Mimecast Logo
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    Wie man Human Risk misst: 7 Schlüsselmetriken

    Lernen Sie die 7 wichtigsten Kennzahlen kennen, die CISOs verwenden, um menschliche Risiken zu messen und zu quantifizieren. Holen Sie sich ein praktikables Rahmenwerk, um Cyber-Bedrohungen zu bewerten und die Gefährdung durch bewährte Messstrategien zu verringern.

    by Andrew Williams

    Wichtige Punkte

    • Das menschliche Risiko ist für 95%+ der Sicherheitsverletzungen verantwortlich, so dass Messungen für den Schutz von Unternehmen entscheidend sind.
    • CISOs benötigen vor der Implementierung von Lösungen einen klaren Überblick über das Risikoniveau und die Wirksamkeit der Verteidigung
    • Sieben Schlüsselmetriken bieten einen umfassenden Einblick in die mitarbeiterbezogenen Cyberrisiken in Ihrem Unternehmen
    • Die Plattform von Mimecast bietet Echtzeit-Transparenz, Verhaltenseinblicke und adaptive Interventionen, um menschliche Risiken zu reduzieren.

    Human Risk in der Cybersicherheit verstehen

    Das menschliche Risiko im Bereich der Cybersicherheit bezieht sich auf das Potenzial, dass das Verhalten von Mitarbeitern die Wahrscheinlichkeit eines Sicherheitsverstoßes oder einer Nichteinhaltung von Vorschriften erhöht. Während Unternehmen viel in technische Sicherheitskontrollen investieren, bleibt das menschliche Element die unberechenbarste und anfälligste Komponente jeder Sicherheitsstrategie.

    Untersuchungen zeigen immer wieder, dass menschliches Versagen bei mehr als 95% erfolgreichen Cyberangriffen eine Rolle spielt. Ganz gleich, ob Sie auf einen bösartigen Link klicken, Opfer von Social Engineering werden oder versehentlich vertrauliche Informationen weitergeben - die Handlungen von Mitarbeitern bieten Cyberkriminellen oft den Einstiegspunkt, den sie benötigen, um die Systeme und Daten eines Unternehmens zu kompromittieren.

    Die Herausforderung der Messung für CISOs

    Bevor ein Programm zum Management menschlicher Risiken eingeführt wird, müssen CISOs zunächst das gesamte Cyber-Risiko ihres Unternehmens bewerten. Das bedeutet, dass Sie nicht nur wissen, welche Bedrohungen bestehen, sondern auch, ob die derzeitigen Schutzmaßnahmen diese Bedrohungen angemessen abdecken. Vor allem müssen die Sicherheitsverantwortlichen herausfinden, woher sie wissen, dass das menschliche Risiko effektiv gemanagt wird.

    Herkömmliche Schulungen zum Sicherheitsbewusstsein liefern oft nur Abschlusskennzahlen, so dass CISOs nicht in der Lage sind, die Risikominderung zu quantifizieren, die sie durch höhere Investitionen in Awareness-Programme erreichen würden. Ohne ein geeignetes Messsystem ist es unmöglich, den geschäftlichen Nutzen von Initiativen zum Schutz menschlicher Risiken nachzuweisen oder festzustellen, wo Maßnahmen am dringendsten erforderlich sind.

    Die umfassende Plattform von Mimecast geht diese Herausforderung an, indem sie in Echtzeit Einblicke in menschliches Verhalten, quantifizierbare Risikokennzahlen und adaptives Training bietet, das auf die tatsächlichen Bedürfnisse der Benutzer eingeht. Durch die Korrelation von Verhaltensdaten über alle Kommunikationskanäle hinweg und deren Verknüpfung mit Bedrohungsdaten können Unternehmen endlich ihre menschliche Risikooberfläche effektiv messen und verwalten.

