Monat des Cybersecurity-Bewusstseins: Zeit, die Ausbildung zu verbessern

Oktober ist der Monat des Cybersecurity Awareness Month, also die Zeit des Jahres, in der Unternehmen auf der ganzen Welt Schulungs- und Aufklärungskampagnen für ihre Mitarbeiter durchführen. So hilfreich diese jährlichen Rituale auch sein können, weisen Cyber-Experten darauf hin, dass die Sicherheitsbranche angesichts der unvermindert auftretenden E-Mail-Phishing- und Imitationsangriffe weiter denken muss. 

Ein modernerer und effektiverer Ansatz für Schulungen zum Thema Cybersicherheit kombiniert monatliche Schulungen mit zeitnahen Erinnerungen. Die Umsetzung dieses Ansatzes erfordert eine Echtzeit-Rückkopplungsschleife zwischen Schulungsaktivitäten und E-Mail-Sicherheitssystemen. Wir nennen dies integriertes Awareness-Training, weil es sich auf das reale Verhalten der Mitarbeiter stützt, das von sicheren E-Mail-Gateways beobachtet wird, um Ihnen dabei zu helfen, individuelle Schulungsmaßnahmen zu entwickeln und riskante Entscheidungen zu verhindern.

Integrierte Bewusstseinsschulung verbessert die Wirksamkeit

Die Bewertung von Cybersecurity-Risiken und die Reaktion darauf, wie gut die Mitarbeiter in regelmäßigen Schulungen abschneiden, wird niemals so effektiv sein wie die Verankerung des Risikomanagements in den täglichen Verhaltensweisen der Mitarbeiter. Das ist das Problem mit Programmen, die nur die Leistung der Benutzer während des Trainings bewerten.

Ein integriertes Awareness-Training bildet dagegen die Grundlage für ein kontinuierliches Cybersecurity-Awareness-Training - der heutige Goldstandard in der Sicherheitsbranche. Das bedeutet, dass das Verhalten eines Mitarbeiters nach der Schulung erfasst, analysiert und sofortige Maßnahmen ergriffen werden, um die betreffende Person zu erinnern und Ihr Unternehmen zu schützen.

So würde beispielsweise ein Benutzer, der sich an einem beliebigen Montag mit bösartigen E-Mails beschäftigt, sofort auf dem Schulungs-Dashboard erscheinen, was das Sicherheitsteam dazu veranlasst, diesen Mitarbeiter mit einer Slack-Nachricht anzustupsen", in der eine kurze Auffrischung des Wissens über URL-Phishing vorgeschlagen wird. Oder das Sicherheitsteam setzt aufgrund des beobachteten Verhaltens der Mitarbeiter die Zugriffsberechtigungen für bestimmte Daten oder Systeme zurück.

Die Integration setzt sich für Unternehmen durch, die die sicheren E-Mail-Gateways von Mimecast in Kombination mit den Sicherheitstrainingsprogrammen von nutzen. Unsere Analyse hat ergeben, dass die Mitarbeiter unter diesen Bedingungen mit 60 % geringerer Wahrscheinlichkeit auf gefährliche Links klicken (die glücklicherweise durch die URL-Schutztechniken unseres Systems entschärft wurden), während die Schulung allein eine Verbesserung um 20 % brachte.

Und Mimecast vertieft die Integration von Sicherheitssystemen und Schulungen zum Sicherheitsbewusstsein weiter. Diese Rückkopplungsschleife wird immer stabiler, da die E-Mail-Sicherheitssysteme dank künstlicher Intelligenz (KI) immer besser auf das Benutzerverhalten abgestimmt sind. Unsere Systeme nutzen bereits AI zur Erkennung von Bedrohungen , um bösartige E-Mails zu erkennen, die von normalen Kommunikationsmustern abweichen, und unterstützen so die Mitarbeiter bei der Entscheidungsfindung am Ort des Risikos. Unser integrierter Ansatz wird noch weitreichender werden, da wir immer mehr reale Daten aus unseren E-Mail-Systemen über andere punktuelle Sicherheitslösungen für Endpunkte oder VPNs austauschen, die alle in Mesh-Plattformen mit Anwendungsprogrammierschnittstellen (APIs) zusammenarbeiten.

Wie steht es um die Schulung des Sicherheitsbewusstseins?

Der Monat des Bewusstseins für Cybersicherheit ist auch eine gute Gelegenheit zu überprüfen, wie gut Unternehmen ihre Mitarbeiter im Umgang mit E-Mails schulen, die Cyberangreifer am häufigsten nutzen, um ihre Malware zu verbreiten, Betrug zu begehen und Ihr Unternehmen anderweitig zu bedrohen.

