Mimecast Logo
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    4 Gründe, warum rollenbasiertes Sicherheitstraining nicht länger eine Einheitsgröße für alle ist

    Die Sicherheit jeder Organisation ist nur so stark wie ihr schwächstes menschliches Glied. Doch jahrelang wurde bei der Schulung des Sicherheitsbewusstseins von einer grundlegend falschen Annahme ausgegangen: dass alle Mitarbeiter das gleiche Risiko darstellen und durch identische Schulungsprogramme geschützt werden können. Dieser Einheitsansatz ist nicht nur ineffektiv, sondern behindert aktiv die Sicherheitslage Ihres Unternehmens.

    by Andrew Williams

    Wichtige Punkte

    • Herkömmliche Sicherheitsschulungen gehen nicht auf die konzentrierte Natur des menschlichen Risikos ein, bei dem ein kleiner Prozentsatz der Benutzer für die Mehrheit der Sicherheitsvorfälle verantwortlich ist.
    • Rollenbasiertes Training richtet die Präventionsbemühungen an den tatsächlichen Risikomustern aus und verbessert sowohl die Effizienz als auch die Effektivität
    • Die sich entwickelnde Bedrohungslandschaft erfordert gezielte Interventionen, die sich an das individuelle Nutzerverhalten und die Angriffsgefahr anpassen.

    Der Wechsel zu rollenbasierten Sicherheitstrainings stellt eine grundlegende Entwicklung in der Art und Weise dar, wie Unternehmen mit menschlichen Risiken umgehen. Dieser Ansatz trägt der Tatsache Rechnung, dass die Risiken für den Menschen stark konzentriert sind, dass Angriffe zunehmend personalisiert sind und dass eine wirksame Prävention maßgeschneiderte Maßnahmen erfordert, die den spezifischen Bedrohungen entsprechen, denen jede Rolle ausgesetzt ist.

    Rollenbasiertes Sicherheitstraining ist der neue Standard

    Die Cybersicherheitslandschaft hat einen dramatischen Wandel erfahren. Während sich Unternehmen früher auf Schutzmechanismen und allgemeine Schulungsmodule verließen, erfordert die heutige Bedrohungslage einen ausgefeilteren Ansatz. Die Daten zeigen immer wieder, dass das menschliche Risiko nicht gleichmäßig über ein Unternehmen verteilt ist, sondern sich auf bestimmte Benutzergruppen konzentriert, die vorhersehbare Risikomuster aufweisen.

    Herkömmliche Schulungen zum Sicherheitsbewusstsein behandeln alle Mitarbeiter gleich, unabhängig von ihren Zugriffsrechten, Verhaltensmustern oder ihrer Gefährdung. Moderne Bedrohungsakteure verstehen diese Komplexität und nutzen sie aus, indem sie Angriffe entwickeln, die speziell darauf zugeschnitten sind, die einzigartigen Schwachstellen der verschiedenen Rollen innerhalb einer Organisation auszunutzen.

    Rollenbasiertes Sicherheitstraining richtet die Präventionsbemühungen auf das tatsächliche Risiko aus und schafft gezielte Interventionen, die auf die spezifischen Bedrohungen eingehen, denen jede Rolle ausgesetzt ist. Dieser Ansatz verbessert nicht nur die Sicherheitsergebnisse, sondern erhöht auch die Gesamteffektivität der Schulungsinvestitionen, indem die Ressourcen dort eingesetzt werden, wo sie die größte Wirkung erzielen können.

    Ermitteln Sie Ihre risikoreichsten Benutzer anhand echter Phishing-Daten und KI-gesteuerter Erkenntnisse und liefern Sie dann gezielte, rechtzeitige Interventionen, um das Verhalten zu ändern, bevor es zu Einbrüchen kommt. 

    Testen Sie unser Training zum Sicherheitsbewusstsein →.