    Globaler Bedrohungsdatenbericht 2025

    Informieren Sie sich über die neuesten globalen Cyber-Bedrohungen, decken Sie die wichtigsten Ereignisse auf, die die Cybersicherheit im Jahr 2025 prägen werden, und gewinnen Sie handlungsrelevante Erkenntnisse, um Ihre Abwehrkräfte zu stärken.
    Holen Sie sich den Bericht

    1. Beobachtbare Risikoverhaltensweisen und ihre Muster

    Die Grundlage für die Messung menschlicher Risiken liegt in der Identifizierung und Verfolgung beobachtbarer risikoreicher Verhaltensweisen in Ihrem Unternehmen. Über simulierte Phishing-Tests hinaus benötigen Unternehmen Einblicke in reale Aktionen, die sie Cyber-Bedrohungen aussetzen.

    Zu den wichtigsten Verhaltensweisen, die Sie verfolgen können, gehören:

    • Phishing-E-Mail-Interaktionen: Überwachen Sie sowohl echte als auch simulierte Phishing-Versuche und verfolgen Sie nicht nur Klicks, sondern auch, wie Benutzer mit verdächtigen Nachrichten interagieren.
    • Schatten-IT-Nutzung: Identifizieren Sie unautorisierte Anwendungen und Dienste, die Mitarbeiter ohne Genehmigung der IT-Abteilung nutzen.
    • Praktiken im Umgang mit Daten: Verfolgen Sie Verhaltensweisen wie die Weiterleitung sensibler E-Mails an persönliche Konten oder das Hochladen vertraulicher Dateien auf nicht autorisierte Cloud-Dienste.
    • Wiederholte riskante Handlungen: Konzentrieren Sie sich auf kleine Nutzerkohorten, die über mehrere Kanäle hinweg regelmäßig risikoreiches Verhalten an den Tag legen.

    Das besorgniserregendste Muster zeigt sich oft, wenn dieselben Mitarbeiter wiederholt riskante Verhaltensweisen an den Tag legen. Untersuchungen zeigen, dass ein kleiner Prozentsatz von Benutzern in der Regel für einen unverhältnismäßig hohen Anteil des Unternehmensrisikos verantwortlich ist. Die Plattform von Mimecast ist hervorragend in der Lage, diese Verhaltensweisen über verschiedene Tools und Kommunikationskanäle hinweg zu korrelieren und so einen umfassenden Überblick darüber zu geben, wie einzelne Aktionen zur Gesamtbelastung des Unternehmens beitragen.

    Anstatt jeden Vorfall isoliert zu betrachten, müssen Sie für eine effektive Messung die Verhaltensmuster im Laufe der Zeit verstehen. Diese Längsschnittbetrachtung hilft zu erkennen, ob es sich bei risikoreichem Verhalten um isolierte Vorfälle handelt oder um ein Anzeichen für umfassendere Probleme mit der Sicherheitskultur, die ein gezieltes Eingreifen erfordern.

    2. Individuelle Benutzerrisikoprofile und Angriffsgefahr

    Nicht alle Mitarbeiter sind dem gleichen Cyber-Risiko ausgesetzt. Führungskräfte, Auftragnehmer und Mitarbeiter an vorderster Front haben unterschiedliche Risikoprofile, je nach ihrer Rolle, ihren Zugriffsrechten und ihrer Attraktivität für Angreifer. Eine effektive Messung des menschlichen Risikos erfordert die Erstellung dynamischer, personalisierter Risikobewertungen, die diese individuellen Unterschiede widerspiegeln.

    Zu den kritischen Faktoren, die es zu messen gilt, gehören:

    • Angriffsvolumen und Häufigkeit: Verfolgen Sie, wie oft bestimmte Benutzer Ziel von Phishing, Social Engineering oder anderen Angriffen sind.
    • Rollenbasierte Anfälligkeit: Bewerten Sie das Risiko auf der Grundlage von Abteilung, Dienstalter und Betriebszugehörigkeit, da es neueren Mitarbeitern oft an Sicherheitsbewusstsein mangelt, während Führungskräfte anspruchsvolleren Angriffen ausgesetzt sind.
    • Trends der Risikobewertung: Überwachen Sie, wie sich die individuellen Risikowerte im Laufe der Zeit als Reaktion auf Schulungen, Rollenänderungen oder externe Faktoren verändern.

