Warum Informationssicherheitstraining sich lohnt – Ein Blick auf den ROI
Im Bereich Informationssicherheit sind die Hauptbedrohungen auf den Faktor Mensch gerichtet. Mitarbeiter*innen müssen Angriffe deshalb erkennen und abwehren können.
Als E-Learning-Agentur hat uns interessiert, welchen Beitrag Informationssicherheitstrainings dazu leisten können. Wie sieht der Return on Investment (kurz ROI) dieser Schulungen aus? Lohnt sich die Investition?
Dafür haben wir uns verschiedene Studien angesehen. Alle sind unisono zu dem Ergebnis gekommen: Ja, es lohnt sich!
Soviel vorweg, lassen Sie uns nun aber erstmal einen Blick darauf werfen, warum das auch für Sie wichtig ist.
Die wachsende Gefahr durch Cyberangriffe
In unserer vernetzten Welt nehmen Cyberangriffe auf Unternehmen ständig zu. Zu diesem Schluss kommt unter anderem die 2020 Ponemon Studie, die die Kosten von Cyberkriminalität in 16 Industriezweigen in 11 Ländern (darunter Deutschland) untersucht hat:
Sind diese Angriffe erfolgreich, richten sie immense wirtschaftliche Schäden an. IBM Security veröffentlichte im Bericht über die Kosten einer Datenschutzverletzung, dass 2020 die durchschnittlichen Gesamtkosten pro Verletzung bei 3,86 Millionen Dollar lagen.
Zusätzlich zu diesem finanziellen Schaden führen Datenlecks aber auch zu Knowhow- und Imageverlust. Um das zu verhindern, investieren viele Unternehmen und schützen ihre IT-Systeme mit wirkungsvollen Programmen und Abwehrsystemen. Das macht es den Tätern schwer.
Deutlich macht dies ein Blick auf die Entwicklung der Angriffe in den letzten Jahren. Hier zeigt sich der höchste Anstieg bei personenbezogenen Angriffen:
Wie können sich Organisationen schützen?
Gegen einen Plausch am Telefon oder das Klicken auf einen Link, hilft keine Firewall.
Wie eingangs schon erwähnt liegt der Schlüssel hier bei dem Erkennen und Abwehren von Angriffen durch Mitarbeiter*innen.
Können Informationssicherheitsschulungen dazu einen Beitrag leisten?
Das Marktforschungsunternehmen Osterman Research kommt in seiner Studie von 2019 zu dem Ergebnis, dass Mitarbeiter*innen, die ein Informationssicherheitstraining gemacht haben, signifikant besser darin sind Gefahren zu erkennen als vor dem Training.

Vergleicht man dann noch die durchschnittlichen Gesamtkosten pro Datenschutzverletzung, die bei 3,86 Millionen Dollar liegen, mit den Kosten für Mitarbeiterschulungen erkennt man schnell, dass das eine gute Investition ist. Zwar sind die Kosten je nach Schulungsart, Unternehmensstruktur – und größe unterschiedlich, Ostermann Research geht aber von einem Return of Invest von 69 % für kleine Unternehmen bis 562 % für große Unternehmen aus.
Sie sehen: Informationssicherheitstraining zeigt einen sehr guten ROI. So ist es nicht weiter verwunderlich, dass auch staatliche Institutionen wie das amerikanische National Institute of Standards and Technologies Initiativen für Informationssicherheitstrainings ins Leben gerufen haben, beispielsweise die National Initiative for Cybersecurity Education (NICE).
Wie erreicht Ihr Informationssicherheitstraining den besten ROI?
Die besten Trainingsergebnisse erreichen Sie, wenn die Schulung nicht nur einmal, sondern in regelmäßigen Abständen, stattfindet. Sind im Training auch noch Beispiele und klare Handlungsanweisungen enthalten, behalten die Teilnehmer*innen das Gelernte nicht nur, sondern erlangen auch das Wissen und das Selbstvertrauen das Gelernte anzuwenden. Und genau darauf kommt es im Falle eines Cyberangriffs an.
Regelmäßiges Training ist also wichtig und lässt sich auf unterschiedliche Arten (Präsenz, online usw.) verwirklichen. Am einfachsten geht es aber – vor allem bei vielen Mitarbeiter*innen – mit E-Learning. Hier können alle Mitarbeiter*innen global geschult werden – ob im Büro oder im Homeoffice. Darüber hinaus können Sie so auch neue Mitarbeiter*innen sofort erreichen.
Aber ist E-Learning auch genauso effektiv wie eine persönliche Schulung? Ja, denn ein E-Learning hat den Vorteil, dass die Teilnehmer*innen in ihrem eigenen Tempo lernen können. Sie können einzelne Passagen wiederholen oder langsamer abspielen. Alle Teilnehmer*innen werden durch Interaktionen involviert und müssen mitdenken.
Unser Fazit
Diese Erkenntnisse haben uns dazu bewogen, ein Standardtraining zum Thema Informationssicherheit zu machen. Es besteht aus einzelnen Modulen, die bedarfsgerecht zusammengestellt und nacheinander ausgerollt werden können. So werden auch Ihre Mitarbeiter*innen passgenau für Ihr Unternehmen geschult, ohne dass Sie Wartezeiten für ein Individualtraining in Kauf nehmen müssen.
Schauen Sie sich unser Angebot doch einmal unverbindlich an!