichte im Bericht über die Kosten einer Datenschutzverletzung, dass 2020 die durchschnittlichen Gesamtkosten pro Verletzung bei 3,86 Millionen Dollar lagen.

Zusätzlich zu diesem finanziellen Schaden führen Datenlecks aber auch zu Knowhow- und Imageverlust. Um das zu verhindern, investieren viele  Unternehmen und schützen ihre IT-Systeme mit wirkungsvollen Programmen und Abwehrsystemen. Das macht es den Tätern schwer.

Längst haben diese aber erkannt, dass es noch einen anderen Weg zu vertraulichen Daten gibt: die Mitarbeiter*innen!

Deutlich macht dies ein Blick auf die Entwicklung der Angriffe in den letzten Jahren. Hier zeigt sich der höchste Anstieg bei personenbezogenen Angriffen:

Abb. 2: Entwicklung der Cyberangriffe

Wie können sich Organisationen schützen?

Gegen einen Plausch am Telefon oder das Klicken auf einen Link, hilft keine Firewall.

Schadhafte Mail-Anhänge sind laut einer Befragung des Bundesamts für Sicherheit in der Informationstechnik, kurz BSI, immer noch der Hauptgrund für die Infizierung von Computern mit Schadprogrammen.

Wie eingangs schon erwähnt liegt der Schlüssel hier bei dem Erkennen und Abwehren von Angriffen durch Mitarbeiter*innen.

Können Informationssicherheitsschulungen dazu einen Beitrag leisten?

Das Marktforschungsunternehmen Osterman Research kommt in seiner Studie von 2019 zu dem Ergebnis, dass Mitarbeiter*innen, die ein Informationssicherheitstraining gemacht haben, signifikant besser darin sind Gefahren zu erkennen als vor dem Training.

Abb. 3: Anteil der IT/ Sicherheitsmitarbeiter*innen, die Mitarbeiter*innen als "fähig" oder "sehr fähig" eine Cyber Attacke zu erkennen eingestuft haben.

Vergleicht man dann noch die durchschnittlichen Gesamtkosten pro Datenschutzverletzung, die bei 3,86 Millionen Dollar liegen, mit den Kosten für Mitarbeiterschulungen erkennt man schnell, dass das eine gute Investition ist. Zwar sind die Kosten je nach Schulungsart, Unternehmensstruktur - und größe unterschiedlich, Ostermann Research geht aber von einem Return of Invest von 69 % für kleine Unternehmen bis 562 % für große Unternehmen aus.

Sie sehen: Informationssicherheitstraining zeigt einen sehr guten ROI. So ist es nicht weiter verwunderlich, dass auch staatliche Institutionen wie das amerikanische National Institute of Standards and Technologies Initiativen für Informationssicherheitstrainings ins Leben gerufen haben, beispielsweise die National Initiative for Cybersecurity Education (NICE).

Wie werden die besten Schulungsergebnisse erreicht?

Die besten Trainingsergebnisse werden dabei erreicht, wenn die Schulung nicht nur einmal, sondern in regelmäßigen Abständen, stattfindet. Sind im Training auch noch Beispiele und klare Handlungsanweisungen enthalten, behalten die Teilnehmer*innen das Gelernte nicht nur, sondern erlangen auch das Wissen und das Selbstvertrauen das Gelernte anzuwenden. Und genau darauf kommt es im Falle eines Cyberangriffs an.

Regelmäßiges Training ist also wichtig und lässt sich auf unterschiedliche Arten (Präsenz, online usw.) verwirklichen. Am einfachsten geht es aber - vor allem bei vielen Mitarbeiterinnen - mit E-Learning. Hier können alle Mitarbeiterinnen global geschult werden - ob im Büro oder im Homeoffice. Darüber hinaus können auch neue Mitarbeiter*innen sofort erreicht werden.

Aber ist E-Learning auch genauso effektiv wie eine persönliche Schulung? Ja, denn ein E-Learning hat den Vorteil, dass die Teilnehmerinnen in ihrem eigenen Tempo lernen können. Einzelne Passagen können wiederholt oder langsamer abgespielt werden. Alle Teilnehmerinnen werden durch Interaktionen involviert und müssen mitdenken.

Unser Fazit

Diese Erkenntnisse haben uns dazu bewogen, ein Standardtraining zum Thema Informationssicherheit zu machen. Es besteht aus einzelnen Modulen, die bedarfsgerecht zusammengestellt und nacheinander ausgerollt werden können. So werden auch Ihre Mitarbeiter*innen passgenau für Ihr Unternehmen geschult, ohne dass Sie Wartezeiten für ein Individualtraining in Kauf nehmen müssen.

Schauen Sie sich unser Angebot doch einmal unverbindlich an!

Tags

Ähnliche Beiträge

    © ICON

    🍪 Wir nutzen Cookies

    Diese Internetseite verwendet Matomo für die Analyse und Statistik. Es werden keine Daten an Drittanbieter übergeben. Wenn Sie der Verwendung von Cookies zustimmen, helfen Sie uns, die Benutzerfreundlichkeit unserer Website zu verbessern.

    Durch die Nutzung unserer Website akzeptieren Sie folgende Bedingungen: Datenschutz.