    Die Plattform von Mimecast erstellt diese dynamischen Risikoprofile anhand einer Kombination aus Bedrohungsdaten und Verhaltenstelemetrie. So würde beispielsweise ein Finanzvorstand, der zahlreiche business email compromise-Versuche erhält und gelegentlich auf verdächtige Links klickt, einen höheren Risikowert erhalten als ein junger Entwickler, der nur selten targeted attack erhält.

    Die wichtigste Erkenntnis ist, dass das Risiko nicht statisch ist. Das Risikoprofil eines Mitarbeiters kann sich aufgrund von Faktoren wie einem Wechsel der Arbeitsstelle, einer zunehmenden Zahl von Angriffen oder persönlichen Umständen, die sich auf seine Entscheidungsfindung auswirken, schnell ändern. Die regelmäßige Bewertung und Anpassung der individuellen Risikobewertungen stellt sicher, dass die Sicherheitsmaßnahmen auf die richtigen Personen zur richtigen Zeit ausgerichtet sind.

    3. Zugriffsebenen für kritische Daten und Systeme

    Die Risikogleichung ändert sich dramatisch, wenn Mitarbeiter mit Zugang zu sensiblen Daten oder kritischen Systemen ein riskantes Verhalten an den Tag legen. Ein junger Angestellter, der auf einen Phishing-Link klickt, ist besorgniserregend; ein Datenbankadministrator, der das gleiche Verhalten an den Tag legt, stellt ein exponentiell höheres Risiko für das Unternehmen dar.

    Zu den wesentlichen zugangsbezogenen Metriken gehören:

    • Gefährdung kritischer Vermögenswerte: Karte, auf der Mitarbeiter Zugang zu personenbezogenen Daten (PII), geistigem Eigentum, Quellcode oder Finanzsystemen haben
    • Privilegiertes Benutzerverhalten: Verfolgen Sie die Häufigkeit und Art der riskanten Aktionen, die von Benutzern mit erhöhten Zugriffsrechten durchgeführt werden.
    • Schnittpunkt-Analyse: Identifizieren Sie, wo sich hohe Verhaltensrisiken mit hohen Zugangsberechtigungen überschneiden

    Herkömmliche Sicherheitsansätze behandeln Zugangsmanagement und Verhaltensrisiken oft als getrennte Themen. Die effektivste Messung menschlicher Risiken kombiniert jedoch diese Perspektiven, um die Mitarbeiter zu identifizieren, die die größte potenzielle Gefahr für die Sicherheit des Unternehmens darstellen.

    Die Fähigkeit von Mimecast, kontextbezogene Daten über Zugriffsebenen mit Echtzeit-Verhaltensbeobachtungen zu integrieren, verschafft Sicherheitsteams die nötige Transparenz, um ihre Reaktionsbemühungen zu priorisieren. Wenn ein privilegierter Benutzer ein besorgniserregendes Verhalten zeigt, kann die Plattform automatisch zusätzliche Überwachungs- oder Interventionsprotokolle auslösen.

    Wir helfen dabei, sich entwickelnde Bedrohungen - von Social Engineering und Insider-Bedrohungen bis hin zu menschlichem Versagen - zu entschärfen, bevor Schaden entsteht. Erfahren Sie mehr darüber, wie Sie in Echtzeit Einblick in risikoreiches Verhalten über alle E-Mail- und Collaboration-Kanäle erhalten können.


    Testen Sie unsere integrierte Plattform für Human Risk Management →.

    4. Wirksamkeit von Schulungen und Maßnahmen zum Sicherheitsbewusstsein

    Herkömmliche Schulungsprogramme für das Sicherheitsbewusstsein liefern zwar Abschlussquoten und Testergebnisse, aber diese Kennzahlen beantworten nicht die grundlegende Frage: Ändert die Schulung tatsächlich das Verhalten und verringert das Risiko?