Laut einem aktuellen Bericht von , den wir bei Osterman Research in Auftrag gegeben haben, sind Schulungen zum Sicherheitsbewusstsein die zweitwirksamste Taktik zur Abwehr von Phishing-Angriffen, knapp hinter der Multi-Faktor-Authentifizierung. Aber es gibt reichlich Raum für Verbesserungen, die sowohl im Osterman-Bericht als auch im Mimecast-Bericht State of Email Security 2022 (SOES) aufgezeigt werden. Zum Beispiel:

• Das Vertrauen in das Bewusstsein der Mitarbeiter ist gering. Nur 45 % der befragten Sicherheitsexperten sind davon überzeugt, dass ihre Mitarbeiter gut geschult sind, um Phishing-Versuche in E-Mails zu erkennen.
• Die Mitarbeiter verbreiten Infektionen intern. Vier von 10 Befragten gaben an, von einem Angriff betroffen gewesen zu sein, bei dem Mitarbeiter intern E-Mails mit bösartigen URLs weitergegeben haben.
• Passwörter sind schwach. Mehr als acht von zehn gaben an, dass die schlechte Passworthygiene der Mitarbeiter ein Risiko für ihr Unternehmen darstellt.

Die Ausbildung der Unternehmen verbessert sich - bis zu einem gewissen Grad

In diesem Oktober gibt es eine gute Nachricht zu verkünden: Die Unternehmen führen häufiger Schulungen durch. Laut unserem SOES-Bericht bleiben die meisten jedoch hinter dem Paradigma der kontinuierlichen Weiterbildung zurück. Die Aufschlüsselung sieht wie folgt aus:

• Kontinuierlich: 23 % bilden kontinuierlich aus (gegenüber 20 %).
• Monatlich: 37 % führen einmal im Monat Schulungen durch (gegenüber 26 % im Vorjahr).
• Vierteljährlich: 27 % tun dies vierteljährlich (vorher 32 %).
• Weniger regelmäßig: Für die verbleibenden 15 % finden die Schulungen entweder jährlich, bei der Einstellung, ad hoc oder gar nicht statt (Rückgang von 23 %).

Und schließlich gaben 80 % der im SOES-Bericht befragten Sicherheitsexperten an, dass es wahrscheinlich bis unvermeidlich sei, dass ihr Unternehmen im Jahr 2022 negative geschäftliche Auswirkungen durch einen E-Mail-Angriff erleiden würde. 

Fortlaufende Verbesserung der Schulungsinstrumente

Anbieter wie Mimecast arbeiten auch auf andere Weise an der Verbesserung von Schulungsinstrumenten für das Bewusstsein für Cybersicherheit:

• Differenziertere Ansätze: Cyber-Risiko-Scores und -Analysen ermöglichen es Administratoren, Schulungen für ihre risikoreichsten Mitarbeiter oder für Mitarbeiter in bestimmten Abteilungen, wie z. B. der Finanzabteilung, anzupassen und zu kontextualisieren. Sie können auch die Schulung für weniger risikoreiche Benutzer zurückfahren.
• Maßgeschneiderte Berichte: Berichte können auf wichtige Interessengruppen und spezifische Anforderungen zugeschnitten werden, einschließlich der Berichterstattung über die Einhaltung gesetzlicher Vorschriften und Branchen-Benchmarking.
• Mehrstufige Simulationen: Vorlagen, die für Schulungen verwendet werden, gehen jetzt über das Senden einer einzigen bösartigen URL hinaus, um das Verhalten der Mitarbeiter zu testen, und simulieren ausgefeiltere, mehrstufige Angriffe. Werden Auszubildende, die ein Online-Formular ausfüllen, Opfer eines Zeugnisdiebstahls?
• Schulungs-Dashboards: Diese und andere laufende Aktualisierungen sind für Administratoren über zentralisierte Schulungs-Dashboards leicht zugänglich.

Die Quintessenz

Der Monat der Cybersicherheit ist jedes Jahr Anlass für eine Vielzahl von Aufklärungs- und Schulungskampagnen. In diesem Jahr sollte es die Ausbilder dazu anregen, ihre Strategien zu überdenken und die Integration sicherer E-Mail-Gateways in ihre Schulungsplattformen in Betracht zu ziehen, um bessere Ergebnisse zu erzielen. Entdecken Sie das integrierte Sicherheitstraining von Mimecast.