Schulungen zum Bewusstsein für Cybersicherheit führen zu größerem Engagement der Mitarbeiter
Unternehmen, die Schulungen zum Thema Cybersicherheit Priorität einräumen, verzeichnen hohe Raten an von Mitarbeitern gemeldeten E-Mails, was die Wahrscheinlichkeit verringert, dass E-Mail-Bedrohungen in das Unternehmen gelangen, und gleichzeitig eine Belastung für das IT-Sicherheitspersonal darstellt.
Wichtige Punkte
- Meldungen der Mitarbeiter über verdächtige E-Mails können das IT- und Sicherheitspersonal ablenken, während unregelmäßige Schulungen zur Sensibilisierung für den Umgang mit dem Internet zu einer geringen Meldebereitschaft der Mitarbeiter führen.
- Dennoch gibt es nur wenige ausgebildete E-Mail-Analysten, und nur wenige Unternehmen analysieren alle gemeldeten E-Mails.
- Durch die automatisierte Analyse und Sichtung verdächtiger E-Mails wird die Arbeitsbelastung des IT- und Sicherheitspersonals erheblich reduziert, während gleichzeitig eine schnellere und effektivere Reaktion auf E-Mail-Phishing und andere Cyberangriffe möglich ist.
Eine Studie von Osterman Research, Assessing Organizational Readiness to Deal with Increased Employee Cyber Awareness , untersucht die Wirksamkeit von Schulungen zum Thema Cybersicherheit und wie E-Mails von Mitarbeitern und IT-Sicherheitspersonal als potenziell verdächtig eingestuft werden. Befragt wurden dreihundert Cybersicherheitsexperten in den Vereinigten Staaten und im Vereinigten Königreich in Unternehmen mit mindestens 1500 Mitarbeitern.
Das zentrale Ergebnis der Studie: E-Mail-Sicherheit ist wichtiger denn je, da E-Mails seit langem die Hauptbedrohungsquelle darstellen. Dennoch haben nur wenige Unternehmen großes Vertrauen in die verfügbaren Tools sowie in das Bewusstsein und die Fähigkeit ihrer Mitarbeiter, bösartige E-Mail-Nachrichten effektiv zu bewerten und zu melden. Unternehmen, die ein automatisiertes System zur Reaktion auf E-Mail-Vorfälle einsetzen und ihre Mitarbeiter in Sachen Cybersicherheit schulen, sind nachweislich besser in der Lage, bösartige E-Mail-Angriffe zu erkennen und abzuwehren, was den zusätzlichen Vorteil hat, dass der Verwaltungsaufwand für IT- und Sicherheitsmitarbeiter verringert wird.
Werfen wir einen Blick auf einige der wichtigsten Ergebnisse:
- E-Mail ist nach wie vor der wichtigste Bedrohungsvektor.
In der Studie State of Email Security 2021 von Mimecast haben 58 Prozent der befragten Unternehmen eine Zunahme von Phishing-Angriffen festgestellt. Und 60 Prozent waren von einem Angriff betroffen, der von einem infizierten Mitarbeiter auf andere Mitarbeiter übertragen wurde. Darüber hinaus hat nach Angaben des FBI das Volumen der E-Mail-Angriffe auf Unternehmen abgenommen, ist aber teurer geworden und die Gesamtkosten sind gestiegen.
- Mitarbeiterengagement - Wenn es keine gute Sache ist
Die Sensibilisierung der Mitarbeiter für den Umgang mit dem Internet und die Meldung verdächtiger E-Mails ist ein wichtiger erster Schritt zum Schutz vor E-Mail-Bedrohungen. Der Nachteil ist jedoch, dass mehr als die Hälfte der im Osterman-Whitepaper befragten IT- und Sicherheitsmitarbeiter der Meinung sind, dass die Meldung verdächtiger E-Mails durch Mitarbeiter eher eine Ablenkung als eine Hilfe ist. Das liegt daran, dass menschliche Analysten Zeit brauchen, um die von Mitarbeitern gemeldeten E-Mails zu sortieren, von denen sich 90 Prozent in der Regel als harmlos erweisen.
Von denjenigen, die Berichte von Mitarbeitern über verdächtige E-Mails als Ablenkung bezeichneten, verließ sich die überwiegende Mehrheit (87 %) auf menschliche Analysten oder menschliches Eingreifen, um diese Berichte zu untersuchen, im Gegensatz zu Automatisierungswerkzeugen zur Analyse, Triage und Priorisierung potenzieller Bedrohungen. Nur 1 % der Befragten, die die Überprüfung der von Mitarbeitern gemeldeten E-Mails ausgelagert haben, empfanden diese Aufgabe als Belastung oder als Ablenkung von wichtigen Aufgaben.
- Mitarbeiterengagement - Wenn es eine gute Sache ist
Die meisten Sicherheitsorganisationen versuchen auf zwei Arten, das Bewusstsein der Benutzer für bösartige E-Mails zu schärfen:
- Warnbanner für unerwünschte E-Mails von außerhalb des Unternehmens und andere potenziell verdächtige Inhalte.
- Mehr als die Hälfte der befragten Unternehmen (56 %) führen monatlich Schulungen zum Thema Cybersicherheit durch. Die übrigen tun dies vierteljährlich oder seltener, und nur 15 Prozent schulen einmal im Jahr oder seltener.
Besonders erwähnenswert sind die 16 Prozent der Befragten, die täglich geschult wurden. Dies reichte von einer E-Mail zu einem bestimmten Aspekt der Cybersicherheit über ein Warnplakat im Aufzug bis hin zu einem Aufsteller, der die Mitarbeiter daran erinnerte, keine USB-Sticks unbeaufsichtigt auf ihren Schreibtischen liegen zu lassen.
Die Schulungen zum Bewusstsein für Cybersicherheit haben sich als wirksam erwiesen: Achtzig Prozent der Befragten berichteten über einen direkten Zusammenhang zwischen der Schulung und einer Zunahme der von den Benutzern gemeldeten E-Mails. Bei Organisationen, die täglich, wöchentlich oder monatlich Schulungen zum Thema Cybersicherheit anbieten, war die Steigerungsrate am höchsten: Drei Viertel (74 %) gaben eine Steigerungsrate zwischen drei und zehn oder mehr Mal an.
- Einfaches Reporting für Mitarbeiter
Die meisten Unternehmen machen es den Mitarbeitern leicht, Nachrichten zu melden, entweder über eine Schaltfläche im E-Mail-Client (34 %) oder über einen Link in einer E-Mail-Nachricht (23 %), um einen Verdacht zu melden. Letzteres wird der Weiterleitung einer Nachricht an ein Missbrauchspostfach vorgezogen, die zumindest den zusätzlichen Schritt des Auffindens und der Eingabe oder Auswahl einer E-Mail-Adresse erfordert. Darüber hinaus erfordert die Weiterleitung einer Nachricht an eine Missbrauchs-Mailbox in der Regel, dass ein menschlicher Analyst die verdächtige Nachricht überprüft und korrigiert. Aber auch hier ist die Abhängigkeit von menschlichen Analysten bei der Bewertung von Berichten über mögliche bösartige E-Mails eine Belastung für das IT-Sicherheitspersonal.
- Genauigkeit bei der Meldung verdächtiger E-Mails variiert
In den meisten Unternehmen erweist sich fast die Hälfte der von Mitarbeitern gemeldeten verdächtigen E-Mail-Nachrichten als harmlos, was das Problem der Überforderung des IT-Sicherheitspersonals bei der Ermittlung von E-Mail-Bedrohungen noch verstärkt. Hinzu kommt, dass nur wenige Unternehmen spezielle E-Mail-Analysten mit ausreichender professioneller Ausbildung und Tools für die Identifizierung und Abwehr von E-Mail-Bedrohungen beschäftigen, was eine angemessene Identifizierung potenzieller bösartiger Angriffe noch schwieriger macht.
Nur 11 Prozent der befragten Unternehmen verwenden Software, um als verdächtig gemeldete E-Mail-Nachrichten automatisch zu sichten und aus den Postfächern zu entfernen. Fast ein Drittel der Unternehmen verlässt sich vollständig auf menschliche Analysten, deren Zeit angesichts des gut dokumentierten Mangels an Cybersecurity-Fachkräften mit Sicherheit besser anderweitig genutzt werden könnte.
Drei Fünftel der Unternehmen verwenden eine Kombination aus Automatisierung und menschlicher Überprüfung. Ohne menschliches Eingreifen, um eine definitive Entscheidung zu treffen, kann die Beseitigung einer verdächtigen E-Mail zu Fehlalarmen führen. Nur wenige Sicherheitsteams können es sich leisten, Zeit auf eine steigende Anzahl von Fehlalarmen zu verschwenden, und selbst wenn es technologische Lösungen gibt, um das Problem der ständigen Fehlalarme zu lösen, braucht es Zeit, um diese einzuführen und die Genauigkeit zu erhalten.
Bei gutartigen E-Mails sind 70 Prozent der Unternehmen in der Lage, jede E-Mail zu analysieren und den Vorfall in weniger als 10 Minuten abzuschließen. Bei bösartigen E-Mails dauert es länger, nämlich bis zu 60 Minuten pro Nachricht.
- Die meisten Unternehmen analysieren nicht alle gemeldeten E-Mails
Nur etwa ein Viertel der befragten Unternehmen analysiert alle als verdächtig gemeldeten E-Mails. Es schien auch keinen Unterschied zu machen, ob sich die Organisation hauptsächlich auf menschliche Analysten oder einen gewissen Grad an Automatisierung verließ. Unternehmen, die sich ausschließlich auf die menschliche Analyse verlassen, könnten jedoch eher dazu neigen, bösartige E-Mails durchzulassen; die Automatisierung ist besser in der Lage, Ähnlichkeitsanalysen einzusetzen, um Abweichungen auszuschließen.
Besonders interessant ist, dass Unternehmen, die alle gemeldeten E-Mails überprüft haben, fast dreimal so viele Berichte erhalten. Auch hierdurch erhöht sich die Arbeitsbelastung der IT- und Sicherheitskräfte. Gleichzeitig haben diese Maßnahmen einen gewissen Wert: Wenn Mitarbeiter keine Rückmeldung zu all ihren Meldungen erhalten und folglich das Gefühl haben, dass ihre Maßnahmen ignoriert oder zu wenig genutzt werden, sinkt die Meldequote, was die Wahrscheinlichkeit erhöht, dass bösartige E-Mails in IT-Umgebungen gelangen.
Die Quintessenz
Eine wirksame Schulung der Mitarbeiter im Bereich der Cybersicherheit hilft bei der Abwehr bösartiger E-Mails. Wenn man sich jedoch zu sehr auf die Berichterstattung der Mitarbeiter und die menschliche Analyse verlässt, werden Zeit und Aufmerksamkeit der Ressourcen beansprucht. Eine automatisierte E-Mail-Analyse verkürzt die Verweildauer und entlastet das IT- und Sicherheitspersonal, beschleunigt die Reaktion auf Vorfälle und verbessert die E-Mail-Sicherheit insgesamt.
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!