Aufbau eines Sicherheitsbewusstseins: Ein modularer Ansatz
Schulungen zum Sicherheitsbewusstsein werden weiterhin zu kurz kommen, wenn sie nicht rechtzeitig und gezielt Aufgaben stellen, die das Verhalten der Mitarbeiter ändern und gemessen werden können, um die Effizienz zu steigern.
Wichtige Punkte
- Bei der Entwicklung von Cybersicherheitsschulungen sollten Unternehmen nicht nur das Bewusstsein schärfen, sondern auch Verhaltens- und Kulturänderungen bewirken.
- Schulungsaufgaben zeigen bessere Ergebnisse, wenn ansprechende Videos bereitgestellt werden, die durch interaktive Funktionen und kurze Bewertungen ergänzt werden, die nicht von den Aufgaben ablenken.
- Experten empfehlen eine kontinuierliche Schulung mit monatlichen Einsätzen, da immer mehr Unternehmen der Meinung sind, dass ein "wenig, aber oft"-Ansatz die Vorteile eines einmaligen, jährlichen Ansatzes überwiegt.
Das menschliche Risiko ist eine berüchtigte und wachsende Schwachstelle in der Cybersicherheit. Cyberangreifer werden immer besser darin, Mitarbeiter anzusprechen und sie dazu zu bringen, ihre Wertsachen und die ihres Unternehmens herauszugeben. Schulungsprogramme zum Thema Cybersicherheit haben es schwer, mit der Entwicklung Schritt zu halten. So verwenden Mitarbeiter weiterhin Passwörter, klicken auf bösartige Links und laden nicht autorisierte Tools für die Zusammenarbeit herunter - und vergessen dabei, was sie in den oft oberflächlichen Schulungen gelernt haben, oder ignorieren es sogar.
Die Trendlinie ist beunruhigend. Fast die Hälfte der Sicherheitsexperten, die für den Mimecast-Bericht State of Email Security 2023 befragt wurden, geben an, dass ein unzureichendes Bewusstsein der Mitarbeiter selbst für die bekanntesten Bedrohungen eine der größten Herausforderungen für die E-Mail-Sicherheit in diesem Jahr darstellt.
Es liegt auf der Hand, dass Schulungen zum Thema Cybersicherheit eine neue Ebene der Effektivität erreichen müssen, um das Verhalten der Mitarbeiter und die Unternehmenskultur tatsächlich zu ändern und nicht nur das Bewusstsein zu schärfen. Damit wird die Messlatte höher gelegt, denn die Schulungen müssen zeitnaher, gezielter, relevanter und ansprechender sein. Experten empfehlen, ein kontinuierliches Programm zu implementieren, das monatliche Schulungen, Aktualisierungen zu neuen Angriffstrends und Just-in-Time-Erinnerungen umfasst, die ausgelöst werden, wenn ein Sicherheitssystem feststellt, dass ein Mitarbeiter ein riskantes Verhalten an den Tag legt, z. B. einen verdächtigen Anhang öffnet.
5 Wege zur Verbesserung der Schulungsaufgaben für Cybersicherheit
Die Schulungsaufgaben werden in der Regel online durchgeführt, einschließlich kurzer, informativer Videos, die durch kurze, interaktive Fragen&A-Sitzungen oder Spiele und anschließende Tests ergänzt werden.
Die effektivsten Schulungsmodule haben diese fünf Merkmale gemeinsam:
- Unterhaltsam
- Rechtzeitig/Häufig
- Vielfältig/Relevant
- Interaktiv
- Getestet
Laut einem Bericht von Osterman Research kann ein gut durchdachter, modularer Ansatz das Bewusstsein für Cybersicherheit schärfen und eine Verhaltensänderung bewirken, d. h. instinktiv vorsichtige Reaktionen auf wahrgenommene Cyberrisiken hervorrufen.[1] Von dort aus sollte die nächste Stufe angestrebt werden - ein kultureller Wandel, bei dem sich die Mitarbeiter als Teil der Lösung für die Cyberrisiken ihres Unternehmens sehen.
Unterhaltungswert steigert die Ergebnisse
Mitarbeiter finden es schwierig, sich auf langweilige Schulungsprogramme einzulassen - ein Punkt, der in Mimecasts Whitepaper Teaching Good Security Behaviors with Seinfeldhervorgehoben wird. In dem Papier wird betont, wie wichtig es ist, Videos zu schreiben, die die Zuschauer durch Humor und die Entwicklung von Charakteren in einer fortlaufenden Serie anziehen.
Der Osterman-Bericht quantifizierte diese Korrelation zwischen gut konzipierten Modulen und gewünschten Verhaltensänderungen, indem er die Einstellung der Mitarbeiter zu ihren Schulungsprogrammen für Cybersicherheit befragte.
Auf der Verhaltensebene geben beispielsweise 95 % der Teilnehmer, die ihre Schulungsmodule interessant fanden, an, dass sie sich sicher fühlen, verdächtige E-Mails und Anhänge melden zu können. Nur etwa 75 % derjenigen, die ihre Ausbildung als langweilig empfanden, können dies auch sagen.
Auf einer tieferen, kulturellen Ebene gibt nur etwa einer von fünf Mitarbeitern, die ihre Module langweilig fanden, an, dass die Schulung ihre Einstellung zur Sicherheit wesentlich bis grundlegend verändert hat. Neun von zehn derjenigen, die die Fortbildung sehr interessant fanden, erlebten diese Veränderung der Einstellung.
Kontinuierliche Schulungen zum Bewusstsein für Cybersicherheit halten die Lektionen frisch
Die Menschen vergessen. Neue Geschäftszweige schaffen neue Risiken. Cyberkriminelle lassen sich immer bessere Tricks einfallen. Es gibt viele Gründe für kontinuierliche Schulungen zum Thema Cybersicherheit. Die beste Praxis sind monatliche interaktive Videoeinsätze, die durch rechtzeitige Interventionen unterstützt werden, z. B. durch Warnungen, wenn neue Phishing-Methoden auftauchen, oder durch Warnbanner, wenn verdächtige E-Mails eintreffen.
Eine Studie über die Wirksamkeit der Sensibilisierung und Aufklärung über Phishing im Laufe der Zeit zeigt, dass kontinuierliche Schulungen erforderlich sind. Die Forscher fanden heraus, dass sich die Fähigkeit der Mitarbeiter, zwischen legitimen und bösartigen E-Mails zu unterscheiden, verbessert und für etwa vier Monate nach der Schulung erhöht bleibt, dann aber nachlässt.[2] Und vergessen Sie nicht, dass Phishing nur eines von vielen Themen ist, die im Laufe eines Jahres behandelt werden müssen.
Trotz dieser Tatsache geben nur 18 % der Sicherheitsexperten, die an der SOES 2023-Umfrage teilgenommen haben, an, dass sie kontinuierliche Schulungen durchführen, während 36 % dies monatlich und 31 % vierteljährlich tun.
Vielfältige Bedrohungen erfordern eine Vielzahl von Schulungsmaßnahmen
"Hey, wie viele Z's sind in Amazon?" Eine dumme Frage, aber eine, die mit Humor auf den Punkt gebracht wird: ein Mimecast-Schulungsvideo über Betrug beim Weihnachtseinkauf. "Mindestens drei", antwortet der Advokat des Teufels, während der ernsthafte Ausbilder im Video das Gegenteil behauptet.