    Aussagekräftige Metriken zur Effektivität von Schulungen konzentrieren sich auf:

    • Verbesserungen im Verhalten nach der Schulung: Messen Sie die tatsächlichen Verhaltensänderungen nach den Trainingsmaßnahmen, nicht nur die Beibehaltung des Wissens.
    • Verringerung der wiederholten riskanten Handlungen: Verfolgen Sie, ob die Benutzer nach einem gezielten Training aufhören, dieselben riskanten Verhaltensweisen an den Tag zu legen.
    • Reaktion auf Echtzeit-Interventionen: Beurteilen Sie, wie effektiv die Nutzer auf Just-in-Time-Anregungen und Mikro-Interventionen in tatsächlichen Risikosituationen reagieren.

    Die Begrenztheit traditioneller Messgrößen für den Abschluss von Schulungen wird deutlich, wenn man bedenkt, dass CISOs nicht quantifizieren können, welche Risikominderung sie durch eine Erhöhung der Ausgaben für Awareness-Schulungsprogramme erreichen würden. Ohne die Messung von Verhaltensergebnissen ist es unmöglich, den ROI nachzuweisen oder Trainingsinvestitionen zu rationalisieren.

    Die Plattform von Mimecast behebt diese Lücke, indem sie kontextabhängige, zeitnahe Schulungen anbietet, die auf das tatsächliche Nutzerverhalten reagieren. Wenn ein Benutzer auf einen verdächtigen Link klickt, erhält er eine sofortige, relevante Schulung anstelle von generischen Awareness-Inhalten. Dieser Ansatz ermöglicht es, die tatsächliche Verhaltensänderung zu messen und nicht nur den Abschluss des Trainings.

    Der Nutzen adaptiver Politiken

    Adaptive Richtlinien verbessern die Erkennung menschlicher Risiken, indem sie die Sicherheitsmaßnahmen auf das Verhalten, das Risikoprofil und die Bedrohungslage einer Person zuschneiden, anstatt ein einheitliches Training im gesamten Unternehmen durchzuführen. Diese Methode ermöglicht es den Sicherheitsteams, präzise Maßnahmen für Benutzer mit hohem Risiko zu ergreifen und gleichzeitig die Beschränkungen für Personen mit geringerem Risiko zu lockern, wodurch die Ressourcenzuweisung optimiert und die Gesamteffektivität verbessert wird. 

    Der Umgang mit sensiblen Daten und Daten zum Identitätsrisiko sind entscheidende Komponenten dieses adaptiven Ansatzes. Durch die Integration von Lösungen wie Incydr zur Überwachung des Umgangs mit sensiblen Daten und Lösungen von Drittanbietern wie Entra für Identitätsrisiken erhalten Unternehmen einen besseren Einblick in das Benutzerverhalten. So tragen beispielsweise Incydr-Warnungen, die durch den Missbrauch oder die unbefugte Weitergabe sensibler Dateien ausgelöst werden, direkt zu umfassenden Risikoprofilen bei. Diese Integrationen stellen sicher, dass anpassungsfähige Strategien auf unterschiedlichen und verwertbaren Datenquellen beruhen, die maßgeschneiderte Reaktionen auf sich entwickelnde Risiken ermöglichen. 

    Untersuchungen haben gezeigt, dass gezielte Schulungen die Phishing-Klickraten bei Risikonutzern um bis zu 25% reduzieren. Darüber hinaus bietet die Zusammenführung von Daten aus Quellen wie E-Mail-Verhalten, Bewegungen sensibler Daten, Zugriffsmustern und Phishing-Interaktionen einen unübertroffenen Einblick in das menschliche Risiko in Unternehmen. Diese datengesteuerte Methodik unterstützt eine präzise Risikomessung und -minderung und ermöglicht gleichzeitig automatisierte Sicherheitsreaktionen, um Bedrohungen in großem Umfang proaktiv zu bewältigen.

