3 Minuten   
Weiterbildung

Warum Informationssicherheitstraining sich lohnt – Ein Blick auf den ROI

Im Bereich Informationssicherheit sind die Hauptbedrohungen auf den Faktor Mensch gerichtet. Mitarbeiter*innen müssen Angriffe deshalb erkennen und abwehren können.

Als E-Learning-Agentur hat uns interessiert, welchen Beitrag Informationssicherheitstrainings dazu leisten können. Wie sieht der Return on Investment (kurz ROI) dieser Schulungen aus? Lohnt sich die Investition?

Dafür haben wir uns verschiedene Studien angesehen. Alle sind unisono zu dem Ergebnis gekommen: Ja, es lohnt sich!

Soviel vorweg, lassen Sie uns nun aber erstmal einen Blick darauf werfen, warum das auch für Sie wichtig ist.

Die wachsende Gefahr durch Cyberangriffe

In unserer vernetzten Welt nehmen Cyberangriffe auf Unternehmen ständig zu. Zu diesem Schluss kommt unter anderem die 2020 Ponemon Studie, die die Kosten von Cyberkriminalität in 16 Industriezweigen in 11 Ländern (darunter Deutschland) untersucht hat: 

Anstieg der Sicherheitsverletzungen um 67 %, wenn man die Anzahl der Verletzungen von 2018 und 2013 vergleicht.
Abb. 1 Anstieg der Sicherheitsverletzungen seit 2013

Sind diese Angriffe erfolgreich, richten sie immense wirtschaftliche Schäden an. IBM Security veröffentlichte im Bericht über die Kosten einer Datenschutzverletzung, dass 2020 die durchschnittlichen Gesamtkosten pro Verletzung bei 3,86 Millionen Dollar lagen.

Zusätzlich zu diesem finanziellen Schaden führen Datenlecks aber auch zu Knowhow- und Imageverlust. Um das zu verhindern, investieren viele  Unternehmen und schützen ihre IT-Systeme mit wirkungsvollen Programmen und Abwehrsystemen. Das macht es den Tätern schwer.

Längst haben diese aber erkannt, dass es noch einen anderen Weg zu vertraulichen Daten gibt: die Mitarbeiter*innen!

Deutlich macht dies ein Blick auf die Entwicklung der Angriffe in den letzten Jahren. Hier zeigt sich der höchste Anstieg bei personenbezogenen Angriffen:

Der höchste Anstieg zeigt sich bei personenbezogenen Angriffen.
Abb. 2 Entwicklung der Cyberangriffe

Wie können sich Organisationen schützen?

Gegen einen Plausch am Telefon oder das Klicken auf einen Link, hilft keine Firewall.

Schadhafte Mail-Anhänge sind laut einer Befragung des Bundesamts für Sicherheit in der Informationstechnik, kurz BSI, immer noch der Hauptgrund für die Infizierung von Computern mit Schadprogrammen.

Wie eingangs schon erwähnt liegt der Schlüssel hier bei dem Erkennen und Abwehren von Angriffen durch Mitarbeiter*innen.

Können Informationssicherheitsschulungen dazu einen Beitrag leisten?

Das Marktforschungsunternehmen Osterman Research kommt in seiner Studie von 2019 zu dem Ergebnis, dass Mitarbeiter*innen, die ein Informationssicherheitstraining gemacht haben, signifikant besser darin sind Gefahren zu erkennen als vor dem Training.

Durch das Training steigt das Zutrauen, dass die Mitarbeiter*innen Phishing und Social Engineering erkennen signifikant an: von einem fünftel auf zwei drittel.
Abb. 3 Anteil der IT/ Sicherheitsmitarbeiter*innen, die Mitarbeiter*innen als „fähig“ oder „sehr fähig“ eine Cyber Attacke zu erkennen eingestuft haben.

Vergleicht man dann noch die durchschnittlichen Gesamtkosten pro Datenschutzverletzung, die bei 3,86 Millionen Dollar liegen, mit den Kosten für Mitarbeiterschulungen erkennt man schnell, dass das eine gute Investition ist. Zwar sind die Kosten je nach Schulungsart, Unternehmensstruktur – und größe unterschiedlich, Ostermann Research geht aber von einem Return of Invest von 69 % für kleine Unternehmen bis 562 % für große Unternehmen aus.

Sie sehen: Informationssicherheitstraining zeigt einen sehr guten ROI. So ist es nicht weiter verwunderlich, dass auch staatliche Institutionen wie das amerikanische National Institute of Standards and Technologies Initiativen für Informationssicherheitstrainings ins Leben gerufen haben, beispielsweise die National Initiative for Cybersecurity Education (NICE).

Wie erreicht Ihr Informationssicherheitstraining den besten ROI?

Die besten Trainingsergebnisse erreichen Sie, wenn die Schulung nicht nur einmal, sondern in regelmäßigen Abständen, stattfindet. Sind im Training auch noch Beispiele und klare Handlungsanweisungen enthalten, behalten die Teilnehmer*innen das Gelernte nicht nur, sondern erlangen auch das Wissen und das Selbstvertrauen das Gelernte anzuwenden. Und genau darauf kommt es im Falle eines Cyberangriffs an.

Regelmäßiges Training ist also wichtig und lässt sich auf unterschiedliche Arten (Präsenz, online usw.) verwirklichen. Am einfachsten geht es aber – vor allem bei vielen Mitarbeiter*innen – mit E-Learning. Hier können alle Mitarbeiter*innen global geschult werden – ob im Büro oder im Homeoffice. Darüber hinaus können Sie so auch neue Mitarbeiter*innen sofort erreichen.

Aber ist E-Learning auch genauso effektiv wie eine persönliche Schulung? Ja, denn ein E-Learning hat den Vorteil, dass die Teilnehmer*innen in ihrem eigenen Tempo lernen können. Sie können einzelne Passagen wiederholen oder langsamer abspielen. Alle Teilnehmer*innen werden durch Interaktionen involviert und müssen mitdenken.

Unser Fazit

Diese Erkenntnisse haben uns dazu bewogen, ein Standardtraining zum Thema Informationssicherheit zu machen. Es besteht aus einzelnen Modulen, die bedarfsgerecht zusammengestellt und nacheinander ausgerollt werden können. So werden auch Ihre Mitarbeiter*innen passgenau für Ihr Unternehmen geschult, ohne dass Sie Wartezeiten für ein Individualtraining in Kauf nehmen müssen.

Schauen Sie sich unser Angebot doch einmal unverbindlich an!
Doris Jandel ist E-Learning-Autorin bei ICON. Hier konzipiert und schreibt sie Drehbücher für Online-Trainings seit 2018. Zuvor war sie 14 Jahre als Corporate Trainer und Program Managerin u.a. verantwortlich für Konzeption und Erstellung von Trainingsprogramme und Lehrpläne. Weitere Informationen finden Sie bei LinkedIn: https://bit.ly/2MiMDtZ