Home » Fachbeiträge » Security Management » Ist Security-Awareness Zeitverschwendung?

Ist Security-Awareness Zeitverschwendung?

Anfang der 2000er war die goldene Zeit der Awareness – es gab zahlreiche Tagungen in aller Welt, Gesamtpakete zur Steigerung der Awareness von Mitarbeitern mit Kantinen-Events (Security-Day), Tassen, Kugelschreibern und Postern. Heutzutage gibt es meist 08/15-Vorträge für die Mitarbeiter oder ein todlangweiliges computerbased Training. Ist daher die Zeit der Awareness vorbei? Ist es wirklich so, wie der „IT-Guru“ Bruce Schneider sagt: „Security-Awareness ist Zeitverschwendung“?

1 Min. Lesezeit
Foto: © adobe.stock.com/Funtap

Anfang der 2000er war die goldene Zeit der Awareness – es gab zahlreiche Tagungen in aller Welt, Gesamtpakete zur Steigerung der Awareness von Mitarbeitern mit Kantinen-Events (Security-Day), Tassen, Kugelschreibern und Postern. Heutzutage gibt es meist 08/15-Vorträge für die Mitarbeiter oder ein todlangweiliges computerbased Training. Ist daher die Zeit der Awareness vorbei? Ist es wirklich so, wie der „IT-Guru“ Bruce Schneider sagt: „Security-Awareness ist Zeitverschwendung“?

Diesen Fragen geht Sebastian Broecker in seinem <kes>-Artikel „Eine kurze Geschichte der Awareness“ nach und stellt einen zunehmenden Bedeutungsverlust fest. So reichte im „Golden Age“ ein vielleicht monatlich erscheinender Newsletter zur Awareness, heute aber seien stundenaktuelle Warnungen (z. B. bei Telefonangriffen) an der Tagesordnung. Das stehe völlig im Widerspruch zu den derzeit beliebten webbased Trainings, die meist einmal jährlich absolviert werden müssen und nur selten eine Überarbeitung erfahren. Andere Gründe für den Bedeutungsverluste sieht der Autor in einem Information-Overflow und fehlender Identifikation sowie in trügerischen Key-Performance-Indicators (KPIs). Aber es gebe trotzdem Hoffnung und man könne die Awareness retten, meint Bröcker.

Der Artikel „Eine kurze Geschichte der Awareness“ ist in der <kes> – Zeitschrift für Informations-Sicherheit erschienen.

Er ist kostenfrei unter www.kes.info/aktuelles/kes/eine-kurze-geschichte-der-awareness/ verfügbar.

Andere interessante Fachbeiträge

Cyberrisiko-Check nach SPEC 27076

In der Ära der Digitalisierung wird es für kleine Betriebe immer wichtiger, ihre Wettbewerbsfähigkeit zu bewahren. Dabei spielt die fortschreitende Bedrohung durch Cyberangriffe, insbesondere Ransomware, eine zunehmend besorgniserregende Rolle. Doch wie können sich diese Unternehmen gegen die Gefahren der Cyberwelt schützen? Eine Antwort bietet der innovative CyberRisiko-Check.

Konflikte managen statt austragen

Die fachbereichsübergreifende Ausrichtung als Stabsstelle platziert CISOs an den Reibungspunkten verschiedenster Interessenlagen, wo Konflikte eher die Regel sind. Hier stehen sie vor weiteren Anforderungen, werden bei wichtigen Entscheidungen nicht rechtzeitig einbezogen und laufen Gefahr, zum gemeinsamen Feind der anderen Beteiligten zu werden.

Business-Continuity-Management mit IT-Grundschutz

Nach einer umfangreichen Modernisierungsphase und zwei öffentlichen Kommentierungsphasen steht der finale BSI-Standard 200-4 „Business Continuity Management“ (BCM) bereit. Er richtet sich an Institutionen verschiedenster Art und Größe und hilft ihnen dabei, sich bestmöglich auf Schadensereignisse vorzubereiten