Wie man den Erfolg von Schulungen zum Thema Cyber Awareness misst

Schulungen zum Thema Cybersicherheit sind in Unternehmen inzwischen fast allgegenwärtig, da CISOs versuchen, den Schaden durch Phishing-Angriffe und andere Bedrohungen zu begrenzen, die nur dann Schaden anrichten können, wenn die Mitarbeiter unvorsichtig sind. Dieses Lernen kann viele Formen annehmen, von Schildern, die in einem Büro aufgestellt werden, bis hin zu obligatorischen Schulungsmodulen für Abteilungen und Einzelpersonen. Ein einziges Stück Malware, das von einem Mitarbeiter eingeschleust wird, reicht aus, um ein ganzes Unternehmen zu gefährden. Die Vorstände wissen das, und deshalb werden Schulungen zum Thema Cybersicherheit - in der einen oder anderen Form - in der Regel in das Budget aufgenommen.

Aber bekommen Unternehmen das, was sie von ihren Programmen zur Sensibilisierung für Cybersicherheit erhalten sollten?

Die einzige Möglichkeit, dies mit Sicherheit festzustellen, ist die Messung der Wirksamkeit von Schulungsprogrammen, die ein Unternehmen bereits eingeführt hat. Dies ist eine weitaus weniger verbreitete Praxis als die Durchführung einer solchen Ausbildung. Wenn Unternehmen dies jedoch nicht tun, können sie den Wert ihrer Investitionen in das Cyber-Bewusstsein nicht maximieren.

Beginnen Sie mit quantifizierbaren Zielen

Um die Leistung ihrer Schulungsprogramme für Cybersicherheit zu messen, sollten Unternehmen zunächst hochgesteckte Ziele festlegen. Drei allgemeine Ziele von Schulungsprogrammen für Cybersicherheit sind: 

• Risikominderung: Unabhängig davon, ob ein Unternehmen selbst von einer Sicherheitsverletzung betroffen war oder von einer Sicherheitsverletzung in seiner Branche erfahren hat, ist jedes Unternehmen, das ein Schulungsprogramm zur Cybersicherheit durchführt, bestrebt, ein gewisses Maß an Cyber-Risiken zu minimieren. 
• Änderungen im Verhalten der Mitarbeiter: Beispiele für quantifizierbare Ziele in dieser Kategorie sind die Verringerung der Häufigkeit, mit der Mitarbeiter auf Phishing-E-Mails klicken oder auf andere Arten von Social Engineering hereinfallen. Ein weiteres Ziel könnte darin bestehen, die Zahl der Mitarbeiter, die infizierte Dateien herunterladen und öffnen, zu verringern. 
• Schutz des guten Rufs und Vermeidung anderer Kosten: Eine Sicherheitsverletzung, über die viel berichtet wird und die Kundendaten betrifft, kann unmittelbare Auswirkungen auf die Geschäftstätigkeit eines Unternehmens haben. Sobald eine Sicherheitsverletzung bekannt wird, kann sie sich negativ auf den Ruf eines Unternehmens auswirken. Noch schlimmer ist es natürlich, wenn die Verletzung zu einem gesperrten System oder gestohlenen Daten führt und eine Zahlungsaufforderung folgt. Aber auch Sicherheitsverletzungen, die keine Ransomware beinhalten, können den CISO, andere Führungskräfte und das Cybersicherheitsteam für Tage oder Wochen mit Wiederherstellungsarbeiten beschäftigen. 

Spezifische zu messende Dinge

Es gibt viele Leistungsindikatoren (Key Performance Indicators, KPIs), mit denen Unternehmen sicherstellen können, dass ihre Schulungsprogramme zum Thema Cybersicherheit die richtigen Mitarbeiter erreichen, und herausfinden können, wo weitere Cybersicherheitsschulungen erforderlich sind. Auch wenn Unternehmen spezifische Bedenken haben, nach denen sie suchen möchten, sind die folgenden Kennzahlen (in der einen oder anderen Form) für die meisten CISOs von Interesse.

• Teilnahmequoten: Dies ist der grundlegendste KPI von allen. Wenn die Mitarbeiter nicht an dem Schulungsprogramm teilnehmen, werden sie die Risiken, die sie für ihr Unternehmen und ihre Kollegen verursachen, nicht verstehen. Für CISOs ist es unerlässlich, einen Überblick darüber zu haben, wer geschult wurde und wer nicht.
• Wissen: Daten darüber, welche Personen an einer Schulung teilgenommen haben, sagen jedoch nichts darüber aus, was sie dabei gelernt haben. Um zu diesem tieferen Einblick zu gelangen, können Unternehmen regelmäßige Tests und Quiz durchführen. Die Tests können ein Online-Multiple-Choice-Modell verwenden und verlangen, dass Mitarbeiter, die eine bestimmte Punktzahl nicht erreichen, die Schulungsmodule wiederholen müssen.
• Phishing-Simulationen: Eine weitere, potenziell aufschlussreiche Art des Wissenstests, die heutzutage routinemäßig eingesetzt wird, besteht darin, gefälschte Phishing-Kampagnen zu erstellen, um zu sehen, ob die Mitarbeiter den Versuch, sie zu täuschen, erkennen. Vor allem in größeren Unternehmen können diese Phishing-Simulationen wertvolle Erkenntnisse liefern.
• Erkennung von Angriffen: Sobald Ihr Schulungsprogramm für Cybersicherheit eingerichtet ist, gibt es natürlich auch Möglichkeiten, Erkenntnisse über die Leistung zu gewinnen, die besser in den täglichen Arbeitsablauf in Ihrem Unternehmen integriert sind. So kann ein CIO beispielsweise dafür sorgen, dass die Mitarbeiter verdächtige E-Mails einfach an ihr Büro melden können. Dies kann über ein E-Mail-Plug-in erfolgen und einen Eindruck davon vermitteln, inwieweit die Notwendigkeit der Cybersicherheit auch von Personen wahrgenommen wird, deren Hauptaufgaben außerhalb des IT-Bereichs liegen. Das sagt viel über die Qualität eines Cyber-Awareness-Programms aus.
• Gesamtzustand der Cybersicherheit: Hier kommen wir zu einer Kennzahl, die zwar nicht direkt mit dem Schulungsprogramm für Cybersicherheit zu tun hat, aber durchaus Aufschluss über dessen Leistung geben kann. Es geht darum, ein Gefühl dafür zu bekommen, wie Ihr Unternehmen im Vergleich zu anderen Unternehmen Ihrer Größe oder Ihrer Branche in puncto Sicherheitsbereitschaft dasteht. Die Kennzahlen können sehr einfach sein, wie z. B. ein Vergleich der Teilnahmequoten Ihrer Organisation an Schulungen mit denen vergleichbarer Organisationen. Die Metriken können auch ausgefeilter sein und die relative Anzahl von Sicherheitsverletzungen und deren Kosten aufzeigen. Diese Benchmarks können Ihnen Aufschluss darüber geben, welche Änderungen Sie an Ihrem Schulungsprogramm für Cybersicherheit vornehmen sollten.

Die Rolle der Metriken bei Haushaltsverhandlungen

Vom organisatorischen Standpunkt aus gesehen werden die Daten zur Cybersicherheit immer alarmierender. In Mimecast's 2023 State of Email Security Bericht gaben fast alle Befragten (97%) an, dass ihre Unternehmen im letzten Jahr Opfer eines Phishing-Angriffs geworden sind. Die Bedrohung ist besonders hoch für Organisationen mit mehr als 10.000 Mitarbeitern; etwa drei Viertel dieser großen Organisationen geben an, dass die Zahl der Phishing-Angriffe steigt.

Phishing ist natürlich nur eine Art von Bedrohung der Cybersicherheit, die sich menschliche Fehler zunutze macht. Es gibt noch andere, wie z. B. Passwortangriffe und Lauschangriffe (die sich aus der Nutzung öffentlicher WIFI-Netze ergeben können). All diese Risiken lassen sich mit Hilfe eines guten Schulungsprogramms für die Cybersicherheit abmildern.

Die richtigen Daten können die Argumente eines CISO für mehr Ausgaben im Bereich der Cybersicherheit im Allgemeinen und für ein höheres Budget für Cyber-Sensibilisierung im Besonderen untermauern. CISOs, die im Laufe der Zeit eine Verbesserung der wichtigsten Kennzahlen für Schulungsprogramme zur Cybersicherheit nachweisen können, werden in der besten Position sein, um die Mittel zu erhalten - und die Schutzmaßnahmen zu verbessern -, die ihre Organisationen sicherer machen werden.

Die Quintessenz

Während in den Unternehmen ein breiter Konsens über die Notwendigkeit von Schulungen zum Thema Cybersicherheit besteht, ist das Wissen über die Leistung solcher Schulungsprogramme oft begrenzt. CISOs, die KPIs verwenden, um die Ergebnisse dieser Programme im Laufe der Zeit zu messen, befinden sich in der besten Position, um die Ressourcen zu erhalten, die sie benötigen, um das Unternehmen auf einem hohen Niveau zu halten. Lesen Sie, wie Mimecast Ihrem Unternehmen helfen kann, sein Awareness-Programm zu bewerten und zu verbessern.