CyberCompare

Wie Security Awareness Ihr Unternehmen schützt

Unternehmen sind heute in hohem Maße von Informationssystemen abhängig. Da diese Systeme Ziel einer zunehmenden Zahl von Angriffen sind, stehen Firmen vor der großen Herausforderung, die Risiken für ihre unverzichtbaren Informationssysteme zu verringern. Sicherheitsrelevante Vorfälle sind mit erheblichen Risiken behaftet. So können z.B. Geschäftsaktivitäten beeinträchtigt und personenbezogene Daten gestohlen werden, was empfindliche Sanktionen nach sich ziehen kann. Die wirtschaftlichen Auswirkungen von Cyberangriffen sind erheblich. Schätzungen von Bitkom e.V. zufolge belief sich der durch Cyberkriminalität verursachte wirtschaftliche Schaden 2019 in Deutschland auf 102,9 Mrd. Euro. Auch wurde festgestellt, dass sich das Problem der Cyberkriminalität in den letzten Jahren beständig verschärft hat. Zudem werden die Zahlen höchstwahrscheinlich unterschätzt, da viele Unternehmen nicht erkennen, dass sie Opfer eines Angriffs geworden sind oder derartige Angriffe aus Sorge vor negativer Berichterstattung nicht publik machen.

Infolgedessen investieren Unternehmen erhebliche Summen in Technologien, um ihre Informationssysteme und Daten zu schützen. Doch obwohl technologische Verfahren die Informationssysteme absichern, sollte man sich nicht ausschließlich darauf verlassen. Da technische Hürden wie Firewalls immer höher werden und das Eindringen in ein System mittels technischer Angriffe kostspieliger geworden ist, nutzen Angreifer mittlerweile eine leichter zugängliche Schwachstelle: die Mitarbeiter. Denn bislang ist der Mensch das schwächste Glied in der Sicherheitskette: Die meisten Angriffe sind auf menschliches Versagen zurückzuführen. Dies deckt sich auch mit der Einschätzung der meisten IT-Manager. In einer weltweiten Umfrage unter Führungskräften (EY Global Information Security Survey 2018-2019) gaben 34% der Unternehmen an, dass sorglose und unwissende Mitarbeiter als die größte Bedrohung für die Informationssicherheit (IS) des Unternehmens betrachtet werden.

Demzufolge investieren Unternehmen sehr viel, um zu verhindern, dass ihre Mitarbeiter zum Einfallstor für Cyberkriminelle werden. Richtlinien sollen helfen, sich ein Vorgehen zu eigen zu machen, das Angriffen entgegenwirkt. Allerdings halten sich Mitarbeiter nicht immer an diese Richtlinien. Einer der unterstützenden Faktoren, die die Wahrscheinlichkeit eines richtlinienkonformen Verhaltens erhöhen, ist das Sicherheitsbewusstsein. Security Awareness oder genauer gesagt das Bewusstsein für Informationssicherheit konzentriert sich auf zwei wesentliche Aspekte: zum einen auf das, was Mitarbeiter wissen und zum anderen auf die Frage, inwieweit die Aspekte der Informationssicherheit einschließlich der entsprechenden Richtlinien und Vorgaben für sie nachvollziehbar sind.

Man unterscheidet drei Stufen der Security Awareness:

1. Die erste Stufe ist die Wahrnehmung. Grundlage für Security Awareness ist die Fähigkeit von Mitarbeitern, einen für die Informationssicherheit relevanten Vorfall als potenzielles Risiko für die eigene Person oder für das Unternehmen wahrzunehmen.

2. Die zweite Stufe ist das Verständnis. Damit ist die Fähigkeit von Mitarbeitern gemeint, die Mechanismen potenzieller Angriffe und Betrugsfälle zu durchschauen.

3. Die dritte Stufe ist eine vorausschauende Sichtweise. Um eine umfassende Security Awareness zu erreichen, muss man sich darüber im Klaren sein, dass jeder von einem Incident betroffen sein kann und wie dem entgegengewirkt werden kann.

Erwartungsgemäß versuchen Unternehmen, das Sicherheitsbewusstsein ihrer Mitarbeiterinnen und Mitarbeiter durch entsprechende Security-Awareness-Schulungen zu erhöhen und haben die Notwendigkeit eines gesteigerten Sicherheitsbewusstseins bereits als oberste Priorität erkannt. Um eine Organisation mit hohem Sicherheitsbewusstsein aufzubauen, sollten entsprechende Security-Awareness-Trainings und Phishing-Simulationen durchgeführt werden, da 15 Prozent aller sicherheitsrelevanten Vorfälle auf Phishing-Mails zurückzuführen sind (Data Breach Investigations Report 2020 von Verizon). Der Markt für webbasierte Security-Awareness-Trainings ist groß und die Angebote unterscheiden sich stark. Bei einer Auswahl können vordefinierte Entscheidungskriterien helfen.

Bei unserer Marktstudie haben wir uns eine Reihe von Angeboten (z.B. von KnowBe4, SoSafe, lawpilots u.v.m) angesehen und miteinander entlang unserer detaillierten Bewertungskriterien verglichen. Zum bestmöglichen Vergleich haben wir einen detaillierten Anforderungskatalog mit 44 Faktoren entwickelt, dessen Erfüllung wir mit den Anbietern gefüllt im Nachgang mit Anwendern verprobt haben. Dabei sind uns drei Dinge ganz besonders aufgefallen:

1. Bei der Basisschulung zum Thema Informationssicherheit unterscheiden sich die Angebote kaum. Bei allen Anbietern wurden Themen wie Datensicherheit und gängige Angriffsmethoden im Bereich der IT-Sicherheit ausführlich und verständlich auch für unerfahrene Nutzerinnen und Nutzer aufbereitet.

2. Das Thema Phishing hingegen wird sehr unterschiedlich gehandhabt. Während einige Anbieter lediglich das Thema im Rahmen einer theoretischen Schulung behandeln, bereiten andere Anbieter am anderen Ende des Spektrums individuelle gefälschte (Spear-)Phishing-Angriffe für jeden einzelnen Mitarbeiter vor. Dazwischen finden sich Abstufungen in der Form, dass automatisierte Phishing-Nachrichten basierend auf Open Source Intelligence (Nachrichtengewinnung aus frei verfügbaren, offenen Quellen) bereitgestellt oder E-Mails individualisiert auf Unternehmensebene angefertigt werden.

3. Große Unterschiede ergeben sich auch bei den Preisen. Unternehmen mit einer großen Anzahl an Schulungsteilnehmern können bereits für unter zehn Euro pro Person und Jahr eine gute Basislösung finden. Kleinere Unternehmen müssen hingegen mit erheblich höheren Kosten rechnen, ebenso wie diejenigen die manuell Erstelle Phishing-Nachrichten für jeden einzelnen Mitarbeiter wünschen.

Weitere Details können Sie unserer ausführlichen Marktstudien entnehmen. Sprechen Sie uns gerne darauf an!

Als CyberCompare vermitteln wir regelmäßig und unabhängige geeignete Provider eines Security-Awareness-Trainings für unsere Kunden. Basierend auf unseren Erfahrungen gehen wir dabei in 6 Schritten vor:

Neben der Awareness lohnt es sich häufig auch, andere Dimensionen der IT-Sicherheit zu stärken. Bei der Priorisierung dieser Maßnahmen hilft CyberCompare mit seiner Cybersecurity Diagnostik, anhand derer wir Ihre dringendsten Bedarfe identifizieren und entsprechende Handlungsempfehlungen ableiten.

Sprechen Sie uns direkt per Mail (Mail an uns) oder per Telefon (+49 711 811-91494) an, und wir stellen Ihnen gerne weitere Informationen zu unserer Diagnostik individuell zur Verfügung. Alternativ können Sie initial Ihr Cyberrisikoprofil mit unserer Diagnostik online testen.