    5. Sichtbarkeit und Kontext über alle Kommunikationskanäle hinweg

    Moderne Unternehmen kommunizieren über mehrere Plattformen, E-Mail, Slack, Microsoft Teams, Zoom und andere. Die meisten Sicherheitslösungen bieten jedoch nur Einblick in einen Kanal, was zu gefährlichen blinden Flecken bei der menschlichen Risikobewertung führt.

    Umfassende Sichtbarkeit erfordert Messungen:

    • Plattformübergreifende Verhaltensindikatoren: Verfolgen Sie Benutzeraktionen über alle Kommunikationskanäle hinweg, um konsistente Muster zu erkennen.
    • Kontextbezogene Nachrichtenanalyse: Überwachen Sie nicht nur, was die Benutzer erhalten, sondern auch den Nachrichtenkontext wie Bearbeitungen, Löschungen und Weiterleitungsmuster
    • Kanalspezifische Schwachstellen: Identifizieren Sie Sicherheitslücken, die zwischen verschiedenen Kommunikationstools bestehen

    Getrennte Sicherheitssysteme führen zu Szenarien, in denen ein Benutzer bei der E-Mail-Überwachung als risikoarm erscheint, während er auf Kollaborationsplattformen ein hohes Risiko eingeht. Diese fragmentierte Sichtweise hindert Unternehmen daran, ihr wahres Human Risk zu verstehen.

    Mimecast zentralisiert die Erkenntnisse aus der Kommunikation über mehrere Kanäle hinweg und bietet Sicherheitsteams eine unified Sicht auf das menschliche Verhalten. Diese umfassende Transparenz zeigt Risikomuster auf, die bei der isolierten Überwachung einzelner Plattformen nicht sichtbar wären.

    6. Auswirkungen externer Bedrohungen und Raffinesse der Angriffe

    Menschliches Risiko existiert nicht im luftleeren Raum, es muss im Zusammenhang mit den tatsächlichen Bedrohungen gemessen werden. Da Angreifer künstliche Intelligenz nutzen, um immer raffiniertere Phishing-E-Mails, Deepfakes und Social-Engineering-Angriffe zu erstellen, muss die menschliche Risikobewertung diese veränderte Dynamik berücksichtigen.

    Zu den wichtigsten zu messenden externen Faktoren gehören:

    • Reaktionen der Mitarbeiter auf neue Bedrohungen: Verfolgen Sie, wie Benutzer auf neue Angriffstechniken wie QR-Code-phishing, KI-generierte Inhalte oder ausgeklügelte Kompromittierungsversuche von business email reagieren.
    • Trends zur Raffinesse von Angriffen: Überwachen Sie die Komplexität und Personalisierung von Bedrohungen, die auf Ihr Unternehmen abzielen
    • Abstimmung zwischen Bedrohung und Schwachstelle: Bewerten Sie, wie gut aktuelle Angriffstrends mit den menschlichen Schwachstellen Ihres Unternehmens übereinstimmen.

    Das Aufkommen von KI-generierten Bedrohungen verändert die menschliche Risikogleichung grundlegend. Herkömmliche Trainingsprogramme, die sich auf die Erkennung von "offensichtlich verdächtigen" E-Mails konzentrieren, werden weniger effektiv, wenn Angreifer nahezu perfekte Imitationen legitimer Kommunikation erzeugen können.

    Mimecasts Integration von Echtzeit-Bedrohungsdaten mit menschlicher Risikobewertung stellt sicher, dass die Risikobewertungen der aktuellen Angriffsrealität entsprechen. Wenn neue Bedrohungsmethoden auftauchen, passt die Plattform die Risikoberechnungen automatisch an, um diesen neuen Herausforderungen Rechnung zu tragen.

    7. Compliance- und Governance-Anforderungen

    Regulatorische Rahmenwerke wie GDPR, HIPAA und PCI DSS erfordern nicht nur technische Sicherheitskontrollen, sondern auch die Überwachung menschlichen Verhaltens, das zu Verstößen gegen die Vorschriften führen könnte. Viele Unternehmen entdecken ihre Compliance-Lücken erst, nachdem ein Vorfall eingetreten ist.

