Es hat wenig Sinn, etwas im Leben zu tun, wenn Sie nicht wissen, dass es sich lohnt und dass das, was Sie tun, funktioniert. Dieser Gedanke gilt für viele Aspekte eines Unternehmens, so auch für ein Programm zur Förderung der Sicherheit.

Wenn ein Unternehmen ein Programm zur Förderung des Sicherheitsbewusstseins einführt, sollte es immer im Hinterkopf haben, was es erreichen will. In einem Bericht von Verizon aus dem Jahr 2021 wird betont, dass 85 % der Datenschutzverletzungen auf das „menschliche Element“ zurückzuführen sind, so dass die Förderung eines guten Sicherheitsverhaltens im Vordergrund stehen sollte.

Aber wie genau können Sie ein scheinbar nebulöses Element wie das Verhalten messen?

Eine Grundlage für ein großartiges Programm zur Sensibilisierung für Sicherheitsfragen schaffen?

Um etwas zu messen, brauchen Sie einen Ausgangspunkt, eine Basislinie. Ein Programm zur Förderung des Sicherheitsbewusstseins zielt darauf ab, das Verhalten und die Einstellung der Mitarbeiter zu ändern, um die allgemeine Sicherheit in einem Unternehmen zu verbessern.

Eine Reihe klar definierter Ziele ist ein wichtiger Ausgangspunkt, auf dem Sie aufbauen können, wenn Sie den Erfolg Ihres Sicherheitsprogramms testen. Diese Ziele bilden die Grundlage für die Metriken Ihres Sicherheitsprogramms, das nach der Methode „Trainieren und Testen“ arbeitet.

Bei der Entwicklung eines Programms zur Förderung des Sicherheitsbewusstseins sollten Sie sich überlegen, wie der Erfolg der einzelnen Bereiche des Programms gemessen werden kann. Auf diese Weise können Sie testbare Elemente in das Programm einbauen. Typische Bestandteile eines ganzheitlichen Sicherheitsprogramms sollten sein:

  1. Sicherheitshygiene: umfasst verschiedene Elemente wie die Wahl des Passworts und die Gewohnheiten beim Surfen im Internet

  2. Social Engineering: Was ist Social Engineering und welche Arten von Betrug gibt es, die eine Organisation und ihre Mitarbeiter betreffen?

  3. Phishing-Bewusstsein: Schulung der Mitarbeiter zur Erkennung von Phishing-Taktiken

  4. Computersicherheitsgewohnheiten: einschließlich der Frage, wie man erkennt, ob ein Computer infiziert sein könnte, und wie man sicherheitsfördernde Maßnahmen wie ein VPN für die Fernarbeit einsetzt

Jeder dieser Aspekte eines Programms zur Förderung des Sicherheitsbewusstseins kann gemessen werden, und die Ergebnisse werden dann als Feedback verwendet, um den Erfolg des Programms zu optimieren.

Der Maßstab für den Erfolg (oder Misserfolg) eines Programms zur Förderung der Sicherheit?

Die Messung der Ergebnisse eines Programms zur Förderung des Sicherheitsbewusstseins ist keine „bestanden/nicht bestanden“-Übung. Stattdessen bietet sie einen Einblick in die Effektivität der verschiedenen Bereiche des Security Awareness Trainings.

Die Ergebnisse können als Feedback für die verschiedenen Teile des Sicherheitsprogramms verwendet werden, um das Training zu optimieren. Wenn etwas nicht funktioniert, geben die Metriken und das Feedback einen Hinweis darauf, und einige Metriken können sogar Schwachstellen in bestimmten Trainingsveranstaltungen identifizieren. Diese Informationen können dann genutzt werden, um die Awareness-Schulung noch genauer zu gestalten.

Zu den Bereichen, die zur Erfassung von Daten über die Metriken der Sicherheitsschulung genutzt werden können, gehören:

Umfragen zur Sensibilisierung und Mitarbeiter-Feedback

Awareness-Umfragen sind Fragebögen, die Mitarbeiter ausfüllen, um einen Einblick in die Effektivität der Awareness-Schulung zu erhalten. Diese Methode ist zwar manuell, kann aber ein nützlicher Teil eines Portfolios von Messübungen sein, um den Erfolg Ihres Programms zur Förderung des Sicherheitsbewusstseins zu ermitteln. Die Fragebögen werden häufig von der Personalabteilung oder einem Sicherheitsberater bearbeitet und enthalten in der Regel Fragen oder Quizfragen, die die Fähigkeit der Mitarbeiter testen, eine Bedrohung zu erkennen.

Phishing-Simulationen und Metriken

Phishing-Simulationen werden über automatisierte Plattformen durchgeführt, die Test-Phishing-E-Mails an Mitarbeiter versenden. Die Simulationsplattform zeichnet auf, ob der Mitarbeiter erfolgreich erkennt, dass es sich bei der Testnachricht um eine Phishing-Nachricht handelt, oder nicht. Phishing-Simulationsplattformen und Ratschläge zu ihrer Verwendung sowie die von ihnen gelieferten Metriken sind über spezialisierte Drittanbieter wie MetaCompliance erhältlich.

Social Engineering und Metriken

Wie Mitarbeiter auf Betrügereien reagieren, ist ein wichtiger Aspekt des Sicherheitsbewusstseins. Betrügereien wie Business Email Compromise (BEC) sind oft raffiniert und nutzen Social Engineering als Grundlage für den Betrug.

Die Reaktion eines Mitarbeiters auf ein simuliertes Social Engineering-Ereignis kann sowohl quantitativ als auch qualitativ gemessen werden, je nachdem, wie die Simulationen durchgeführt werden. Drittanbieter können Sie bei der Erstellung von simulierten Social-Engineering-Tests beraten, die sich für eine Messung eignen.

Erfassung von Vorfällen und Berichterstattung

Der Beweis ist der Pudding, und dieser Pudding hat die Form der Meldung von Sicherheitsvorfällen durch die Mitarbeiter. Ein System zur Meldung von Sicherheitsvorfällen, das es den Mitarbeitern ermöglicht, Sicherheitsvorfälle einfach einzugeben, bietet eine Möglichkeit, die Effektivität eines Programms zur Förderung des Sicherheitsbewusstseins zu messen.

Die Berichterstattung über Vorfälle hat einen doppelten Nutzen: Sie dient als Triage- und Reaktionssystem für Sicherheitsprobleme, sobald diese auftreten, und protokolliert und prüft das Bewusstsein der Mitarbeiter. Die Mitarbeiter sollten darin geschult werden, das System zur Meldung von Vorfällen zu nutzen, um Sicherheitsereignisse aufzuzeichnen, wie z.B.:

  • Erhalt einer Phishing-Nachricht

  • Versehentliche Preisgabe eines Passworts

  • Verdacht auf Malware-Infektion

  • Unbeabsichtigte Offenlegung von Informationen durch E-Mail-Fehlzustellungen

  • Verlorene oder gestohlene Geräte

  • Social-Engineering-Versuche, z.B. ein Telefonbetrug

Messen, Zuhören, Optimieren

Programme zur Förderung des Sicherheitsbewusstseins sind bekannt dafür, dass sie schwer zu messen sind. Die Messung von Verhalten und Verständnis ist oft eher qualitativ als quantitativ. Durch die Verwendung einer Kombination von Faktoren, die Indikatoren für Verhaltensänderungen und Bewusstsein erfassen, kann ein Unternehmen jedoch sicherstellen, dass sein Programm effektiv ist.

Letztlich braucht ein Unternehmen ein effektives Programm zur Förderung des Sicherheitsbewusstseins, um die Zahl der Cyberangriffe zu verringern und die allgemeine Cybersicherheit des Unternehmens zu verbessern. Da die Mitarbeiter immer besser verstehen, wie Cybersicherheitsbedrohungen funktionieren, wird die Optimierung der Effektivität eines Programms zur Förderung des Sicherheitsbewusstseins zu einer Sicherheitskultur führen, die sich mit besserer Sicherheit auszahlt.