Um die AEO-Sicherheitszertifizierung (AEOS) zu erhalten und aufrechtzuerhalten, ist die Personalschulung eine grundlegende Voraussetzung. Selbst die besten technischen und physischen Maßnahmen sind wirkungslos, wenn die Mitarbeiter nicht darauf vorbereitet sind, Bedrohungen wie Phishing, Social Engineering und unbefugte Zugriffe zu erkennen und abzuwehren. Die Zollbehörden betrachten den menschlichen Faktor als das schwächste Glied in der Lieferkette: Aus diesem Grund ist kontinuierliche Sensibilisierung eine tragende Säule der Zertifizierung.

Regulatorische Anforderungen für die AEOS-Schulung

Artikel 39 Buchstabe e) des Zollkodex der Union (UZK) legt fest, dass Wirtschaftsbeteiligte angemessene Sicherheitsstandards gewährleisten müssen. Dazu gehört die Verpflichtung sicherzustellen, dass Personal mit relevanten Verantwortlichkeiten regelmäßig an Sicherheitsschulungsprogrammen teilnimmt. Dies ist keine einmalige Erfüllung, sondern ein kontinuierlicher Prozess, der darauf abzielt:

• Mitarbeiter über die Sicherheitsrichtlinien des Unternehmens zu unterweisen
• Die Fähigkeit zu entwickeln, Bedrohungen und Anomalien zu erkennen
• Klare Verfahren für die Meldung von Vorfällen zu definieren

Die Personalschulung ist in die anderen Anforderungen der AEO-Zertifizierung im Bereich Cybersicherheit integriert und trägt dazu bei, ein umfassendes und widerstandsfähiges Sicherheitssystem zu schaffen.

Wesentliche Schulungsinhalte

Die Sensibilisierungsprogramme müssen verschiedene operative Bereiche abdecken, um einen vollständigen Schutz der Lieferkette zu gewährleisten:

• Identifizierung verdächtiger Ladungen: Das mit der Warenabfertigung betraute Personal muss in der Lage sein, Anomalien bei Ladungen und Sendungen zu erkennen
• Erkennung interner und externer Bedrohungen: Fähigkeit, Versuche des physischen Eindringens, der Systemmanipulation oder unbefugter Zugriffe zu identifizieren
• Schutz vor Cyberangriffen: Bewusstsein für Social-Engineering-Techniken und die Fähigkeit, Phishing-Versuche zu erkennen
• Meldeverfahren: Kenntnis der internen Kanäle, um verdächtige Fälle oder Sicherheitsverletzungen unverzüglich zu melden

Wirksamkeit überprüfen: Simulationen und Praxistests

Die Gesetzgebung schreibt keine spezifischen Tests vor, verlangt jedoch, dass die Schulung konkrete Werkzeuge zur Erkennung von Abweichungen von den Sicherheitsrichtlinien bereitstellt. Damit die Schulung nicht zu einer rein bürokratischen Pflichtübung wird, ist es entscheidend, ihre operative Wirksamkeit durch Folgendes zu messen:

• Phishing-Simulationen: Kontrollierte Kampagnen zur Bewertung der Fähigkeit des Personals, betrügerische E-Mails und Nachrichten zu erkennen
• Social-Engineering-Tests: Praktische Überprüfungen, die die Widerstandsfähigkeit gegen Versuche psychologischer Manipulation messen
• Übungen zur Reaktion auf Vorfälle: Simulationen, die die Bereitschaft testen, die Meldeverfahren einzuhalten

ISGroup unterstützt Unternehmen mit simulierten Phishing- und Smishing-Kampagnen sowie personalisierten Schulungsprogrammen, um das Bewusstsein des Personals zu schärfen und das Risiko von Kompromittierungen zu verringern, die die AEO-Zulassung gefährden könnten.

Dokumentation und kontinuierliche Aktualisierung

Der Wirtschaftsbeteiligte muss angemessene Aufzeichnungen über die Sensibilisierungsprogramme führen, einschließlich:

• Angewandte Methoden und Schulungsinhalte
• Teilnehmerliste und Durchführungsdaten
• Ergebnisse etwaiger Tests und Simulationen

Die Schulung muss regelmäßig aktualisiert werden, um die Entwicklung von Bedrohungen, Änderungen in den Unternehmensabläufen und den Eintritt von neuem Personal zu berücksichtigen. Es gibt keine obligatorische feste Frequenz, aber Best Practices legen jährliche Auffrischungssitzungen sowie eine obligatorische Schulung für alle neuen Mitarbeiter nahe. Diese Dokumentationsaspekte sind Teil des breiteren Rahmens der Sicherheits-Governance für AEOS.

FAQ – Cyber-Schulung für die AEO-Zertifizierung

• Ist die Sicherheitsschulung für den Erhalt der AEOS obligatorisch?
• Ja. Dies ist eine ausdrückliche Anforderung aus Artikel 39 des UZK. Personal mit relevanten Verantwortlichkeiten muss regelmäßig an Sicherheitsschulungsprogrammen teilnehmen.
• Welche Dokumente muss ich zur Schulung aufbewahren?
• Sie müssen die angewandten Methoden, Schulungsinhalte, Teilnehmerlisten, Durchführungsdaten und die Ergebnisse etwaiger Tests aufzeichnen. Diese Dokumentation dient dem Nachweis der Konformität gegenüber den Zollbehörden.
• Wie oft muss die Schulung wiederholt werden?
• Es gibt keine fest vorgeschriebene Frequenz, aber die Schulung muss regelmäßig an Personalwechsel, Verfahrensänderungen oder neue Bedrohungen angepasst werden. Für alle neuen Mitarbeiter ist sie obligatorisch.
• Welche Themen muss die Schulung abdecken?
• Identifizierung verdächtiger Ladungen, Erkennung interner und externer Bedrohungen, Schutz vor Phishing und Social Engineering, Verfahren zur Meldung von Vorfällen sowie Zugangskontrollen.
• Sind Phishing-Simulationen notwendig?
• Sie sind gesetzlich nicht vorgeschrieben, werden aber dringend empfohlen. Sie ermöglichen es, die Wirksamkeit der Schulung und die tatsächliche Fähigkeit des Personals zur Erkennung von Cyberangriffen zu überprüfen, wodurch das Risiko von Sicherheitsverletzungen verringert wird.

Weiterführende Informationen

• AEO-Audit und Vulnerability Assessment: Wie man sich vorbereitet
• Schwachstellenmanagement für die AEOS-Zertifizierung
• Netzwerk-Penetrationstest für AEOS: Anforderungen und Methoden
• SOC-Überwachung und Incident Response für AEOS
• AEOS und Sicherheit der Geschäftspartner
• System- und Anwendungssicherheit für AEOS