Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Schulungen zum Sicherheitsbewusstsein

    Kultivierung von Cyber Resilience Stewards

    Benutzer zu motivieren, eine aktive Rolle bei der Verbesserung der Cybersicherheit Ihres Unternehmens zu übernehmen, kann eine Herausforderung sein.

    by Dr. Matthew Canham
    gettyimages-932354274.png

    Wichtige Punkte

    • Cyber Resilience Stewards sind Mitarbeiter, die die Cybersicherheit eines Unternehmens stärken, indem sie bösartige E-Mails melden, ohne ihnen zum Opfer zu fallen.
    • Für Sicherheitsfachleute kann es jedoch schwierig sein, mehr Mitarbeiter dazu zu ermutigen, als Cyberverantwortliche zu agieren.
    • Durch spielerische Sensibilisierungsschulungen und herausfordernde Übungen für die Mitarbeiter können Sie mehr Cyber Stewards in Ihrem Unternehmen schaffen.

    Untersuchungen, die meine Kollegen und ich durchgeführt haben, haben ergeben, dass fast ein Drittel der Mitarbeiter über mehrere betrügerische E-Mails in Phishing-Schulungskampagnen berichten, ohne einer einzigen zum Opfer zu fallen. [i] Diese "Cyber Resilience Stewards" stellen das menschliche Schutzschild einer Organisation dar und sind möglicherweise die ersten, die eine Sicherheitsabteilung über einen echten bösartigen E-Mail-Angriff informieren, der sich der automatischen Erkennung entzieht.

    Während wir uns im Sicherheitsbereich oft auf das Negative konzentrieren - - und das Risiko verringern, indem wir den Menschen beibringen, keine schlechten Dinge zu tun - können wir auch einen erheblichen Nutzen daraus ziehen, das Positive zu fördern, indem wir die Zahl der Menschen erhöhen, die gute Dinge tun. Die Herausforderung für Sicherheitsbeauftragte besteht darin, Cyber Stewards zu kultivieren und ihre Verbreitung unter den Mitarbeitern zu erhöhen.

    Motivierende Sicherheitsverhaltensweisen

    Einige Forscher gehen davon aus, dass das Verhalten von Menschen auf einem Kompromiss zwischen der Schwierigkeit einer Handlung und der Motivation für die Durchführung dieser Handlung beruht. [ii] Wenn ein Schritt einfach zu tun ist, werden die Menschen ihn mit größerer Wahrscheinlichkeit tun. Umgekehrt muss eine Person hoch motiviert sein, wenn es schwierig ist, eine Aufgabe zu erfüllen. Stellen Sie sich das einmal so vor: Wenn ein Online-Einkauf so schwierig wäre wie das Ausfüllen von Formularen auf irs.gov, wäre Amazon schon vor Jahrzehnten vom Markt verschwunden. Die Menschen füllen ihre Steuern aus, weil die Kosten, wenn sie es nicht tun, extrem hoch sind, und daher ist auch ihre Motivation hoch.

    Um die Mitarbeiter zu Verhaltensweisen zu bewegen, die zur Stärkung der Cybersicherheit eines Unternehmens beitragen, müssen diese Maßnahmen entweder einfacher werden, oder die Mitarbeiter müssen motiviert werden, sie zu ergreifen. Dieser Artikel konzentriert sich auf die zweite Option.

    Psychologen betrachten Motivation aus zwei Blickwinkeln: extrinsisch und intrinsisch. [iii] Extrinsische Motivation bezieht sich oft auf die Motivation, bestimmte Handlungen auszuführen, weil sie die Aussicht auf eine Belohnung beinhalten. Die intrinsische Motivation umfasst die Motivation, ein Verhalten auszuführen, weil es Spaß macht, diese Handlung auszuführen.

    Wirtschaftswissenschaftler und Sicherheitsfachleute lieben extrinsische Motivation, weil sie leicht zu kultivieren und zu messen ist - wenn wir wollen, dass jemand X tut, geben wir ihm Y als Belohnung. Allerdings hat die extrinsische Motivation, jemanden zu einer Handlung zu bewegen, einen Nachteil: In der Regel setzen Menschen das gewünschte Verhalten nicht fort, wenn die externe Belohnung nicht mehr vorhanden ist. Und warum sollten sie auch? Ihr Grund dafür ist nicht mehr vorhanden. Externe Motive sind zwar verlockend, weil sie leicht umzusetzen sind und kurzfristig zu besseren Ergebnissen führen, aber ihre längerfristigen Auswirkungen können schädlich sein.

    Sichere Verhaltensweisen durch Spiele

    Wie können wir also die intrinsische Motivation von Menschen steigern? Leider gibt es keine pauschale Antwort auf dieses Problem, und wir müssen akzeptieren, dass wir niemals alle Menschen intrinsisch motivieren können. Eine Lösung, mit der meine Kollegen und ich Erfolg hatten, ist jedoch die Gamification.

    Indem wir die Phishing-Erkennung in ein Spiel verwandeln, wird sie spielerischer gestaltet. Zu diesem Zweck haben wir im Rahmen des Cybersecurity Awareness Month ein "Phishing-Derby" ins Leben gerufen. [iv] Die Mitarbeiter traten im Rahmen des Derbys gegeneinander an, um eine unbekannte Anzahl simulierter Phishing-E-Mails während der einmonatigen Übung zu erkennen. Sie erhielten nicht nur Punkte für die korrekte Identifizierung dieser E-Mails, sondern auch für die rechtzeitige Meldung dieser E-Mails.