    Zu den kritischen Metriken im Zusammenhang mit der Einhaltung von Vorschriften gehören:

    • Richtlinienverstöße in der Kommunikation: Verfolgen Sie die Fälle, in denen Mitarbeiter über Kommunikationsplattformen hinweg gegen Datenverarbeitungsrichtlinien verstoßen.
    • Audit-Bereitschaft: Führen Sie umfassende, prüfbare Aufzeichnungen über die Risikodaten der Benutzer und die Interventionsmaßnahmen.
    • Lücken im Governance-Workflow: Identifizieren Sie Bereiche, in denen menschliches Verhalten zu Compliance-Risiken führt, die von den aktuellen Prozessen nicht abgedeckt werden.

    Die Kosten für die Nichteinhaltung von Vorschriften gehen weit über Bußgelder hinaus. Unternehmen müssen mit Reputationsschäden, rechtlicher Haftung und dem Verlust des Kundenvertrauens rechnen, wenn menschliches Versagen zu Datenverletzungen oder Verstößen gegen den Datenschutz führt.

    Die Plattform von Mimecast unterstützt prüfbare Risikokennzahlen und Datenmanagement über alle Kommunikationskanäle hinweg und hilft Unternehmen, die Einhaltung gesetzlicher Vorschriften nachzuweisen und gleichzeitig potenzielle Verstöße proaktiv zu erkennen, bevor sie zu Vorfällen werden.

    Letzte Überlegungen: Human Risk ist ein Geschäftsrisiko

    Die Messung menschlicher Risiken ist nicht nur eine Initiative im Bereich der Cybersicherheit, sondern eine wichtige Geschäftsfunktion, die sich auf jeden Aspekt der Unternehmensabläufe auswirkt. Vom Schutz des geistigen Eigentums bis zum Erhalt des Kundenvertrauens berührt das Risikomanagement alle Beteiligten im Unternehmen.

    Das Grundprinzip bleibt einfach: IT- und Compliance-Verantwortliche können nicht verwalten, was sie nicht messen, und sie können nicht messen, was sie nicht sehen können. Traditionelle Ansätze, die sich auf einzelne Sicherheitstools oder isolierte Schulungsprogramme konzentrieren, bieten nicht die umfassende Transparenz, die moderne Unternehmen benötigen.

    Die Investition in eine zentralisierte Plattform wie Mimecast sorgt für eine einheitliche Risikotransparenz über alle Kommunikationskanäle hinweg, ermöglicht datengesteuerte Interventionen und liefert die Kennzahlen, die Unternehmensleiter benötigen, um fundierte Sicherheitsentscheidungen zu treffen. Durch die Einführung einer umfassenden Messung menschlicher Risiken können Unternehmen endlich von einer reaktiven Reaktion auf Vorfälle zu einem proaktiven Risikomanagement übergehen.

    Die sieben in diesem Artikel beschriebenen Metriken bieten einen Rahmen für das Verständnis und die Quantifizierung menschlicher Risiken, aber eine erfolgreiche Umsetzung erfordert die richtigen Tools und Plattformen, um diese Daten zu sammeln, zu analysieren und zu nutzen. Da sich Cyber-Bedrohungen ständig weiterentwickeln und auf menschliche Schwachstellen abzielen, sind Unternehmen, die in eine umfassende Messung menschlicher Risiken investieren, am besten positioniert, um ihre Vermögenswerte zu schützen, Compliance-Verpflichtungen zu erfüllen und die Geschäftskontinuität in einer zunehmend gefährlichen digitalen Landschaft aufrechtzuerhalten.

    Verwandte Artikel

    Security Awareness Training
    Rationalisierung von Cybersicherheitsstrategien: Die Rolle des menschlichen Risikomanagements
    Security Awareness Training
    Wie Sie die Akzeptanz der Geschäftsleitung für Programme zur Förderung des Sicherheitsbewusstseins erreichen
    Security Awareness Training
    Zusammenfassung der menschlichen Risiken: Wenn der Browser zum Köder wird

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang