Oktober ist der National Cybersecurity Awareness Month - eine Zeit, um ein Programm zu evaluieren, aufzufrischen oder neu zu starten, das Mitarbeitern hilft, die Sicherheitsrichtlinien ihres Unternehmens einzuhalten.

National Cybersecurity Awareness Month (NCSAM) ist eine gemeinsame Anstrengung der Regierung und der Cybersicherheitsbranche, um die Bedeutung intelligenter Cybersicherheitspraktiken hervorzuheben und sicherzustellen, dass die Menschen die Ressourcen haben, die sie benötigen, um online sicherer zu sein.

NCSAM ist nun im 17. Jahr der Bereitstellung von Richtlinien für die Cybersicherheit, aber dieser Oktober ist anders: Die Coronavirus-Pandemie hat die Technologie auf den Kopf gestellt. Ob aus beruflichen oder privaten Gründen oder beidem, wir verlassen uns jetzt auf virtuelle Meetings und Videokonferenzen sowie auf SMS, E-Mails und Telefonanrufe, und Cyberkriminelle haben scheinbar endlose Wege gefunden, ahnungslose Benutzer über diese Vektoren auszutricksen. Seit März 2020 haben wir beispielsweise US-Steuerbetrug aufgrund der verlängerten Abgabefrist aufgedeckt, eine Zunahme von Ransomware-Angriffen in Krankenhäusern und Gesundheitssystemen und einen 33-prozentigen Anstieg von Impersonation- und Social-Engineering-Angriffen in den ersten 100 Tagen der Pandemie.

Jetzt schwenken Cyberkriminelle um und nutzen die US-Wahl über Phishing, Proteste und die Waldbrände an der Westküste, neben anderen globalen Großereignissen, aus. Mit anderen Worten: Die Menschen sind einer Flut von möglichen Angriffen ausgesetzt, die sie und ihre Arbeitgeber gefährden können. Sie haben vielleicht schon gehört, dass 90 % aller Sicherheitsverletzungen auf menschliches Versagen zurückzuführen sind, was Schulungen zum Sicherheitsbewusstsein zu einem wichtigen Bestandteil der Risikominimierung und der Schaffung einer Sicherheitskultur in Unternehmen macht.

Hier ist, wie Sie beginnen.

  1. Holen Sie sich die Zustimmung. Gewinnen Sie die Unterstützung der obersten Führungsebene, die das Programm befürwortet und alle Hindernisse beseitigt, die seinem Erfolg entgegenstehen. Security-Awareness-Schulungen sollten als gleichwertig mit Technologie-Investitionen angesehen werden und sind mit einer hohen Erfolgsquote ein Eckpfeiler der gesamten Sicherheitslage Ihres Unternehmens. Auf einer höheren Ebene müssen sich Cybersecurity-Experten mehr auf die Verringerung des Geschäftsrisikos und weniger auf technische Kennzahlen konzentrieren, um Unterstützung und Ressourcen von ihrem Unternehmensvorstand zu gewinnen.
  2. Helfen Sie Ihren Mitarbeitern zu verstehen, warum es wichtig ist. Das Volumen und die Geschwindigkeit der Angriffe durch Cyberkriminelle zeigen keine Anzeichen einer Verlangsamung. Das bedeutet, dass jeder für die Sicherheit verantwortlich sein muss und nicht nur jemand anderes. Unterstreichen Sie die Wichtigkeit von Mitarbeiteraktionen, indem Sie häufig Beispiele dafür geben, wie Ihr Unternehmen oder Branchenkollegen die Folgen einer Sicherheitsverletzung aufgrund menschlichen Versagens erlitten haben.
  3. Richten Sie die Schulungen auf die relevantesten Sicherheitsbedrohungen aus. Halten Sie das Programm relevant und wirkungsvoll, indem Sie unternehmensspezifische E-Mails, die Mitarbeiter zuvor angeklickt haben, zur Information Ihres Schulungsprogramms verwenden. Darüber hinaus kann die Möglichkeit, reale Phishing-Angriffe in Trainingssimulationen umzuwandeln, eine maximale Wirkung erzielen.
  4. Kennen Sie Ihre Schwachstellen und richten Sie die Schulungen danach aus. Konzentrieren Sie Ihre Schulungsbemühungen auf die größten Risikobereiche, indem Sie die risikoreichsten Mitarbeiter identifizieren. Ermitteln Sie durch die Verfolgung des Benutzerverhaltens den Risikowert der einzelnen Mitarbeiter und richten Sie die Schulungsressourcen auf diejenigen, die sie am meisten benötigen.
  5. Schaffen Sie eine Sicherheitskultur, die am Punkt des Risikos aufklärt. Integrieren Sie E-Mail-Sicherheits- und Schulungslösungen, damit E-Mails mit bösartigen Links gescannt und mit Web-Block-Bannern am Punkt des Risikos identifiziert werden können, um die Mitarbeiter auf den Angriff aufmerksam zu machen und sie am Klicken zu hindern und gleichzeitig das Benutzerverhalten zu ändern.
  6. Verwenden Sie echte Phishing-Angriffe. Es ist nicht einfach, Mitarbeitern beizubringen, Phishing-Angriffe zu erkennen, und Phishing-Simulationen funktionieren oft nicht. Nutzen Sie eine Schulungsplattform, mit der Sie reale Phishing-Angriffe, auf die Mitarbeiter zuvor geklickt haben, in Phish-Testvorlagen umwandeln können.
  7. Seien Sie beharrlich und beständig. Schulungen, die zu selten durchgeführt werden, z. B. nur ein- oder zweimal pro Jahr, reichen nicht aus, um das Bewusstsein und die Erinnerung aufrechtzuerhalten. Monatlich stattfindende videobasierte Schulungen zum Thema Cybersicherheit, die die wichtigsten Konzepte abdecken, sorgen dafür, dass das Thema Sicherheit stets im Mittelpunkt steht. Tatsächlich bietet laut Mimecasts State of Email Security 2020 nur eine von fünf Organisationen monatliche Sicherheitsschulungen für Mitarbeiter an; diejenigen, die weniger häufig Schulungen anbieten, sehen in der Regel nicht den Nutzen, den sie bringen.
  8. Benchmarking der Leistung intern und im Vergleich zu anderen Unternehmen. Die Verfolgung von Branchenvergleichen für Leistungskennzahlen, einschließlich Abschlussraten und korrekte Antworten, hilft bei der Festlegung von Schulungszielen und -standards. Und Beobachtungslisten für Mitarbeiter, die nicht an den Schulungen teilgenommen oder falsche Antworten gegeben haben, können eine Rolle dabei spielen, wie Sie das Programm - und seine Inhalte - Quartal für Quartal bewerten.
  9. Sorgen Sie dafür, dass es fesselnd ist und Spaß macht. Apropos Inhalt: Es ist entscheidend, die Aufmerksamkeit der Mitarbeiter mit fesselnden, videobasierten Schulungen zu halten, die regelmäßig in kleinen Abständen durchgeführt werden. Die Schulungen sollten nur drei bis fünf Minuten pro Monat in Anspruch nehmen - eine erträgliche Forderung an den vielbeschäftigten Mitarbeiter von heute - und machen das Training zu einer willkommenen Abwechslung statt zu einer unerwünschten Belastung.
  10. Minimieren Sie die Sicherheit und IT-Abhängigkeit. Die Verwendung einer mandantenfähigen Cloud-nativen Plattform senkt die Kosten und beseitigt den Aufwand für die Verwaltung von Infrastruktur und Hardware, was die Administration und das Management vereinfacht.

Was lässt sich daraus schließen?

Die erstmalige Implementierung eines Sicherheitstrainingsprogramms kann eine entmutigende Aufgabe sein, insbesondere aus kultureller Sicht; Mitarbeiter nehmen möglicherweise nicht aktiv daran teil, wenn sie nicht klar und konsequent von ihren Führungskräften ermutigt werden.

Für Unternehmen, die den National Cybersecurity Awareness Month zum Anlass nehmen, ihre Programme neu zu bewerten und aufzufrischen, ist es jedoch wichtig, Metriken wie Watchlists und Mitarbeiterbewertungen sowie die Beteiligung der verschiedenen Geschäftsbereiche zu überprüfen, um eventuelle Lücken zu identifizieren. Laut dem Gartner-Bericht "How to Build an Enterprise Security Awareness Program" vom Mai 2020 sollten Sicherheits- und Risikomanagement-Verantwortliche, die Informationssicherheits-Management-Programme beaufsichtigen, "das Programm kontinuierlich verbessern, indem sie die Ergebnisse auf einer möglichst granularen Ebene messen, dann über diese Ergebnisse berichten und darauf reagieren". Im selben Bericht heißt es: "Bis 2023 werden Unternehmen, die spezifische und messbare Security-Awareness-Programme implementieren, 75 % weniger Account-Takeover-Angriffe erleben als Unternehmen, die dies nicht tun."

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Discussing Cybersecurity with the Board

To win support and resources from their …

To win support and resources from their corporate board, cyb… Read More >

Stephanie Overby

von Stephanie Overby

Mitwirkender Verfasser

Posted Aug 26, 2020

Strategien zum Schutz vor E-Mail-Kontoübernahmen für Microsoft 365

Hier erfahren Sie, wie Sie Ihre E-Mail-Se...

Hier erfahren Sie, wie Sie Ihre E-Mail-Sicherheitsstrategie für ... Read More >

Richard Botley

von Richard Botley

Senior Security Writer

Posted Aug 14, 2020

Better Security Measures May Reduce Cyber Insurance Premiums

Verstärken Sie Ihre Sicherheit mit besseren ...

Verstärken Sie Ihre Sicherheit mit besseren Kontrollen, mehr... Lesen Sie mehr >

Randi Gollin

von Randi Gollin

Posted Aug 21, 2020