Technologiebasierte Sicherheitslösungen wie Firewalls, Endpunkterkennungs- und Antwortlösungen, sichere E-Mail-Gateways, Desktop-Antivirenprogramme, Cloud-basierte Malware und Spam-Filterung sind wesentliche Elemente einer Sicherheitsinfrastruktur. Zu viele Entscheidungsträger vernachlässigen jedoch ein weiteres wichtiges Element, das für die Sicherheit von Netzwerken, Daten, Anwendungen und finanziellen Ressourcen erforderlich ist: die Menschen, die mit ihnen interagieren.
Das Sicherheitsbewusstseinstraining soll die Fähigkeit der Benutzer stärken, Bedrohungen wie Phishing-Versuche, ungewöhnliche Anfragen, die angeblich vom CEO ihres Unternehmens stammen, böswillige Werbung auf Webseiten und eine Vielzahl anderer Bedrohungen zu erkennen, die Benutzer dazu verleiten sollen, etwas zu tun kann innerhalb einer Organisation Chaos anrichten. Benutzer, die in Sicherheitsfragen gut geschult sind, sind skeptischer und vorsichtiger beim Öffnen von E-Mails, Klicken auf Links zu sozialen Medien oder Besuchen von Webseiten, ohne zuvor nach Hinweisen auf ihre Gültigkeit zu suchen.
In diesem Whitepaper werden die Ergebnisse einer eingehenden Umfrage unter Organisationen überprüft, die von Osterman Research im Mai und Juni 2019 durchgeführt wurde. In diesem Papier werden die Herausforderungen und Lücken in bestehenden Trends für Sensibilisierungstrainings sowie die Rechtfertigung für die Einführung eines wirksamen Schulungsprogramms für Sicherheitsbewusstsein erörtert einen signifikanten Return-on-Investment (ROI) zu generieren und Ergebnisse zu demonstrieren.
- 75 Prozent der Sicherheitsentscheider sind sehr besorgt über Phishing-Angriffe.
- 58 Prozent der Entscheidungsträger betrachten Sensibilisierungstraining als überlegen gegenüber Technologielösungen beim Umgang mit Phishing.
- Die Budgets für Sensibilisierungstrainings steigen schneller als die Budgets für Sicherheit.
- Die Mitarbeiter erhalten mehr Schulungszeit, aber es gibt keine signifikanten Änderungen im Verhalten der Mitarbeiter und keine messbaren KPIs.
- Die meisten Sensibilisierungsprogramme zeigen keine Änderung des Verhaltens der Mitarbeiter gegenüber Phishing-Angriffen.
- Bessere Sensibilisierungsschulungen sollten kontinuierliche Schulungen umfassen, die datengesteuert sind und ein anpassungsfähiges und individuelles Programm für jeden Mitarbeiter bieten.
- Ein effektiveres Schulungsprogramm bedeutet nicht mehr Geld oder Schulungszeit, sondern ein Schulungsprogramm, das Mitarbeiter einbezieht, ohne das Sicherheitsteam zu belasten
Sicherheitsentscheider befassen sich hauptsächlich mit Phishing-Angriffen
Phishing-Angriffe stehen bei Entscheidungsträgern ganz oben auf der Liste der Bedenken. Etwa 75% der Führungskräfte in kleinen und großen Unternehmen antworteten, dass Phishing-E-Mails ganz oben auf der Liste der Sicherheitsbedenken stehen.
Entscheidungsträger betrachten Sensibilisierungstraining als überlegen gegenüber Technologielösungen beim Umgang mit Phishing. Die Untersuchung ergab, dass technologiebasierte Lösungen bei der Bewältigung der meisten Bedrohungen im Allgemeinen dem Sicherheitsbewusstseinstraining überlegen sind. Bei Phishing- und Business-E-Mail-Kompromiss-Angriffen (BEC) betrachten Entscheidungsträger Schulungen im Allgemeinen als ein besserer Weg, um mit diesen Bedrohungen umzugehen.
Abbildung: Wahrnehmungen über die Wirksamkeit technologiebasierter Sicherheitsabwehrmaßnahmen im Vergleich zum Sicherheitsbewusstseins-Training Prozentsatz, der angibt, dass die Lösung „gut“ oder „extrem gut“ funktioniert
Die Budgets für Sensibilisierungstrainings steigen schneller als die Budgets für Sicherheit
Die Sicherheitsbudgets der meisten Organisationen sind im Laufe der Zeit gestiegen. Interessanterweise wird trotz der großen Besorgnis ein relativ kleiner Teil des Gesamtbudgets für Anti-Phishing-Technologien ausgegeben. Glücklicherweise wachsen die Budgets für das Sicherheitsbewusstsein erheblich schneller als die gesamten Sicherheitsbudgets.
Budgets für Sicherheits- und Sicherheitsbewusstseinsschulungen pro Mitarbeiter in 2018 und 2019
Die Mitarbeiter erhalten mehr Schulungszeit, jedoch nicht ausreichend häufig
Das Budgetwachstum geht mit einer deutlichen Erhöhung der monatlichen Minuten der Sicherheitsbewusstseinsschulung einher, die Benutzer von durchschnittlich 17,6 Minuten Mitte 2018 auf 26,0 Minuten bis Mitte 2020 erhalten
Verschiedene Trainingsansätze
nsere Untersuchungen haben ergeben, dass neben dem von fünf Prozent der Unternehmen angewandten „Do-Nothing“ -Ansatz eine breite Palette von Schulungsprogrammen für das Sicherheitsbewusstsein verwendet wird. Wie in Abbildung 3 dargestellt, besteht der häufigste Ansatz für Sicherheitsbewusstseinsschulungen darin, alle Benutzer mit simulierten Phishing-Angriffen zu testen. Dieser Ansatz wird von 39 Prozent der Unternehmen verfolgt. Ein Drittel der Unternehmen beschäftigt sich mit dem Video-Ansatz für Sicherheitsbewusstsein, gefolgt von selektiven Schulungen für einige Mitarbeiter und dem Ansatz „Pausenraum oder Mittagessen und Lernen“.
Aktuelle Ansätze für Sicherheitsbewusstseinsschulungen
Die meisten Benutzer sind nicht ausreichend geschult
Trotz der Tatsache, dass Benutzer im Laufe der Zeit mehr Sicherheitsschulungen erhalten, erhalten viele Benutzer immer noch keine angemessenen Schulungen zum Schutz ihrer Organisationen. Wie in Abbildung 6 dargestellt, wird fast ein Drittel der Benutzer höchstens einmal im Jahr oder seltener geschult. Weitere 29 Prozent erhalten nur zwei- bis dreimal pro Jahr ein Sicherheitsbewusstseinstraining. Nur 39 Prozent der Benutzer erhalten vierteljährlich oder häufiger Schulungen
Häufigkeit der Durchführung von Sicherheitsbewusstseinsschulungen
Fazit
Derzeit gibt es eine Lücke im Markt für Sensibilisierungstrainings, die geschlossen werden muss effektivere Sensibilisierungstrainingslösungen. Um konsistente Ergebnisse zu erzielen und das Verhalten der Mitarbeiter zu ändern, müssen Sensibilisierungstrainings kontinuierlich durchgeführt werden, von der Datenwissenschaft gesteuert werden und einer bewährten Methodik folgen. Sensibilisierungstraining muss auch Anpassungsmöglichkeiten bieten und maschinelles Lernen nutzen, um den Schulungsinhalt und die Häufigkeit an die Lernmuster und das Tempo der Mitarbeiter anzupassen (im Gegensatz zu dem einheitlichen Ansatz, den einige Schulungsanbieter anbieten). Ein anderer Schulungsansatz bedeutet nicht mehr Aufwand und höhere Investitionen in Schulungszeit oder finanzielle Ressourcen. Im Gegenteil, es sollte kurze, häufige Trainingseinsätze bieten, die kontinuierlich sind, damit das Lernen selbst ansprechender, effektiver und messbarer ist.
Über Cybeready
CybeReady ist die einzige autonome Schulungsplattform für Cybersicherheit für Unternehmen. Die CyberReady-Lösung verwendet datenwissenschaftliches Training, das eine adaptive Lernmethode der nächsten Ebene implementiert und eine Änderung des Verhaltens der Mitarbeiter gegenüber Phishing-Angriffen garantiert. Mit der menschlichen Lernautomatisierung von CybeReady können Mitarbeiter das ganze Jahr über trainieren, ihre Fähigkeiten kontinuierlich weiterentwickeln und an reale Phishing-Angriffe anpassen. Die Lösung wird vollständig verwaltet und macht CybeReady zur Sicherheitsbewusstseinsschulungslösung mit den niedrigsten heute verfügbaren Gesamtbetriebskosten (TCO). CybeReady wurde 2015 von Omer Taran (CTO) und Mike Polatsek (CSO) gegründet und hat seinen Hauptsitz in Tel Aviv, Israel, sowie Niederlassungen in London und im Silicon Valley. Weitere Informationen finden Sie unter www.cybeready.com.