Laut Dr. Maia Bada, Expertin für Verhaltenswissenschaften bei AwareGo, die während einer Keynote-Sitzung an Tag 2 der Infosecurity Europe 2022 sprach, ist die Nutzung von Verhaltensanalysen der Endnutzer zur Verbesserung der Programme zur Sensibilisierung der Mitarbeiter für Cybersicherheit entscheidend für die Abwehr von Cyber-Bedrohungen.
Bada verwies auf Daten, die zeigen, dass 85 % der erfolgreichen Cyberangriffe von Anwendern aus der Industrie durch Social-Engineering-Techniken wie Phishing initiiert werden. Trotzdem neigen Unternehmen immer noch dazu, sich zu sehr auf Technologien und Prozesse zu konzentrieren und nicht auf den menschlichen Faktor. „Wir müssen auch den menschlichen Risikofaktor identifizieren, messen und beheben“, erklärte sie.
Dieses Problem hat sich durch Trends während der COVID-19-Pandemie noch verschärft, wie z. B. das Arbeiten in unsicheren Netzwerken und die verstärkte Nutzung von persönlichen Geräten. Daher ist es von entscheidender Bedeutung, das Bewusstsein der Mitarbeiter für Cybersicherheit zu schulen. Diese Schulungen sollten eine langfristige Verhaltensänderung bei den Mitarbeitern bewirken, auch in Bezug auf ihre Einstellung und Mentalität. „Dies ist ein langer Prozess, keine einmalige Schulung“, so Bada.
Eine gängige Methode, die von Unternehmen eingesetzt wird, sind Phishing-Simulationen, die jedoch häufig in unangemessener Weise eingesetzt werden und zu Problemen wie Sicherheitsmüdigkeit und Angst führen. So zitierte Bada einen Fall, in dem die Mitarbeiter eines Unternehmens alle E-Mails als Phishing-E-Mails betrachteten und sich weigerten, sie zu öffnen oder auf sie zu reagieren, wenn sie in ihrem Posteingang landeten.
Eine große Herausforderung besteht darin, die Wirksamkeit von Sensibilisierungsschulungen zu bewerten und zu verstehen, wie effektiv sie die Kultur eines Unternehmens verändert haben. Dies kann es den Unternehmen ermöglichen, ihre Programme individuell zu gestalten und dabei unterschiedliche Schwerpunkte für die Mitarbeiter zu setzen. So können sie beispielsweise auf verschiedene Abteilungen wie die Personal-, Finanz- und Sicherheitsabteilung zugeschnitten werden.
Laut Bada sollte die Analyse Erkenntnisse zu vier wichtigen Leistungskennzahlen liefern:
- Die Effizienz der Schulung vor, während und nach der Schulung
- Erfassen von Wissen, Verhalten und Kultur
- Verwertbare Erkenntnisse, die Organisationen zur Verbesserung von Programmen und Strategien nutzen können
- Wie relevant, ansprechend und lehrreich es ist
Der beste Weg, dies zu erreichen, ist die Verhaltensanalyse der Endnutzer, so Bada. Dadurch können Bereiche wie routinemäßige Verhaltensmuster und gefährdete Mitarbeitergruppen ermittelt werden.
Anschließend wies sie auf eine AwareGo-Umfrage unter 160 Führungskräften im Bereich der Cybersicherheit hin, in der sie zu den Schulungspraktiken ihres Unternehmens befragt wurden. Dabei stellte sich heraus, dass 62 % der Unternehmen ein Awareness-Schulungsprogramm durchführen. Der wichtigste Grund für die Einführung eines Programms ist die Einhaltung von Vorschriften (72 %), gefolgt von einer strategischen Entscheidung des Managements (58 %). Beunruhigenderweise wurde die Verbesserung des Sicherheitsbewusstseins nur von 13 % der Befragten angeführt. Dies deutet darauf hin, dass es sich bei den Schulungen häufig um eine „Tick-Box-Übung“ handelt, die der Erfüllung rechtlicher und betrieblicher Verpflichtungen dient.
Diese Untersuchung zeigt außerdem, dass ein „menschenzentrierter Ansatz zur Sensibilisierung erforderlich ist, der über die Einhaltung von Vorschriften und Phishing hinausgeht“, so Bada.
Sie schloss: „Die Menschen sind die erste und letzte Verteidigungslinie, und wir müssen die menschliche Firewall in jedem Unternehmen stärken.“
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
#InfosecurityEurope2022: Unternehmen wollen Sicherheit und Geschäftsrisiko in Einklang bringen