Security Awareness mit Herz und Verstand – das ABC der Security Awareness

Phishing, Phishing und nochmals Phishing: Kein Security Report, keine Ransomware-Meldung kommt ohne die Erwähnung der bei den Angreifern so beliebten Social-Engineering-Technik aus. Zielscheibe ist immer der Mensch. Viele technische Lösungen zielen daher mit Zero Trust auf den menschlichen Faktor als Risiko Nummer eins ab. Doch die Wahrheit steckt wie immer im Detail. Die eigentliche Schwachstelle liegt nicht beim Menschen, sondern bei der Technik. Noch immer gelangen zu viele Phishing-E-Mails ins Postfach, schaffen es zu viele anonyme Anrufe und bösartige Links durch die vielschichtigen Sicherheitsschleusen. Aus diesem Grund sollten Maßnahmen vielmehr den Spieß umdrehen und die vermeintliche Schwachstelle in die größte Stärke eines Unternehmens verwandeln. Dies gelingt am besten und nachhaltigsten mit Security-Awareness-Trainings.

Artikelbild - Security, Laptop, Sticker

Human Risk Management

Laut einer Studie von ArmorBlox umgehen 56 Prozent der gezielten Phishing-Angriffe herkömmliche Sicherheitsfilter. Security E-Mail Gateways und Sicherheitstools werden aufgrund von Generative AI zunehmend unwirksam. Nach Angaben von IDC konzentrieren sich weniger als drei Prozent der Sicherheitsausgaben auf die menschliche Ebene, obwohl laut dem Verizon Data Breach Investigations Report 2024 über 68 Prozent der Sicherheitsverletzungen auf den Menschen zurückzuführen sind. Das menschliche Element wird also zu oft übersehen. Unternehmen begegnen der Bedrohungslandschaft mit den falschen Ansätzen. Anstatt den Menschen einzuschränken, sollten sie ihn bestärken.

Awareness als Grundlage für sicheres Verhalten

Schutz gegen Phishing kann und wird nicht durch Technologie allein erreicht werden. Zusätzlich müssen die Mitarbeitenden für die Gefahren, die von Social Engineering ausgehen, sensibilisiert werden. Hierfür müssen alle Abteilungen, also IT, Personal, Marketing, Compliance und die Rechtsabteilung, zusammenarbeiten. Denn die zu erfüllende Aufgabe ist eine nachhaltige Steigerung der Cybersicherheit und Resilienz einer Organisation durch die Ermächtigung aller beteiligten Personen. Die Befähigung ist der Weg dorthin. Es gilt das Herz und den Verstand der Mitarbeitenden von der Notwendigkeit der Maßnahme zu überzeugen. Wie Social Engineering erkannt und vereitelt werden kann, wird sodann durch Gamification-Ansätze und Informationskampagnen vermittelt. Zudem bieten Unternehmen ihren Mitarbeitenden die Möglichkeit, das erlernte Verhalten in regelmäßigen Phishing-Simulationen zu vertiefen. Cybersicherheit soll als wesentlicher Bestandteil der Unternehmenskultur etabliert werden. Am Ende des Prozesses entsteht dann eine Sicherheitskultur.

Ein erfolgreiches Security-Awareness-Training umfasst die folgenden sechs Punkte:

  1. Inhalte – Die Inhalte unterscheiden sich sowohl in der Darstellung und Art des Mediums als auch in den Themen. Darüber hinaus gibt es kulturelle Unterschiede in der Wissensvermittlung und -aneignung, die es zu beachten gilt. Die verschiedenen Inhalte sollten allerdings auch immer an die verschiedenen Rollen und Funktionen im Unternehmen angepasst werden.
  2. Unterstützung und Planung – Security-Awareness-Trainer benötigen unterstützende Materialien, um den Mehrwert eines SAT-Programms gegenüber der Geschäftsführung zu bestätigen und auch den Auditoren und Regulierungsbehörden zu zeigen, dass es an den richtigen Stellen ansetzt.
  3. Kampagnen – Ein erfolgreiches Programm sollte nicht einmalig sein, sondern als Kampagne betrachtet werden. Diese muss zielgruppenspezifisch gestaltet und relevant für den jeweiligen Aufgabenbereich sein, sodass ein Engagement entsteht. Ziel muss es sein, dass die Mitarbeitenden sich den Zielen und dem „Warum“ des Programms persönlich verbunden fühlen. Es gilt, das Herz und den Verstand der Mitarbeitenden für die gemeinsame Sache zu gewinnen.
  4. Regelmäßiges Training – In der Wiederholung und Abwechslung der Trainingsinhalte liegt der Erfolg aller Maßnahmen. In weiterer Abfolge kann das Erlernte dann individuell vertieft werden. Nachhaltige Veränderungen des Verhaltens können nur durch einen gezielten Aufbau von Kompetenzen erreicht werden. Um alte Gewohnheiten zu durchbrechen, müssen Mitarbeiter als allererstes verstehen, warum ein Verhalten gefährlich ist. Sie entwickeln dann eine bewusste Kompetenz, die später zu einem routinemäßigen Verhalten ausgebaut werden kann.
  5. Metriken und Berichte – Security Awareness-Trainer müssen die Effektivität der Trainings nachweisen können. Anhand von Berichten können sie erfolgreiche von weniger erfolgreichen Maßnahmen unterscheiden.
  6. Umfragen und Bewertungen – Dieses Feedback-Mittel funktioniert ebenfalls gut, um noch einmal von den Trainierten einen Überblick darüber zu bekommen, was bei weiteren Inhalten und Aktivitäten verbessert werden kann.

