Wie man das Bewusstsein für Cybersicherheit nachhaltig schult

National Cybersecurity Awareness Month (NCSAM) ist eine gemeinsame Anstrengung der Regierung und der Cybersicherheitsbranche, um die Bedeutung intelligenter Cybersicherheitspraktiken hervorzuheben und sicherzustellen, dass die Menschen über die notwendigen Ressourcen verfügen, um online sicherer zu sein.

Das NCSAM gibt nun schon im 17. Jahr Hinweise zur Cybersicherheit, aber dieser Oktober ist anders: Die Coronavirus-Pandemie hat die Technologie auf den Kopf gestellt. Ob aus beruflichen oder privaten Gründen oder aus beiden Gründen, wir verlassen uns jetzt auf virtuelle Meetings und Videokonferenzen sowie auf SMS, E-Mails und Telefonanrufe, und Cyberkriminelle haben scheinbar endlose Möglichkeiten gefunden, ahnungslose Nutzer über diese Vektoren auszutricksen. Zum Beispiel haben wir seit März 2020 US-Steuerbetrug aufgrund der verlängerten Abgabefrist, einen Anstieg von Ransomware-Angriffen in Krankenhäusern und Gesundheitssystemen und einen 33%igen Anstieg von Imitations- und Social-Engineering-Angriffen in den ersten 100 Tagen der Pandemie aufgedeckt.

Jetzt nutzen Cyberkriminelle die US-Wahl über Phishing, Proteste und die Waldbrände an der Westküste sowie andere globale Großereignisse aus. Mit anderen Worten: Die Menschen sehen sich einer Flut möglicher Angriffe gegenüber, die sie und ihre Arbeitgeber gefährden können. Sie haben vielleicht schon gehört, dass 90 % aller Sicherheitsverletzungen auf menschliches Versagen zurückzuführen sind, was Schulungen zum Sicherheitsbewusstsein zu einer entscheidenden Komponente bei der Risikominimierung und der Schaffung einer Sicherheitskultur in Unternehmen macht.

So fangen Sie an.

1. Holen Sie sich die Zustimmung. Gewinnen Sie die Unterstützung der obersten Führungsebene, die das Programm befürwortet und alle Hindernisse für seinen Erfolg beseitigt. Die Schulung des Sicherheitsbewusstseins sollte als gleichwertig mit den Technologieinvestitionen betrachtet werden, und mit einer hohen Erfolgsquote ist sie ein Eckpfeiler für die allgemeine Sicherheitslage Ihres Unternehmens. Auf höherer Ebene müssen sich Cybersecurity-Experten mehr auf die Verringerung des Geschäftsrisikos und weniger auf technische Kennzahlen konzentrieren, um Unterstützung und Ressourcen von der Unternehmensleitung zu gewinnen.
2. Helfen Sie Ihren Mitarbeitern, zu verstehen, warum das wichtig ist. Das Volumen und die Geschwindigkeit der Angriffe von Cyber-Kriminellen zeigen keine Anzeichen einer Verlangsamung. Das bedeutet, dass jeder für die Sicherheit verantwortlich sein muss und nicht nur jemand anderes dafür zuständig ist. Unterstreichen Sie die Bedeutung des Handelns der Mitarbeiter, indem Sie häufig Beispiele dafür geben, wie Ihr Unternehmen oder Branchenkollegen die Folgen einer Sicherheitsverletzung aufgrund menschlichen Versagens erlitten haben.
3. Richten Sie die Schulungen auf die wichtigsten Sicherheitsbedrohungen aus. Halten Sie das Programm relevant und wirkungsvoll, indem Sie unternehmensspezifische E-Mails, die Mitarbeiter zuvor angeklickt haben, für Ihr Schulungsprogramm verwenden. Darüber hinaus kann die Möglichkeit, echte Phishing-Angriffe in Trainingssimulationen umzuwandeln, eine maximale Wirkung erzielen.
4. Kennen Sie Ihre Schwachstellen und richten Sie Ihre Schulungen danach aus. Konzentrieren Sie Ihre Schulungsbemühungen auf die größten Risikobereiche, indem Sie die risikoreichsten Mitarbeiter ermitteln. Durch die Verfolgung des Benutzerverhaltens können Sie den Risikowert der einzelnen Mitarbeiter ermitteln und die Schulungsressourcen auf die Personen konzentrieren, die sie am dringendsten benötigen.
5. Schaffen Sie eine Sicherheitskultur, die am Ort des Risikos aufklärt. Integrieren Sie E-Mail-Sicherheits- und Schulungslösungen, damit E-Mails mit bösartigen Links gescannt und mit Web-Block-Bannern am Ort des Risikos identifiziert werden können, um die Mitarbeiter auf den Angriff aufmerksam zu machen und sie davon abzuhalten, darauf zu klicken, und gleichzeitig das Benutzerverhalten zu ändern.
6. Verwenden Sie echte Phishing-Angriffe. Es ist nicht einfach, Mitarbeitern beizubringen, Phishing-Angriffe zu erkennen, und Phishing-Simulationen funktionieren oft nicht. Nutzen Sie eine Schulungsplattform, mit der Sie reale Phishing-Angriffe, auf die Mitarbeiter zuvor geklickt haben, in Phishing-Testvorlagen umwandeln können.
7. Seien Sie beharrlich und beständig. Schulungen, die zu selten durchgeführt werden, z. B. nur ein- oder zweimal pro Jahr, reichen nicht aus, um das Bewusstsein und die Beibehaltung zu gewährleisten. Monatlich stattfindende videobasierte Schulungsmodule zum Thema Cybersicherheit, die die wichtigsten Konzepte abdecken, sorgen dafür, dass das Thema Sicherheit stets im Mittelpunkt steht. Laut Mimecast's State of Email Security 2020 bietet nur eines von fünf Unternehmen seinen Mitarbeitern monatliche Schulungen zum Sicherheitsbewusstsein an; diejenigen, die seltener Schulungen anbieten, sehen in der Regel nicht den Nutzen, den sie bringen.
8. Benchmarking der Leistung intern und im Vergleich zu anderen Unternehmen. Die Verfolgung von Branchenvergleichen für Leistungskennzahlen, einschließlich Abschlussraten und korrekte Antworten, hilft bei der Festlegung von Schulungszielen und -standards. Und Beobachtungslisten für Mitarbeiter, die nicht an den Schulungen teilgenommen oder falsche Antworten gegeben haben, können eine Rolle dabei spielen, wie Sie das Programm - und seine Inhalte - Quartal für Quartal bewerten.
9. Fesselnd und unterhaltsam. Apropos Inhalt: Es ist wichtig, die Aufmerksamkeit der Mitarbeiter mit fesselnden, videobasierten Schulungen zu halten, die regelmäßig in kleinen Abständen durchgeführt werden. Die Schulungen sollten nur drei bis fünf Minuten pro Monat in Anspruch nehmen - eine erträgliche Anforderung an den vielbeschäftigten Mitarbeiter von heute - und machen die Schulung zu einer willkommenen Abwechslung und nicht zu einer unerwünschten Belastung.
10. Minimieren Sie die Sicherheit und die IT-Abhängigkeit. Die Verwendung einer mandantenfähigen, cloud-nativen Plattform senkt die Kosten und entlastet Sie von der Verwaltung der Infrastruktur und Hardware, was die Administration und das Management vereinfacht.

Die Quintessenz

Die erstmalige Einführung eines Schulungsprogramms für das Sicherheitsbewusstsein kann eine entmutigende Aufgabe sein, vor allem aus kultureller Sicht; die Mitarbeiter nehmen möglicherweise nicht aktiv daran teil, wenn sie nicht klar und konsequent von ihren Vorgesetzten dazu ermutigt werden.

Für Unternehmen, die den National Cybersecurity Awareness Month zum Anlass nehmen, ihre Programme neu zu bewerten und aufzufrischen, ist es jedoch wichtig, Kennzahlen wie Watchlists und Mitarbeiterbewertungen sowie die Beteiligung der verschiedenen Geschäftsbereiche zu überprüfen, um etwaige Lücken zu ermitteln. Laut dem Gartner-Bericht How to Build an Enterprise Security Awareness Program vom Mai 2020 sollten Sicherheits- und Risikomanagement-Verantwortliche, die für Informationssicherheitsmanagement-Programme zuständig sind, "das Programm kontinuierlich verbessern, indem sie die Ergebnisse auf einer möglichst detaillierten Ebene messen, dann über diese Ergebnisse Bericht erstatten und entsprechend handeln". Im selben Bericht heißt es: "Bis 2023 werden Unternehmen, die spezifische und messbare Programme zur Förderung des Sicherheitsbewusstseins einführen, 75 % weniger Angriffe auf Konten erleben als Unternehmen, die dies nicht tun."