    Es gab zwei wesentliche Unterschiede zwischen diesem Wettbewerb und normalen Phishing-Trainingsübungen. Erstens war das Phishing-Derby völlig freiwillig, und die Teilnehmer mussten sich aktiv für den Wettbewerb anmelden. Das Opt-in macht sich einen psychologischen Trick zunutze, der als Prinzip des Engagements und der Konsistenz bekannt ist und bei dem jemand seine Handlungen rechtfertigt, indem er sich selbst davon überzeugt, dass diese Handlungen bedeutsam und wichtig sind. [v] Zweitens waren die Wettbewerbs-E-Mails, die die Teilnehmer melden sollten, wesentlich schwieriger zu erkennen als die bei normalen Kampagnen verschickten. In der Tat hat unsere Gruppe alles daran gesetzt, die schwierigsten Phishing-E-Mails zu erstellen, die wir uns vorstellen konnten.

    Messung der Ergebnisse von Gamification

    Das Feedback, das wir erhielten, war überwältigend positiv. Und fast alle sagten, dass sie sich auf das zweite jährliche Phishing-Derby freuen, das im kommenden Oktober stattfinden wird.

    Wie wirksam war diese Schulung? Das wissen wir noch nicht. Wir beobachten derzeit die Leistung der Freiwilligen im Laufe der regelmäßigen Phishing-Schulungskampagnen dieses Jahres, um zu sehen, ob sich die Leistung der Teilnehmer im Vergleich zum Rest der Organisation verbessert.

    Vorläufige Ergebnisse deuten darauf hin, dass sie besser abschneiden. Natürlich ist dies eine klassische Frage von Korrelation und Kausalität. Haben diese Personen bessere Leistungen erbracht, weil der Wettbewerb sie zu besseren Leistungen motiviert hat, oder haben sich nur die Leistungsstarken freiwillig zum Phishing-Derby gemeldet, weil sie bereits herausragende Leistungen erbracht haben? Dies ist eine Forschungsfrage, mit der wir uns derzeit beschäftigen.

    Bei der Nachbesprechung des Wettbewerbs erhielten wir zwei Rückmeldungen, die mich zu der Annahme veranlassen, dass der Wettbewerb tatsächlich eine positive Wirkung hatte. Erstens hatten viele Teilnehmer zuvor nicht verstanden, wie wichtig es ist, potenziell bösartige E-Mails zu melden. In der Nachbereitung des Wettbewerbs haben wir erörtert, warum das Melden von E-Mails für die Sicherheit anderer Mitarbeiter im Unternehmen hilfreich ist. Der Wettbewerb und diese Erkenntnisse scheinen die Teilnehmer zu mehr Wachsamkeit beim Melden angeregt zu haben. Zweitens berichteten viele Teilnehmer, dass ihnen der Versuch, äußerst schwer zu entdeckende Phishing-E-Mails zu erkennen, Spaß gemacht hat. Sie sagten, dass die damit verbundene Herausforderung sie dazu motivierte, nach weiteren E-Mails zu suchen, die möglicherweise bösartig sind.

    Es gibt mehrere Forschungsfragen, die beantwortet werden müssen, um die Wirksamkeit unseres Phishing-Derbys in Bezug auf die Verbesserung der Phishing-Erkennungsleistung der Mitarbeiter besser zu verstehen. Die vorläufigen Ergebnisse zeigen jedoch, dass sie die Erfahrung genossen haben und der Meinung waren, dass sie von dem Wettbewerb profitiert haben. Nach diesem Probelauf bin ich der Meinung, dass Gamification ein wirksames Mittel sein kann, um die Grenzen dessen, was Mitarbeiter können, zu erweitern.

    Die Quintessenz

    Cyber Stewards können die Cybersicherheitsleistung Ihres Unternehmens verbessern, denn sie sind die Benutzer, die am ehesten betrügerische E-Mails oder andere Anzeichen eines Cyberangriffs melden. Eine spielerische Schulung des Sicherheitsbewusstseins kann dazu beitragen, mehr von ihnen in Ihrem Unternehmen zu kultivieren.

    [i] " Phishing for Long Tails: Untersuchung von organisatorischen Wiederholungsklickern und schützenden Stewards , SAGE Journals

    [ii] " Fogg Behavior Model ," Stanford University

    [iii] " Intrinsische und extrinsische Motivationen: Klassische Definitionen und neue Wege ," Occidental College

    [iv] "Gamifying Security Awareness with a Phishing Derby" (Arbeit in Vorbereitung), Canham, M., Posey, C., Constantino, M., & Grimes, R.

    [v] " Die Macht der Überzeugung ," Stanford Social Innovation Review

    gettyimages-1004464634.png
    Nächster Punkt
    Schulungen zum Sicherheitsbewusstsein |
    Der menschliche Faktor in der Cybersicherheit: Q&A mit Troy Hunt

    Verwandte Artikel

    Schulungen zum Sicherheitsbewusstsein
    Mimecast Recognized in Forrester’s First-Ever Human Risk Management Solutions Landscape
    Schulungen zum Sicherheitsbewusstsein
    Der Wert eines Dashboards in der Schulung zum Bewusstsein für Cybersicherheit
    Schulungen zum Sicherheitsbewusstsein
    Phishing-Simulationen stärken das Cyber-Bewusstsein und die Abwehrkräfte

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang