Die Schulung des Personals in Cybersicherheit ist von entscheidender Bedeutung, da der Mensch das schwächste Glied bei den meisten Sicherheitsvorfällen bleibt. Ob es sich um einen Klick auf einen Phishing-Link, ein zu schwaches Passwort oder die unbeabsichtigte Weitergabe sensibler Informationen handelt, menschliches Versagen ist die Ursache für viele Kompromittierungen.
Eine gute Schulung versetzt die Mitarbeiter in die Lage, Bedrohungen zu erkennen, sich im Alltag sicher zu verhalten (Passwortverwaltung, Wachsamkeit gegenüber verdächtigen E-Mails, Einhaltung von Verfahren) und im Zweifelsfall richtig zu reagieren. Dies stärkt die allgemeine Sicherheitsposition des Unternehmens und reduziert das Risiko eines erfolgreichen Angriffs erheblich.
Die Sensibilisierung zielt darauf ab, eine allgemeine Sicherheitskultur zu verbreiten, die für alle Mitarbeiter zugänglich ist, unabhängig von ihrem Beruf oder ihrem technischen Niveau. Sie umfasst konkrete Themen: Phishing, Passwörter, Mobilität, soziale Netzwerke, Wachsamkeit im Homeoffice usw. Ziel ist es, jeden zu einem Akteur der Sicherheit in seinen täglichen Gewohnheiten zu machen.
Die technische Schulung hingegen richtet sich an spezialisiertere Profile (IT-Teams, Entwickler, Administratoren) und befasst sich mit spezifischen Kompetenzen wie der Härtung von Systemen, der sicheren Entwicklung oder dem Incident Management. Sie erfordert oft Vorkenntnisse und zielt darauf ab, die Sicherheit durch technische Beherrschung zu stärken.
Mangelndes Bewusstsein setzt das Unternehmen sehr konkreten Risiken aus: Öffnen betrügerischer E-Mails, Installation von Malware, Datenlecks oder schlechte Praktiken wie die Verwendung unverschlüsselter Medien oder die Weitergabe von Passwörtern. Diese Fehler können zu kostspieligen Cyberangriffen oder sogar zu Betriebsunterbrechungen führen.
Darüber hinaus kann ungeschultes Personal unbeabsichtigt zum Einfallstor für Ransomware, Datendiebstahl oder Industriespionage werden. In einem Kontext zunehmender Digitalisierung bedeutet die Ignorierung dieses Aspekts, eine permanente Schwachstelle in der Verteidigung des Unternehmens zu hinterlassen.
Wenn ein Sicherheitsvorfall aufgrund eines riskanten Verhaltens eines unzureichend informierten Mitarbeiters auftritt, bleibt das Unternehmen weitgehend verantwortlich. Das Gesetz, insbesondere das revDSG in der Schweiz und die DSGVO in Europa, verpflichtet Organisationen, die notwendigen Massnahmen zu ergreifen, um Daten zu schützen und Risiken zu reduzieren. Dazu gehören die Schulung und Sensibilisierung des Personals.
Im Falle eines Rechtsstreits oder einer Untersuchung könnte ein Unternehmen, das nicht nachweisen kann, dass es Präventionsmassnahmen ergriffen hat (wie z. B. regelmässige Schulungen, Sensibilisierungskampagnen oder Erinnerungen an bewährte Verfahren), als fahrlässig beurteilt werden. Dies kann zu Geldstrafen, Reputationsschäden und einem Vertrauensverlust bei Kunden und Partnern führen.
In einem KMU sollten alle Mitarbeiter geschult werden, zumindest in den Grundlagen der Cybersicherheit. Jedes Profil ist betroffen: die Verwaltung, die sensible Dokumente verwaltet, der Vertrieb, der per E-Mail mit Externen kommuniziert, oder der Techniker, der auf die Verwaltungstools zugreift. Die Schulung sollte an die Rolle und die mit jeder Position verbundenen Risiken angepasst sein.
Ergänzend dazu sollten die technischen Teams, die Sicherheitsbeauftragten (sofern vorhanden) und die Geschäftsführung umfassendere Schulungen absolvieren, um die Herausforderungen zu verstehen, Entscheidungen zu steuern und im Falle eines Vorfalls effektiv zu reagieren. In einem KMU, in dem die Ressourcen begrenzt sind, ist es oft realistischer, intelligent und schrittweise zu schulen, als Vollständigkeit anzustreben.