     

    I. Inhärente Beschränkungen der traditionellen Ausbildung

    Allgemeine Sicherheitstrainingsprogramme leiden unter mehreren grundlegenden Mängeln, die ihre Wirksamkeit einschränken. Die wichtigste Einschränkung ist die Konzentration auf den Output und nicht auf die Ergebnisse. Herkömmliche Programme messen den Erfolg anhand von Metriken wie Abschlussquoten, Quiz-Ergebnissen und simulierten Phishing-Klickraten. Diese Metriken haben jedoch oft nur eine geringe Korrelation mit dem tatsächlichen Sicherheitsverhalten in realen Szenarien.

    Simulierte Phishing-Tests sind zwar wertvoll, stellen aber oft Szenarien dar, die schwieriger sind als die tatsächlichen Angriffe, denen die Mitarbeiter ausgesetzt sind. Dadurch entsteht ein falsches Gefühl der Sicherheit, wenn Mitarbeiter offensichtlich verdächtige E-Mails erfolgreich identifizieren, während sie für subtilere, rollenspezifische Angriffe anfällig sind.

    Eine weitere kritische Einschränkung ist das Fehlen eines Verhaltenskontextes. Allgemeine Schulungen behandeln alle risikoreichen Verhaltensweisen gleich und berücksichtigen nicht die Tatsache, dass verschiedene Aktionen je nach der Rolle des Benutzers und der Sensibilität der Informationen, mit denen er umgeht, ein unterschiedliches Risiko darstellen.

    Programme zur Förderung des Sicherheitsbewusstseins existieren oft isoliert von umfassenderen Sicherheitsstrategien. Sie arbeiten unabhängig von den Funktionen für die Reaktion auf Vorfälle, Bedrohungsdaten und das Risikomanagement. Dadurch entstehen Silos, die Unternehmen daran hindern, umfassende Risikoprofile für verschiedene Benutzer und Gruppen zu erstellen.

    II. Die Unverhältnismäßigkeit des Human Risk

    Eine der wichtigsten Erkenntnisse, die den Wechsel zu rollenbasiertem Training vorantreibt, ist die Erkenntnis, dass das menschliche Risiko einem hochkonzentrierten Muster folgt. Untersuchungen haben ergeben, dass etwa 8% der Benutzer für 80% aller Sicherheitsvorfälle in einem Unternehmen verantwortlich sind und 4% für 80% der Phishing-Vorfälle. Am auffälligsten ist vielleicht, dass nur 3% der Nutzer für 92% der Malware-Ereignisse verantwortlich sind.

    Die Nutzer, die sich regelmäßig riskant verhalten, haben oft gemeinsame Merkmale. Sie können aufgrund ihres Zugangs zu sensiblen Informationen hochwertige Ziele sein, aufgrund ihrer Rolle in der Öffentlichkeit einer erhöhten Bedrohung ausgesetzt sein oder Verhaltensmuster aufweisen, die sie anfälliger für Social Engineering-Angriffe machen.

    In der Zwischenzeit ist die Mehrheit der Arbeitnehmer einem begrenzten Risiko ausgesetzt. Diese Benutzer klicken selten auf verdächtige Links, laden selten unerlaubte Software herunter und befolgen im Allgemeinen die gängigen Sicherheitsprotokolle. Sie benötigen zwar immer noch ein grundlegendes Sicherheitsbewusstsein, aber sie brauchen nicht dasselbe Maß an intensiven, gezielten Eingriffen oder adaptiven Richtlinien für Mitarbeitergruppen wie Benutzer mit hohem Risiko.

    Diese Konzentration ermöglicht es Unternehmen, ihre Schulungsressourcen effektiver einzusetzen. Anstatt die Bemühungen gleichmäßig auf alle Mitarbeiter zu verteilen, konzentriert sich das rollenbasierte Training auf intensive Interventionen für Benutzer mit hohem Risiko, während für Personen mit geringerem Risiko ein angemessenes Grundlagentraining angeboten wird.

    III. Sich entwickelnde Bedrohungslandschaft & Erweiterte Angriffsfläche

    Die moderne Bedrohungslandschaft stellt uns vor Herausforderungen, die mit allgemeinen Schulungsprogrammen einfach nicht mehr zu bewältigen sind. Bedrohungsakteure haben sich von einfachen, massenhaft verbreiteten Angriffen zu ausgeklügelten, sehr gezielten Kampagnen entwickelt, die die spezifischen Schwachstellen verschiedener Unternehmensrollen ausnutzen.

    Künstliche Intelligenz hat die Bedrohungslandschaft revolutioniert, da sie es Angreifern ermöglicht, personalisierte Phishing-Kampagnen in großem Umfang zu erstellen. KI-generierte Angriffe können Schreibstile imitieren, sich auf bestimmte Projekte beziehen und kontextbezogene Details einbauen, die sie von legitimer Kommunikation praktisch nicht unterscheiden lassen.

    Die Collaboration-Tools, die modernes Arbeiten ermöglichen - Microsoft Teams, Slack, Zoom, SharePoint und OneDrive - haben die Angriffsfläche dramatisch vergrößert. Diese Plattformen steigern zwar die Produktivität, schaffen aber auch neue Angriffsmöglichkeiten, die mit herkömmlichen Schulungsprogrammen nicht angemessen behandelt werden können. Jede Plattform hat ihre eigenen Sicherheitsaspekte, die von der Nutzung durch verschiedene Rollen abhängen.

    Die in diesen Kollaborationsplattformen eingebauten Sicherheitskontrollen bleiben oft hinter ihrer Funktionalität zurück, so dass Lücken entstehen, die Angreifer aktiv ausnutzen. Besonders besorgniserregend ist die Häufigkeit, mit der sensible Daten in diesen Umgebungen ausgetauscht, bearbeitet oder gelöscht werden. Im Gegensatz zu herkömmlichen E-Mail-Systemen ermöglichen moderne Kollaborationsplattformen die gemeinsame Nutzung in Echtzeit, wodurch Sicherheitskontrollen umgangen werden können.

    Unternehmen, die sich weiterhin auf generische Schulungsprogramme verlassen, sind nicht in der Lage, diese plattformspezifischen, rollenbasierten Risiken effektiv anzugehen.

    IV. Bedarf an gezielten und adaptiven Interventionen

    Die Erkenntnis, dass das Risiko je nach Rolle, Zugriffsstufe und Angriffsgefahr stark variiert, hat die Entwicklung von ausgefeilteren Ansätzen für die Sicherheitsschulung vorangetrieben. Führungskräfte, Manager und Vertriebsteams sind aufgrund ihres Zugangs zu sensiblen Informationen und ihrer Sichtbarkeit innerhalb des Unternehmens immer wieder Ziel von targeted attack. Diese Benutzer benötigen eine spezielle Schulung, die sich mit fortgeschrittenen Social-Engineering-Techniken und der Kompromittierung von business email befasst.

    Die Forschung zeigt, dass die Dauer der Nutzung die Anfälligkeit für verschiedene Arten von Angriffen erheblich beeinflusst. Mitarbeiter mit langer Betriebszugehörigkeit werden möglicherweise eher Opfer von Phishing-Angriffen, die ihre Vertrautheit mit den Unternehmensabläufen ausnutzen. Neue Mitarbeiter können leichter ausgetrickst werden, da sie nur ein begrenztes Verständnis der Unternehmensnormen und Sicherheitsprotokolle haben.

    Verschiedene Abteilungen haben unterschiedliche Risikoprofile, die spezielle Maßnahmen erfordern. Forschungs- und Entwicklungsteams sind häufiger mit Malware-Vorfällen konfrontiert, während Kundendienstabteilungen durch ihre regelmäßige Interaktion mit externen Parteien einem erhöhten Phishing-Risiko ausgesetzt sind.

    Der Zugriff auf sensible Daten verändert die Risikogleichung grundlegend. Benutzer, die regelmäßig mit vertraulichen Informationen, Finanzdaten oder geistigem Eigentum umgehen, benötigen eine Schulung, die sich mit den spezifischen Bedrohungen, denen sie ausgesetzt sind, und den möglichen Folgen eines Sicherheitsvorfalls befasst.

    Human Risk Management (HRM) steht für die Weiterentwicklung der Sicherheitsschulung von einer auf die Einhaltung von Vorschriften ausgerichteten Aktivität zu einer strategischen Sicherheitsfähigkeit. HRM kombiniert Verhaltenswissenschaft, Technologie und strategisches Denken, um menschliche Schwachstellen in Sicherheitsstärken zu verwandeln. Dieser Ansatz erkennt an, dass nachhaltige Sicherheitsverbesserungen nur dann möglich sind, wenn man versteht, warum Menschen sich so verhalten, wie sie es tun, und wenn man Maßnahmen ergreift, die auf die zugrunde liegenden Motivationen eingehen.

    Das Ziel des HRM besteht nicht darin, menschliche Risiken zu eliminieren, sondern sie zu verstehen, zu messen und effektiv zu verwalten. Dies erfordert einen tiefen Einblick in das Benutzerverhalten, reale Bedrohungsdaten und die Fähigkeit, einzelne Aktionen mit umfassenderen Sicherheitsergebnissen in Beziehung zu setzen.

    Beispiele aus der realen Welt: Wie Bedrohungen auf bestimmte Rollen abzielen

    Das Verständnis dafür, wie Bedrohungsakteure Angriffe für verschiedene Positionen anpassen, zeigt, warum rollenbasierte Sicherheitsschulungen so wichtig geworden sind. Der Kontrast zwischen der Art und Weise, wie Führungskräfte und Mitarbeiter an vorderster Front angegriffen werden, zeigt, wie ausgeklügelt die modernen Bedrohungen sind und wie unzureichend die allgemeinen Schulungsansätze sind.

    Bedrohungen auf Führungsebene: Kompromittierung von Business Email

    Stellen Sie sich einen CEO vor, der eine scheinbar dringende E-Mail von seinem CFO erhält, in der er um die Genehmigung einer vertraulichen Überweisung für eine Akquisition bittet. Die Nachricht bezieht sich auf ein tatsächliches internes Projekt, verwendet ein realistisches Unternehmensbranding und ahmt den Schreibstil des CFO durch KI-gestützte Generierung nach. Diese ausgeklügelte Attacke zur Kompromittierung von business email nutzt die Autorität des Geschäftsführers, den Zugang zu Finanzkontrollen und die mit der Führungsebene verbundenen Vertrauensbeziehungen aus.

    CEOs stellen gerade wegen ihrer hohen Sichtbarkeit und Entscheidungsbefugnis hochwertige Ziele dar. Bedrohungsakteure investieren erhebliche Ressourcen in die Erforschung von Kommunikationsmustern von Führungskräften, laufenden Geschäftsinitiativen und Unternehmenshierarchien, um überzeugende Imitationsangriffe zu entwickeln. Diese Angriffe umgehen die herkömmlichen E-Mail-Sicherheitskontrollen, indem sie eher die menschliche Psychologie als technische Schwachstellen ausnutzen.

    Bedrohungen für Mitarbeiter an vorderster Front: Sammeln von Zugangsdaten

    Ein Vertriebsmitarbeiter erhält eine scheinbar routinemäßige Benachrichtigung, dass seine CRM-Sitzung abgelaufen ist, komplett mit Unternehmensbranding und vertrauten Oberflächenelementen. Der eingebettete Link führt zu einer überzeugenden Nachbildung des täglichen Anmeldeportals, das speziell für die Erfassung der Anmeldedaten entwickelt wurde. Diese Art von Angriff ist erfolgreich, weil sie die häufige Interaktion des Vertreters mit mehreren Plattformen und den Zeitdruck ausnutzt, der mit der Rolle des Verkäufers verbunden ist.

    Vertriebsmitarbeiter sind aufgrund ihrer Sichtbarkeit in der Öffentlichkeit, der häufigen Nutzung von Tools Dritter und der regelmäßigen Interaktion mit externen Kontakten besonderen Risiken ausgesetzt. Angreifer wissen, dass diese Mitarbeiter oft schnell zwischen verschiedenen Plattformen wechseln und routinemäßige Systembenachrichtigungen nicht so sorgfältig prüfen wie andere Benutzergruppen.

    Die Ausbildungslücke

    Während die Führungskraft mit einem ausgeklügelten Social Engineering konfrontiert ist, das darauf abzielt, ihre finanziellen Befugnisse auszunutzen, wird der Vertriebsmitarbeiter mit einem Diebstahl von Zugangsdaten konfrontiert, der die Vertrautheit mit dem Unternehmen ausnutzt. Herkömmliche Schulungsprogramme, die sich auf allgemeine Phishing-Indikatoren konzentrieren, gehen nicht auf diese rollenspezifischen Angriffsvektoren ein. Die Führungskraft muss in den Protokollen zur Verifizierung von Finanztransaktionen und in der Taktik, sich als Führungskraft auszugeben, geschult werden, während der Vertriebsmitarbeiter über plattformspezifische Phishing-Methoden und den Schutz von Zugangsdaten aufgeklärt werden muss.

    Dieser Unterschied in den Bedrohungsmustern unterstreicht, warum sich Organisationen nicht mehr auf einheitliche Schulungsansätze verlassen können. Jede Rolle ist mit unterschiedlichen Risiken verbunden, die gezielte Aufklärung, spezifische Verhaltensänderungen und rollengerechte Reaktionsprotokolle erfordern.

    Der Weg nach vorn: Implementierung von rollenbasiertem Sicherheitstraining

    Der Wechsel von allgemeinen zu rollenbasierten Sicherheitstrainings ist mehr als nur eine taktische Änderung, es ist eine grundlegende Entwicklung in der Art und Weise, wie Unternehmen mit menschlichen Risiken umgehen. Unternehmen, die mit dieser Umstellung beginnen, sollten zunächst ihre vorhandenen Daten zu Sicherheitsvorfällen analysieren, um Muster der Risikokonzentration zu erkennen. Welche Benutzer tauchen immer wieder in Vorfallsberichten auf? Welche Arten von Vorfällen treten in den verschiedenen Abteilungen am häufigsten auf?

    Diese Analyse bildet die Grundlage für die Entwicklung gezielter Maßnahmen, die auf spezifische Risikofaktoren und nicht auf allgemeine Bedrohungen abzielen. Die technologische Infrastruktur, die rollenbasierte Schulungen unterstützt, muss in der Lage sein, personalisierte Inhalte zu liefern, Verhaltensänderungen zu verfolgen und reale Sicherheitsergebnisse zu messen.

    Am wichtigsten ist, dass rollenbasiertes Training als ein fortlaufender Prozess und nicht als ein periodisches Ereignis betrachtet werden muss. Da sich die Bedrohungen weiterentwickeln und sich das Verhalten der Benutzer ändert, müssen die Schulungsprogramme entsprechend angepasst werden. Dies erfordert eine kontinuierliche Überwachung, eine regelmäßige Bewertung und die Flexibilität, Interventionen auf der Grundlage neuer Daten zu ändern.

    Die Unternehmen, die erfolgreich rollenbasierte Sicherheitsschulungen durchführen, werden sich besser auf die komplexe Bedrohungslandschaft der Zukunft vorbereitet sehen. Indem sie anerkennen, dass das menschliche Risiko konzentriert und überschaubar ist, können sie ihre größte Schwachstelle in einen Wettbewerbsvorteil verwandeln.

     

    Sind Sie bereit, Ihr Sicherheitstraining von allgemeiner zu gezielter Schulung zu machen? Erfahren Sie, wie Sie mit den Lösungen von Mimecast für Sicherheitsbewusstsein und -schulung rollenbasierte Maßnahmen umsetzen können, die auf die spezifischen Risikomuster Ihres Unternehmens eingehen.

     

    roundup-Blog.jpg
    Nächster Punkt
    Security Awareness Training |
    Human Risk Roundup: Eine Salesforce-Kampagne und ein Rapper-Bot-Sandwich

    Verwandte Artikel

    Security Awareness Training
    Wie man Human Risk misst: 7 Schlüsselmetriken
    Security Awareness Training
    Rationalisierung von Cybersicherheitsstrategien: Die Rolle des menschlichen Risikomanagements
    Security Awareness Training
    Wie Sie die Akzeptanz der Geschäftsleitung für Programme zur Förderung des Sicherheitsbewusstseins erreichen

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang