Wie Sie den Erfolg Ihres Schulungsprogramms für das Sicherheitsbewusstsein messen können
Veröffentlicht am: 26 Nov. 2021
Zuletzt geändert am: 24 Juli 2025
Hier finden Sie einige Möglichkeiten, wie Sie die einzelnen Maßnahmen Ihres Schulungsprogramms für das Sicherheitsbewusstsein erfassen können.
Wenn etwas gemessen wird, erhalten wir Daten. Ganz gleich, ob es sich dabei um die Länge einer Schnur handelt oder ob sich das Verhalten eines Mitarbeiters, der mit einer Phishing-E-Mail konfrontiert wurde, geändert hat – diese Daten geben uns wichtige Einblicke in eine Aufgabe oder ein Projekt.
Der Erfolg oder Misserfolg eines Security Awareness Training-Programms (SAT) kann auf mehr als eine Weise gemessen werden und liefert dabei wichtige Erkenntnisse über die Effektivität des Trainings. Aber wie man diese Messungen optimiert, erfordert ein funktionsübergreifendes Team mit Weitblick.
Warum sollten Sie sich die Mühe machen, die Effektivität eines Schulungsprogramms für das Sicherheitsbewusstsein zu messen?
Ein kürzlich veröffentlichtes Papier von Gartner Inc. mit dem Titel „Take 3 Steps to Prove That Your Security Awareness Program Is Actually Working“(Führen Sie 3 Schritte aus, um zu beweisen, dass Ihr Programm zur Förderung des Sicherheitsbewusstseins tatsächlich funktioniert) legt das Warum und Wie bei der Messung eines SAT-Programms dar. In dem Papier, das für Sicherheits- und Risikomanager geschrieben wurde, werden drei Hauptgründe genannt, warum die Messung von Security Awareness Training wichtig ist:
- Wenn Sie nicht nachweisen können, dass das Cyber-Risiko durch das Programm verringert wird, werden Sie keine Zustimmung der Führungsebene für die Fortsetzung der Sicherheitsschulung erhalten.
- Sicherheitsschulungen werden oft in Unternehmen eingeführt, ohne eine klare Vorstellung davon zu haben, was damit erreicht werden soll. Das Ergebnis ist ein Programm, das nicht die Verhaltensänderungen bewirkt, die zur Verringerung von Cyber-Risiken erforderlich sind.
- Die Messung des Erfolgs eines Security Awareness Trainings kann nicht auf einzelnen Variablen basieren. Diese Programme enthalten viele Elemente, die erfasst werden müssen, um die tatsächliche Wirkung eines SAT-Programms aufzuzeigen.
Einer der wichtigsten Punkte des Papiers ist, dass eine klare Vision die Grundlage für ein Programm zum Sicherheitsbewusstsein bilden muss. Ohne diese klare Vision dessen, was Sie erreichen wollen, sind Messungen bedeutungslos. Anders ausgedrückt: Messungen sind effektiver, wenn sie einen Ausgangspunkt haben, mit dem sie verglichen werden können. Diese Vision muss jedoch direkt mit den Geschäftsergebnissen verknüpft sein. Eine Möglichkeit, diese Ausgangsbasis zu schaffen, besteht darin, einen funktionsübergreifenden Ansatz zu verwenden, d.h. Teams über Unternehmensgrenzen hinweg zusammenzubringen, um zu ermitteln, was für die Minderung von Cyberrisiken wichtig ist.
Dadurch wird die Vision der Cybersicherheit mit den Unternehmenszielen in Einklang gebracht. Dieser Ansatz ist eine fortlaufende Übung und eine bewährte Praxis, da Cyberangriffe in allen Wirtschaftszweigen ständig Schaden anrichten. Geschäftliche und betriebliche Entscheidungen sind heute untrennbar mit der Sicherheit verbunden. Die Covid-19-Pandemie und das Mandat zur Heimarbeit haben dies deutlich gemacht. Das erhöhte Sicherheitsrisiko der Heimarbeit bietet mehr Möglichkeiten für Cyberkriminelle, ein Unternehmensnetzwerk über seine Mitarbeiter anzugreifen.
Aber eine Vision braucht nachweisbare Maßnahmen, um zu zeigen, dass sie ihren Auftrag erfüllt. Um der Führungsebene oder dem Vorstand zu zeigen, wie gut ein Programm vorankommt, sind harte Fakten erforderlich. Genau hier kommt die Messung ins Spiel.
Drei Wege, um den Erfolg eines Schulungsprogramms für das Sicherheitsbewusstsein zu messen
In dem Gartner-Papier werden drei Schlüsselaspekte genannt, die beweisen, dass Ihr Security Awareness Programm funktioniert. Diese drei Bereiche können unterteilt werden in:
Erzeugen Sie
Entwickeln Sie eine auf der Sicherheitskultur basierende Vision: Welche Anforderungen stellt Ihr Unternehmen an das Programm zum Sicherheitsbewusstsein? Welches Sicherheitsverhalten wünschen Sie sich von der Schulung der Mitarbeiter in Sicherheitsfragen?
Erfassen Sie
Erfassen Sie die Metriken des Sicherheitsverhaltens: Erstellen Sie Metriken zum Sicherheitsbewusstsein, die eine sinnvolle und positive Veränderung des Sicherheitsverhaltens belegen. Diese Metriken können die Form traditioneller Metriken für das Sicherheitsbewusstsein annehmen, wie z.B. Umfragen und Phishing-Simulationen.
Zeigen Sie
Nachweisliche Verringerung des Risikos: Zeigen Sie dem Cx-Team nachvollziehbare Änderungen im Sicherheitsverhalten, die mit materiellen Ergebnissen in Form einer geringeren Gefährdung durch Cyber-Risiken verbunden sind.
Erfassen von Metriken und Verhaltensänderungen
Die Sicherheitsvision ist der Dreh- und Angelpunkt, um den sich die Erfassung von Metriken und Verhaltensnachweisen dreht. Diese Vision bildet dann den Beweis, den Sie benötigen, um dem Cx-Team zu zeigen, dass das Security Awareness Training funktioniert. Es gibt viele Möglichkeiten, Sicherheitsmetriken zu messen, und MetaCompliance hat in einem früheren Blog-Beitrag die Messung von Security Awareness Training erörtert.
Die Messung liefert quantifizierbare Daten, die die Grundlage für eine Bewertung des Return on Investment (ROI) bilden. Eine einfache ROI-Gleichung erfasst jedoch nicht die positiven, anhaltenden Auswirkungen eines gut entwickelten Programms für Sicherheitsbewusstsein. Die zentrale Sicherheitsvision eines Unternehmens muss abgebildet werden, um Endresultate zu validieren, die das gesamte Cyber-Risiko eines Unternehmens reduzieren. Diese Vision einer sicheren Organisation muss sich in einer sicherheitsorientierten Denkweise und damit verbundenen Verhaltensänderungen niederschlagen.
Um Ihnen bei der Messung zu helfen, spricht das Gartner-Papier von „Signature Behaviours“, die wie folgt beschrieben werden : „Signature Behaviours sind Verhaltensweisen, die eindeutig die positive Absicht und Unterstützung der Endbenutzer für die Umsetzung der Vision des Sicherheitsbewusstseins widerspiegeln.“
Gartner stellt einige Beispiele für erwünschte Sicherheitspraktiken den Signatur-Sicherheitsverhaltensweisen gegenüber:
Praktizieren Sie: Alle Endbenutzer verwenden sichere Passwörter
Verhalten: Wir verwenden immer Passphrasen, um unsere Passwörter für den Zugriff auf unsere Arbeitskonten zu erstellen.
Üben Sie: Überprüfen Sie Links, bevor Sie sie anklicken
Verhalten: Wir sind wachsam und melden verdächtige E-Mails an den IT-Service Desk
Arbeiten Sie im Rahmen Ihrer Sicherheitsvision mit Ihrem funktionsübergreifenden Team zusammen, um eine Reihe von charakteristischen Verhaltensweisen zu entwickeln, die dann als Nachweis für den Erfolg des Security Awareness Training-Programms dienen können.
Der Beweis des Puddings durch bessere Sicherheit
Letztendlich möchte ein Unternehmen sehen, dass sich seine Investition in ein Sicherheitsprogramm in einem geringeren Risiko einer Verletzung seiner Daten niederschlägt. Durch die Bewertung des Signaturverhaltens im Vergleich zu den Bedrohungsarten kann ein Unternehmen eine einfache ROI-Gleichung mit einem Mehrwert anreichern.
Der Beweis für Sicherheitstraining ist der Pudding. Mit der Zeit wird ein gut geplantes und effektives Sicherheitstrainingsprogramm zu einem Rückgang der Cyberangriffe führen. Aber eine starke Vision ist der Anfang.