Der Besuch einer gefälschten Website, auf der Passwörter gefälscht werden, ist einer der vielen Mitarbeiterfehler, die zum Cyberrisiko eines Unternehmens beitragen. Laut dem Bericht SOES 2023 machen sich Sicherheitsexperten Sorgen über Mitarbeiter, die am Arbeitsplatz online einkaufen, aber auch über andere Dinge:
- Wiederverwendung von schwachen Passwörtern
- Nutzung privater E-Mails für die Arbeit
- Abhängigkeit von unautorisierter Cloud-Speicherung und Zusammenarbeit
Die Schulungsaufgaben sollten diese und andere Themen behandeln, die für die spezifischen Bedürfnisse eines Unternehmens relevant sind. Je relevanter die Sicherheitsschulung für einen bestimmten Arbeitsplatz, eine Abteilung oder eine Branche ist, desto wahrscheinlicher ist es, dass sie bei den Teilnehmern ankommt. Daher sollten die Aufgaben auch je nach Stellenbeschreibung (CEO, Leiter der Finanzabteilung, neuer Mitarbeiter, allgemeines Personal), gewünschten Gewohnheiten, Datenrisiken, Angriffsarten und Anforderungen an die Einhaltung von Vorschriften variieren. Beispiele aus der Bibliothek von Mimecast sind:
- "Haken, Leine und Sinker" für CEO Spearphishing
- "No Factor Fridays", zur Multi-Faktor-Authentifizierung
- "Regenbögen und Einhörner", über Identitätsdiebstahl
- "Ihr Geschenk wurde versandt", auf gefälschten Benachrichtigungen
- "Diese CCPA-Sache" zum kalifornischen Verbraucherschutzgesetz
Interaktivität und Tests sorgen dafür, dass Awareness-Schulungen hängen bleiben
Quiz, Spiele, Belohnungen und andere interaktive Elemente erhöhen das Engagement und verdeutlichen den Sinn einer Aufgabe, so dass sie im Gedächtnis bleibt. Sie ermöglichen es auch, die Mitarbeiter hinsichtlich ihres Bewusstseins und ihres Verhaltensrisikos zu bewerten, um den Bedarf zu ermitteln, z. B. follow-up training.
Die Ergebnisse von Benutzertests sind zwar ein guter Indikator, aber wirklich aussagekräftig wird es erst, wenn ein Unternehmen das von sicheren E-Mail-Gateways beobachtete reale Verhalten seiner Mitarbeiter nutzen kann, um individuelle Schulungsmaßnahmen für Benutzer mit hohem Risiko zu entwickeln und sie von riskanten Entscheidungen abzuhalten, sobald diese getroffen werden. Ein solches integriertes Sensibilisierungstraining wird zu einer bewährten Praxis im Bereich der Cybersicherheit.
Die Quintessenz
Die Angreifer von heute verfügen über direktere Kanäle zu den Mitarbeitern, und ihre Betrügereien sind immer schwerer von legitimer Kommunikation zu unterscheiden. Wie kann sich ein typischer Arbeitnehmer gegen einen solchen Ansturm wehren? Wenn die Antwort Ihres Unternehmens eine jährliche Kampagne zur Sensibilisierung für Cybersicherheit ist und das Sicherheitsteam während des Cybersecurity Awareness Month ein paar veraltete Schulungsvideos abstaubt, kann es zu einem bösen Erwachen kommen.
Experten raten stattdessen zu einem kontinuierlichen Programm, das Aufgaben mit ansprechenden Videos enthält, die durch interaktive Komponenten und Tests verstärkt werden. Untersuchungen haben gezeigt, dass dieser modulare Ansatz effektiver ist, um das Bewusstsein, das Verhalten und den Beitrag der Mitarbeiter zu einer allgemeinen Sicherheitskultur zu erhöhen. Darüber hinaus stellt die Messung der Wirksamkeit von Schulungsprogrammen sicher, dass das Programm insgesamt gut funktioniert und genau auf Ihre Ziele ausgerichtet ist . Lesen Sie, wie die Angebote von Mimecast dazu beitragen, diese Ziele zu erreichen.
[1] "Security Awareness Training as a Key Element in Changing the Security Culture," Osterman Research
[2] "An Investigation of Phishing Awareness and Education Over Time: When and How to Best Reminder Users," USENIX
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!