Geschulte Mitarbeiter wehren Cyberangriffe ab

Security Awareness messen

von - 25.06.2019
BSI-Lagebericht 2018
Security Awareness: Gut die Hälfte der deutschen Unternehmen setzt bereits auf entsprechende Schulungen.
(Quelle: BSI "Die Lage der IT-Sicherheir in Deutschland 2018", n = ca. 900 )
Ziel der Awareness-Schulungen ist es nicht allein, Wissen zu vermitteln, sondern Gewohnheiten zu ändern und neue Verhaltensmuster zu entwickeln. Doch wie kann man den Erfolg dieser Maßnahmen messen? Einen interessanten Ansatz hat das Sicherheitsunternehmen IT-Seal entwickelt. Es erhielt 2018 für sein Security-Awareness-Programm auf der Security-Fachmesse „it-sa“ den Award UP18@it-sa als „Bestes Cyber­security-Start-up 2018“ der DACH-Region.
Ziel oder Kernidee des Unternehmens ist es, eine objektive Methode für das Messen von Security Awareness zu finden. Ergebnis ist der Employee Security Index (ESI). „Über den ESI lässt sich Awareness standardisiert und vergleichbar messen. Für die Ermittlung dieser Kennzahl simulieren wir Phishing-Angriffe, in denen das Öffnen eines Links oder Dateianhangs provoziert wird. Das Ergebnis zeigt, wie verwundbar einzelne Mitarbeitergruppen gegenüber Phishing-Angriffen sind - und macht weitere Maßnahmen planbar“, erklärt Yannic Ambach, Geschäftsführer bei IT-Seal.
Vor den Phishing-Angriffen prüft IT-Seal bei Bedarf die Sicherheitsrichtlinien des jeweiligen Unternehmens und ihre Konformität mit Standards wie der DSGVO oder der Norm ISO 27001, die den Aufbau von Information-Security-Management-Systemen beschreibt. Hinzu kommen Umfragen, inwieweit diese Sicherheitsrichtlinien den Mitarbeitern bekannt sind. Oft folgen noch Schulungen durch IT-Seal zu den grundlegenden Schutzzielen und Angriffsformen, vor Ort und/oder via E-Learning: Wie erkenne ich Angriffe? Wie verhalte ich mich richtig?

Fazit & Ausblick

Informationssicherheit steht und fällt mit dem wachsamen Anwender. Awareness sollte daher ein wichtiges Thema in allen Unternehmen darstellen. Ziel muss es sein, die Mitarbeiter über Sicherheitsrichtlinien, aktuelle Bedrohungen und den Umgang mit diesen Bedrohungen aufzuklären. Über eines aber müssen sich Geschäftsleitung und Mitarbeiter im Klaren sein: Um eine nachhaltige Verhaltensänderung zu bewirken, reichen eintägige Schulungen nicht aus. Security Awareness ist als permanenter Prozess zu verstehen, der jeden Mitarbeiter einbezieht und im Alltag immer wieder Situationen schafft, in denen sicheres Verhalten eine Rolle spielt.
Unternehmen sollten daher Security-Awareness-Trainings möglichst individuell, unterhaltsam und praxisnah gestalten und gezielt auf die jeweilige Rolle des Mitarbeiters ausrichten. Als sehr hilfreich erwiesen haben sich beispielsweise Phishing-Simulationen, die Erfolge und Schwächen von
Sicherheits-Awareness-Programmen aufzeigen können. Grundsätzlich sollten Firmen positive Anreize für ihre Mitarbeiter schaffen, Sicherheitsvorfälle oder eigene Fehler zu melden. Das kann beispielsweise ein Belohnungssystem oder ein Gamification-Ansatz sein. Die Drohung mit Bestrafung oder negativen Konsequenzen ist hier kontraproduktiv. Dann kann man den menschlichen Faktor in den Griff bekommen und das Sicherheitsniveau im Unternehmen erheblich steigern.
Anbieter von Security-Awareness-Trainings (Auswahl)
Barracuda Networks
https://phisline.com SaaS-Plattform PhishLine für Social-Engineering-Simulation und -Training, mit Datenanalytik und Reporting zur Identifizierung von Risiken

Anbieter

Beschreibung

Barracuda Networks

SaaS-Plattform PhishLine für Social-Engineering-Simulation und -Training, mit Datenanalytik und Reporting zur Identifizierung von Risiken

E-SEC

Umfangreiches Angebot mit E-Learning-Kursen rund um Informationssicherheit und Security Awareness (größtenteils 3D-animiert)

HvS-Consulting

Dienstleistungen rund um Security Awareness; Präsenzschulungen, Social Engineering Assessment, Phishing-Simulationen, E-Learning-Plattform IS-FOX mit unterschiedlichen anpassbaren Modulen

IT-Seal

Awareness-Trainings (Präsenz und E-Learning), Employee Security Index (ESI) zum Status der Security Awareness im Unternehmen; Simulation von Phishing-Angriffen; Phishing-Akademie; Sicherheitskultur-Audit

Kaspersky Lab

Security-Awareness-Programme für Unternehmen jeder Größe (auch auf Rollen der Mitarbeiter abgestimmt); E-Learning-Plattformen; Präsenzschulungen und Strategie-Simulationsspiel für Cybersicherheit; läuft vor allem über Partner

Proofpoint

Security-Awareness-Trainings mit mehr als 25 interaktiven Schulungsmodulen in mehr als 30 Sprachen; Phishing-Simulationen

Sophos

Mehr als 30 Security-Awareness-Trainingsmodule zu Sicherheits- und Compliance-Themen. Tool Sophos Phish Threat für Phishing-Simulationen

SoSafe

Awareness-Training vor Ort oder in E-Learning-Modulen aus kurzem Video, praktischen Anleitungen und abschließendem Quiz; simulierte Phishing-Attacken und Reporting-Dashboard

Symantec

Umfangreiche, webbasierte Security-Awareness-Trainings mit Videos

Trend Micro

Kostenloses Tool Trend Micro Phish Insight zur Simulation von Phishing-Angriffen mit Templates, die sich an die häufigsten Phishing-Kampagnen anlehnen

usd

Security-Awareness-Plattform mit webbasierten Trainingsmodulen, Weiterbildungs- und Sensibilisierungsmaßnahmen wie Live Hacking, Phishing-Simulationen und Security Day mit Präsenzschulungen
Seite
  1. Teil: Geschulte Mitarbeiter wehren Cyberangriffe ab
  2. Teil: Mitarbeiter als schwächstes Glied
  3. Teil: Kontinuierlich und individuell
  4. Teil: Security Awareness messen
  5. Teil: Im Gespräch mit Bettina König von König Consult und dem TÜV Süd
Verwandte Themen

Mehr zum Thema