Erfolgreiche Phishing-Angriffe sorgen weltweit für Milliardenschäden. Die Sensibilisierung von Mitarbeitenden kann hier den notwendigen Unterschied machen, um die technischen Verteidigungsmechanismen entscheidend zu ergänzen.

Entsprechend wird diese selbstverständlich auch durch die ISO 27001 gefordert. Die Norm lässt dabei jedoch viele Freiheiten zur Ausgestaltung. Als Mindestmaß hat sich etabliert, dass die Mitarbeitenden mindestens einmal im Jahr eine Schulung oder z. B. ein Onlinetraining zur Informationssicherheit durchlaufen sollten und auch neue Mitarbeitende beim Eintritt eine entsprechende Schulung bekommen.

Neben den klassischen Awareness-Schulungen, können auch zielgruppenbasierte Trainings zum Beispiel für IT-Administratoren oder Entwickler sinnvoll sein, wenn ich z.B. in einem technologisch geprägten Unternehmen arbeite.

In einem Schulungsprogramm sollten alle diese Schulungen und Trainings geplant und erfasst werden um Ressourcen und Aufwände abschätzen zu können.