Sie sind hier: HomeDatacenter

Mitarbeiterschulung: Was ein gutes Security-Awareness-Training ausmacht

Security ist Chefsache – dennoch, oder gerade deshalb, müssen Mitarbeiter Teil der Sicherheitsstrategie sein und für Bedrohungen sensibiliert werden. Aber wie finden Unternehmen heraus, was ein gutes Awareness-Programm ausmacht? Detlev Weise von KnowBe4 leistet im funkschau Interview Hilfestellung.

Sicherheit Bildquelle: © vska - 123RF

funkschau: Wo steht die Security Awareness derzeit und welche Relevanz haben Trainings?

Detlev Weise: Die Cyber-Bedrohungslandschaft wandelt sich kontinuierlich und Sicherheitstechnologien entwickeln sich weiter und sind mittlerweile so gut geworden, dass Cyberkriminelle ihren Fokus auf andere Bereiche verlagern. Statt sich mühsam durch die technische Verteidigungslinie zu kämpfen, nutzen sie vermehrt Social-Engineering-Techniken wie Phishing, um sich von den Mitarbeitern eines Unternehmens unfreiwillig helfen zu lassen.
Die Ergebnisse der Studie “The Cybersecurity Imperative“ von ESI ThoughtLab und WSHJ Pro Cybersecurity zeigen, dass Unternehmen langsam verstehen, dass Security Awareness zum Bestandteil ihrer Strategie für Cybersicherheit werden muss. So gab in der Umfrage 2018 mittlerweile die Mehrheit der Studienteilnehmer an, dass sie ihre Mitarbeiter trainieren müssen, um die Sicherheit in ihrem Unternehmen erfolgversprechend aufzustellen. Mit dem richtigen Trainingsprogramm können Organisationen ihre Belegschaft zu einer menschlichen Firewall formen.

funkschau: Wie groß ist die Angriffsfläche, die Mitarbeiter Cyberkriminellen bieten? Welchen Herausforderungen müssen sich Unternehmen stellen?

Weise: Acht von neun Sicherheitsvorfällen involvieren heutzutage Mitarbeiter, aber das sind in der Regel keine Leute, die böswillig handeln oder ihrer Firma schaden wollen. Die Cyberkriminellen nutzen eine Vielzahl von Social-Engineering-Strategien, um in ihrer Zielorganisation jemanden zu finden, den sie manipulieren und dazu bringen können, ihnen zu helfen. Im März haben Betrüger zum Beispiel in den Niederlanden einen CFO und einen General Manager dazu gebracht, ihnen in mehreren Schritten rund 21 Millionen US-Dollar zu überweisen, weil sie dachten, Anweisungen von ihrem CEO zu erhalten. Für die Betrüger lohnt es sich bei solchen Beträgen, viel Zeit in die Vorbereitung zu investieren. Phishing-E-Mails, die Mitarbeiter zu einem unvorsichtigen Klick verführen sollen, um schädliche Software in das Unternehmen einzuschleusen, sind bereits mit wenig Vorarbeit erstellt. Der finanzielle Schaden und der Reputationsverlust, den sie damit verursachen, sind umso größer.

funkschau: Was genau leistet ein Security-Awareness-Programm und wie lässt sich der Erfolg belegen?

Weise: Social-Engineering-Szenarien folgen bestimmten Mustern: Phishing-E-Mails enthalten fast immer bestimmte Warnsignale und auch der elaborierte CEO Fraud hat bestimmte Eigenschaften, die geschulten Mitarbeitern auffallen können. Beispielsweise versuchen die Cyberkriminellen, Stress aufzubauen, um Nachfragen zu vermeiden oder zu verhindern, dass der falsche CEO auffliegen könnte, indem der richtige CEO kontaktiert wird. Ein modernes Security-Awareness-Programm schult die Mitarbeiter, solche Anzeichen richtig zu deuten und darauf zu reagieren. Im genannten Beispiel sollten Mitarbeiter, wenn es eine Ungereimtheit gibt, zum Beispiel auf einem anderen Kanal den richtigen Chef kontaktieren. Ein Betrugsversuch fliegt dann auf.
Wir messen bei KnowBe4 das Sicherheitsrisiko eines Unternehmens anhand eines Risk Scores, der unterschiedliche Faktoren einbezieht, wie etwa die potenzielle Anfälligkeit der Mitarbeiter für Phishing-Nachrichten oder den Trainingsstand der Belegschaft. Ein wichtiger Grundbaustein ist die Phish-Prone-Percentage (PPP). Die PPP zeigt konkret auf, wie viele Mitarbeiter anfällig für Social Engineering und Phishing sind. Von uns erhobene Daten von über sechs Millionen Mitarbeitern in mehr als 11.000 Unternehmen zeigen, dass die PPP über alle Branchen hinweg vor der Einführung von Security-Awareness-Maßnahmen bei rund 27 Prozent liegt und in Einzelfällen sogar auf 35 Prozent steigt. Bereits ein 90-tägiges Programm senkt diesen Wert auf rund 13 Prozent und nach zwölf Monaten liegt der PPP im Branchenschnitt bei 2,17 Prozent.
Der Unterschied zwischen 35 von 100 Mitarbeitern und zwei von 100 Mitarbeitern, die möglicherweise eine Phishing-Nachricht erhalten und mit ihr interagieren, ist gewaltig – das bedeutet, dass sich die Angriffsfläche drastisch reduzieren lässt. Deshalb ist es wichtig, dass Unternehmen ihre Mitarbeiter schulen und eine “menschliche Firewall“ aufbauen. Dennoch gehen Experten davon aus, dass lediglich fünf Prozent der Unternehmen ein ausgereiftes Security-Awareness-Programm betreiben. Damit verschenken 95 Prozent der Organisationen ein großes Potenzial.