Measuring Security Awareness Success: For Your CISO — and Your Organization

Drei häufige Fehler bei Security-Awareness-Programmen

Share with your network!

Obwohl Unternehmen viel Geld und Ressourcen in Cybersicherheit investieren, sind Kompromittierungen weiterhin verbreitet und verursachen immer größere Schäden. Die Analyse dieser Zwischenfälle macht ein häufiges Problem deutlich: Die Kontrollsysteme werden durch menschliche Aktionen unterlaufen, zum Beispiel durch Mitarbeiter, die Anmeldedaten weitergeben, nicht autorisierte Anfragen genehmigen, auf Spoofing-E-Mails hereinfallen oder auf Geheiß von Angreifern Malware ausführen.

Zahlen des Weltwirtschaftsforums belegen, dass 95 % aller Sicherheitsverletzungen durch menschliche Aktionen verursacht werden. Dies zeigt deutlich, dass Unternehmen alle ihre Mitarbeiter für Sicherheit sensibilisieren müssen. Es ist zwar schon viel passiert, aber es muss noch mehr getan werden.

Wir nennen hier ein paar häufige Fehler, die den Erfolg Ihres Sicherheitsprogramms gefährden können und die Sie möglicherweise aus Ihrem eigenen Unternehmen kennen. Außerdem erfahren Sie hier, mit welchen Schritten Sie sie vermeiden.

Fehler Nr. 1: Die Wahl des falschen Namens für Ihr Sicherheitsprogramm

Das klingt möglicherweise ganz banal, aber vielleicht haben Sie einfach nur einen ungünstigen Namen für Ihr Sicherheitsprogramm gewählt.

Wir alle konzentrieren uns auf die Sensibilisierung für Sicherheit und erstellen „Security-Awareness-Programme“ (oder „Programme zur Sensibilisierung für Sicherheit“) für unsere Unternehmen. Dabei ist das gar nicht unser eigentliches Ziel, denn wir möchten die Mitarbeiter nicht nur sensibilisieren, sondern vor allem ihr Verhalten ändern. Wenn wir unser Programm also als Security-Awareness-Programm bezeichnen, konzentrieren wir uns häufig auf das falsche Ergebnis. Nehmen wir das Beispiel Rauchen: Wenn wir möchten, dass die Menschen mit dem Rauchen aufhören, würden wir unsere Initiative ja auch nicht „Kampagne zur Sensibilisierung für die Risiken von Rauchern“ nennen.

Hier gibt es eine einfache Abhilfe: Ändern Sie den Namen des Programms. Entscheiden Sie, welches Ergebnis Sie erzielen möchten und geben Sie Ihrem Programm einen Namen, der dazu passt, z. B. „Programm zur Änderung des Sicherheitsverhaltens“ oder „Programm zum Aufbau einer Sicherheitskultur“. Sie werden erstaunt sein, welch große Wirkung diese kleine Veränderung hat. Denn dieser neue Name ist eine permanente Erinnerung an das, was Sie mit diesem Programm erreichen möchten.

Fehler Nr. 2: Der Glaube, dass „starke Sensibilisierung“ zu einer Sicherheitskultur führt

Der zweite Fehler ist mit dem ersten verwandt. Allzu häufig gehen wir davon aus, dass das Personal einfach nur umfangreiche Sensibilisierungsschulungen benötigt, damit sich die Unternehmenskultur ändert. Das funktioniert aber nicht. Kultur lässt sich nicht „starker Sensibilisierung“ gleichsetzen.

Ich verwende ein sogenanntes ABC-Reifegradmodell, wobei ABC für Awareness (Sensibilisierung), Behavior (Verhalten), Culture (Kultur) steht. Jeder Schritt baut dabei auf dem vorherigen Schritt auf. Entscheidend ist, dass es bei jedem Schritt eine Art „Kipp-Punkt“ gibt, bei dem der Fokus von einer Stufe zur nächsten wechselt.

Gehen wir davon aus, dass Sie Ihre Mitarbeiter bereits sensibilisieren. Damit Ihre Mitarbeiter ihr Verhalten ändern, muss der Fokus darauf liegen, dass sie die möglichen Konsequenzen von Cybersicherheit für ihr privates und berufliches Leben verstehen. Sobald sie sensibilisiert und motiviert sind, steigt die Wahrscheinlichkeit, dass sie sich richtig verhalten. (Dieser vereinfachte Ansatz wurde wissenschaftlich bestätigt. Ich empfehle Ihnen zu diesem Thema das Verhaltensmodell von Professor B. J. Fogg.)

Und sobald Sie es praktisch geschafft haben, das Verhalten zu verändern, wird die Sicherheitskultur das neue Ziel. Mit diesem Wechsel zur Kultur schaffen Sie die allgemeine Wahrnehmung, dass sich jeder im Unternehmen um Sicherheit kümmert. Beachten Sie, dass ich das Wort „Wahrnehmung“ verwende. Selbst wenn Sie dieses Ziel nicht sofort erreichen, ist es ein typisches Beispiel für den Ansatz „Durch Schein zum Sein“ (engl. „fake it 'til you make it“).

Etablieren Sie diese Wahrnehmung, indem Sie sicherstellen, dass alle Mitarbeiter im gesamten Unternehmen regelmäßig auf Praktiken für sichere Nachrichten hinweisen, einschließlich Empfangsmitarbeiter, Vorstandsmitglieder und besonders auch mittlere und leitende Führungskräfte. Genau genommen sollten diese Hinweise von praktisch allen Seiten kommen – außer vom Chief Information Security Officer (CISO).

Damit erhalten alle Mitarbeiter den Eindruck, dass alle anderen um sie herum das Thema Sicherheit ernst nehmen. Und damit erhöht sich der „Gruppenzwang“, sich ähnlich zu verhalten. Dies ist für die Kultur äußerst wichtig.

Fehler Nr. 3: Die Verwendung negativer Konsequenzen als Hauptmotivation

Der wichtigste Schritt zur oben genannten Verbesserung der Verhaltensweisen ist die Schaffung einer Motivation für die Veränderung der Verhaltensweisen. Diese Motivation lässt sich mit verschiedenen Methoden steigern, beispielsweise durch die Angst, bei einem Fehler bestraft oder bei Nichtbestehen eines Sicherheitstests blamiert zu werden.

Viele Sicherheitsexperten habe dazu ihre eigene Meinung. Einige sind überzeugt, dass unbedingt auf negative Konsequenzen verzichtet werden muss, während andere sie als primäres und einfachstes Mittel zur Motivation einsetzen. Beide Extreme sind falsch und der beste Weg liegt irgendwo in der Mitte.

Sicherheitsteams, die schon Kleinigkeiten bestrafen, verlieren die Unterstützung der breiten Belegschaft und werden als „unternehmensinterne Polizei“ wahrgenommen. Damit stellen Sie durchaus einen Service bereit, opfern dabei jedoch Agilität, Flexibilität und Pragmatismus – wovon moderne Unternehmen besonders viel benötigen. Außerdem sinkt die Wahrscheinlichkeit, dass sich Mitarbeiter mit Bedenken, Vorschlägen und Informationen zu Schwachpunkten an Sie wenden. Jede Bestrafung verstärkt den Elfenbeinturm-Effekt.

Die Unternehmen mit den niedrigsten Klickraten bei simulierten Phishing-Tests hatten beides: ein Modell für negative Konsequenzen und ein Sicherheitsteam, das gut erreichbar und beliebt ist. Wie haben sie das erreicht? Gutes Timing ist alles!

Wenn Sie ein Konsequenzmodell einführen, konzentrieren Sie sich zunächst ausschließlich auf Belohnungen für richtiges Verhalten. Negative Konsequenzen sollten erst eingeführt werden, wenn Sie von den richtigen Verhaltensweisen zur Schaffung der Sicherheitskultur übergegangen sind.

Zu diesem Zeitpunkt genießen Sie bereits Unterstützung und das Modell für negative Konsequenzen kann als letzte Option positioniert werden, mit dem die wenigen Mitarbeiter motiviert werden sollen, die ihr Verhalten im Gegensatz zu allen anderen noch nicht an die Kultur angepasst haben. Die Umsetzung ist letztendlich genau die gleiche, aber die Botschaft ist vollkommen anders.

Fazit

In einer Zeit, in der Identitäten die neue Angriffsfläche sind und Mitarbeiter für die Cyberabwehr eine so wichtige Rolle spielen, wird die Sicherheitskultur zu einem unverzichtbaren Element, das jeder CISO priorisieren sollte. Wenn Sie diese drei häufigen Fehler vermeiden, können Sie die Effektivität Ihres Sicherheitsprogramms erheblich steigern. Außerdem sinkt das Risiko einer erfolgreichen Cybersicherheitsverletzung durch die Anwender in Ihrem Unternehmen.

Informieren Sie sich über Proofpoint Security Awareness Training und beginnen Sie noch heute, Verhaltensänderungen zu fördern.