Sicherheitskultur gehört gelebt und aktiv gestaltet

Die gelebten Werte, Normen und Gepflogenheiten einer Organisation sind starke Motivatoren für sicheres Verhalten. Eine Sicherheitskultur pflegen Unternehmen aber auch ganz ohne gezieltes Training. Gepflogenheiten im Umgang mit Technologie haben sich über Jahre herausgebildet und zu ungeschriebenen Normen entwickelt. Wird sie jedoch nicht aktiv gestaltet, haben die Security-Verantwortlichen keine Übersicht und keine Kontrolle darüber, ob die Verhaltensweisen der Cybersicherheit eher schaden oder zuträglich sind. Mit den richtigen Maßnahmen lässt sich das ändern. Eine nachhaltig gestaltete Sicherheitskultur ist der beste Schutz für Unternehmen.

Security Awareness Maßnahmen sind messbar

Laut dem 2024 Phishing by Industry Benchmarking Report klickt wahrscheinlich ein Drittel der Mitarbeiter (34 Prozent) in den untersuchten Organisationen auf eine Phishing-E-Mail. 90 Tage nach der Durchführung erster Maßnahmen sinkt dieser Wert auf 18,9 Prozent und im Laufe eines Jahres gar auf 4,6 Prozent. Bemessen wird dies mit dem Phish-ProneTM Percentage (PPP). Dieser gibt die Wahrscheinlichkeit an, mit der ein Nutzer einen infizierten Link in einer Phishing-E-Mail anklickt. Die Ergebnisse für die DACH-Region zeigen, dass 90 Tage nach der Durchführung von monatlichen oder häufigeren Security-Awareness-Schulungen der durchschnittliche PPP-Wert auf 20,3 Prozent sank. Nach zwölf Monaten Training und simulierten Phishing-Sicherheitstests sank der durchschnittliche PPP-Wert sogar auf 5,5 Prozent. Der Mehrwert von Mitarbeiterschulungen zeigt sich auch bei der Handhabung von Ransomware. Schnelle und angemessene Reaktionen können die Auswirkungen eindämmen und den finanziellen Schaden begrenzen.

Fazit

Awareness, Behaviour und Culture, also Sicherheitskultur, sind drei Begriffe, die – richtig vermittelt und etabliert – den Unterschied zwischen einem fatalen Klick und einer richtig an die IT-Abteilung weitergeleiteten E-Mail machen. Für eine Organisation bedeutet dies nicht weniger als die Vermeidung von Reputationsschäden, Kosten im Falle einer Sicherheits- und Datenschutzverletzung als auch Stress und Ungewissheit für die Mitarbeiter.

Herzlichen Dank an Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4, für diesen Gastbeitrag im Claranet Blog.

Praxis-Check und 1:1 Beratung

Die rasante Entwicklung neuer Technologien und die Vielzahl an Lösungsansätzen machen es für Entscheidungsträger nicht immer einfach, die richtige Cyber Security Strategie und die für ihr Unternehmen besten Tools zu finden. Haben Sie Interesse an einem kostenfreien Sparring mit unseren Experten? Dann nutzen Sie unser Kontaktformular. Wir beraten Sie gerne zu allgemeinen Fragen oder zur Auswahl geeigneter Lösungen. Darf es ein bisschen mehr sein? Einen Überblick über die Managed Security Services von Claranet finden Sie hier.

Fragen Sie jetzt unsere Experten oder rufen Sie uns an: +49 69 40 80 18 0