Eine Studie von Forrester unterstreicht den ROI von Schulungen zum Thema Cybersecurity Awareness, da Remote-Arbeit das Risiko erhöht.

Wesentliche Punkte:

  • In der Branche herrscht Einigkeit darüber, dass Schulungen zum Thema Cybersecurity Awareness eine der kosteneffektivsten Investitionen zur Abwehr bösartiger Angriffe sind.
  • Untersuchungen von Forrester und anderen schlüsseln den ROI in verschiedenen Szenarien auf.
  • Das Modell von Forrester zeigt, dass regelmäßiges Training risikoreiches Verhalten auf nur 2,5 % der Mitarbeiter reduziert.

Wie hoch ist die Wahrscheinlichkeit, dass jemand in Ihrem Unternehmen auf eine betrügerische E-Mail hereinfällt? Wie viel könnte das Ihr Unternehmen kosten? Was würden Sie zahlen, um dies zu verhindern? Dies sind die Art von Berechnungen, die bei der Analyse von Schulungen zum Thema Cybersecurity Awareness im Hinblick auf den Return on Investment (ROI) angestellt werden - die grundlegende Einheit für die Entscheidungsfindung in der Chefetage und im Vorstand.

Es ist nicht einfach, diese Fragen zu beantworten, wenn eine einzige, erfolgreiche Phishing-E-Mail dazu führen kann, dass Millionen von Kundendaten preisgegeben werden oder der Betrieb tagelang lahmgelegt wird. Aber im Laufe der Zeit haben Experten immer mehr Beweise und Daten zusammengetragen, um den durchschnittlichen ROI für Security-Awareness-Schulungen in verschiedenen Arten von Unternehmen zu schätzen.

Jeden Tag wird klarer, dass - richtig gemacht - Schulungen zum Thema Cybersicherheit eine relativ kostengünstige Investition mit großer Wirkung sein können. Dieser Artikel befasst sich mit der Marktforschung zum ROI und damit verbundenen Ratschlägen zur Implementierung eines Cybersecurity-Awareness-Schulungsprogramms.

Dieser Blog ist der vierte in einer ROI-Serie, in der insgesamt 225 % über drei Jahre in allen fünf Bereichen berechnet. Das entspricht einem Gesamtnutzen von 3,9 Millionen US-Dollar gegenüber einer Investition von 1,2 Millionen US-Dollar für Lizenzierung, Schulung des Sicherheitsteams und einen Teilzeit-Systemadministrator. Die Analyse von Forrester bietet einen Ansatz, den Unternehmen auf ihre eigenen Bedrohungen und Cybersecurity-Reaktionen anwenden können.

Mitarbeiter sind Ihre letzte Verteidigungslinie

Höchstwahrscheinlich hat jede Phishing-E-Mail, die den Posteingang eines Mitarbeiters erreicht, bereits einen Spießrutenlauf durch Sicherheitskontrollpunkte und Filter hinter sich. Aber einige Betrugsversuche durchdringen selbst die fortschrittlichsten E-Mail-Sicherheitssysteme und machen Ihre Mitarbeiter zu Ihrer letzten Verteidigungslinie.

Unternehmen finden dies aus mehreren Gründen alarmierend. Ihr Geschäft läuft praktisch über E-Mail - jetzt mehr denn je aufgrund des Anstiegs der Telearbeit. Doch E-Mails sind die Nummer 1 bei der Verbreitung von Malware-Angriffen. [1] Und vier von zehn Befragten in Mimecasts "State of Email Security 2021" (SOES) (SOES) Umfrage sagen, dass ihre Mitarbeiter nicht genug wissen, um diese Angriffe zu stoppen. Tatsächlich war laut einer anderen Umfrage die unzureichende Schulung von nicht-technischen Mitarbeitern bei einem Drittel der Unternehmen die größte Ursache für Sicherheitsvorfälle. [2]

Hier kommen Schulungsprogramme für das Bewusstsein für Cybersicherheit ins Spiel, einschließlich kurzer Lehrvideos und simulierter Phishing-Angriffe. Die Branche ist sich einig, dass diese Art von Schulung eine der kosteneffektivsten Möglichkeiten ist, das Risiko von Sicherheitsverletzungen und anderen Vorfällen zu reduzieren.

Der evidenzbasierte ROI von Cybersecurity Awareness Training

In dem von Forrester untersuchten Modellunternehmen entgehen 10 % der bösartigen E-Mails der Erkennung durch Sicherheitssysteme, und dann öffnen 15 % der ungeschulten Mitarbeiter diese und ergreifen Maßnahmen, wie z. B. die Anzeige eines infizierten Anhangs, die Weitergabe sensibler Daten über ihr Unternehmen oder das Klicken auf einen Link, der Malware auf ihrem Gerät installiert. Nach einer Schulung zum Thema Cybersicherheit unternehmen jedoch nur 2,5 % der Mitarbeiter solche Schritte. Das Ergebnis ist eine Verringerung des Risikoverhaltens um 83,3 % in einem Unternehmen, in dem die durchschnittlichen jährlichen Kosten für E-Mail-basierte Angriffe bei über 1,8 Millionen US-Dollar liegen.

Eine weitere Aufschlüsselung findet sich unter in einem früheren Bericht , den Mimecast bei Osterman Research in Auftrag gegeben hat. Die Kosten in dieser Analyse umfassten jährliche Budgets für Cybersicherheitsschulungen zwischen 109 und 203 US-Dollar pro Mitarbeiter, je nach Unternehmensgröße. Die Mitarbeiter verbrachten durchschnittlich 26 Minuten pro Monat mit Schulungen.

Nach der Schulung wies ein typisches mittelständisches Unternehmen einen ROI von 69 % auf, basierend auf den direkten Kosten für die Behandlung der relativ kleinen Sicherheitsvorfälle, die im Laufe des Jahres auftraten. Auf der Einsparseite der Gleichung standen geringere Kosten für die Desinfektion von Arbeitsplätzen und Netzwerken (von 286 $ auf 136 $ pro Benutzer). Weniger quantifizierbar waren die potenziell größeren Kosten für verlorene Kunden, die Beeinträchtigung der Börsenbewertung eines Unternehmens, behördliche Geldstrafen und andere.

Für größere Sicherheitsvorfälle mit einem Wert von 1 Million US-Dollar und mehr, von denen Osterman annimmt, dass sie nur alle 20 Jahre auftreten, errechnete die Analyse einen ROI von 248 % für Mitarbeiterschulungen in einem mittelständischen Unternehmen - diesmal unter Berücksichtigung von Umsatzeinbußen und anderen Auswirkungen, die über die Behebung von Problemen hinausgehen.

Cybersecurity Awareness Training vs. die Quoten

Die Wahrscheinlichkeit, dass riskantes Mitarbeiterverhalten einen Vorfall in Ihrem Unternehmen auslöst, ist seit der oben erwähnten ROI-Studie nur gestiegen. Laut dem SOES-Bericht sind Phishing-Angriffe seit Beginn der COVID-19-Pandemie um 63 % gestiegen, und Mitarbeiter klicken dreimal häufiger auf bösartige E-Mails als früher und lassen ihre Wachsamkeit außer Acht, wenn sie von zu Hause aus arbeiten.

Schulungen zum Thema Cybersecurity sind wohl wichtiger denn je, und die Programme vieler Anbieter wurden auf die neue Arbeitsumgebung ausgerichtet. Dennoch trainieren viele Unternehmen immer noch zu selten, damit ihre Mitarbeiter einen Cyberangriff erkennen und sicher damit umgehen können. Und nicht alle Schulungsprogramme sind gleich, sodass die Ergebnisse variieren können.

Um den besten ROI aus Cybersecurity-Awareness-Trainings zu erzielen, finden Sie hier fünf Trainingstipps, die besonders für die heutige Remote-Arbeitsumgebung relevant sind:

  • Machen Sie Schulungen relevant: Konzentrieren Sie die Materialien auf Ihr Unternehmen und Ihre Branche.
  • Bleiben Sie realistisch: Geben Sie praktische, nachvollziehbare Beispiele dafür, wie sich Phishing und andere Betrügereien auf Menschen, einschließlich Kollegen, auswirken können.
  • Kommen Sie auf den Punkt: Machen Sie es den Mitarbeitern mit kurzen, einfachen Formaten leicht, dem Training ihre volle Aufmerksamkeit zu schenken. Bonuspunkte, wenn Sie sie mit Humor ansprechen.
  • Erklären Sie sich: Mitarbeiter könnten sich Sorgen machen, dass Cybersicherheits-Tools in Wirklichkeit die Produktivität überwachen. Kommunizieren Sie den wahren Zweck.
  • Fokus auf "Wiederholklicker": Phishing-Simulationen können Ihnen dabei helfen, herauszufinden, wer am dringendsten eine Schulung benötigt - und wer nicht, so dass diese Personen das Programm "austesten" können.

Was lässt sich daraus schließen?

Jüngste Untersuchungen bestätigen, dass Awareness-Schulungen für Cybersicherheit eine der kosteneffektivsten Investitionen sind, die Sie tätigen können, um Ihr Unternehmen vor bösartigen Cyberangriffen zu schützen. Und die Verwendung von Best Practices für Awareness-Schulungen kann den ROI Ihres Programms erhöhen.

[1] "2020 Data Breach Investigations Report ," Verizon

[2] "The Life and Times of Cybersecurity Professionals 2020," Enterprise Strategy Group for the Information Systems Security Association

[3] "How to Get Employees Invested in Security Awareness Training," Mimecast

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

ROI Analysis: Retiring On-Premises Email Archives

Forrester beziffert den Return on M...

Forrester beziffert den Nutzen der Verlagerung von E-Mail-Archiven in... Mehr lesen >

Karen Lynch

von Karen Lynch

Mitwirkender Verfasser

Posted Mar 24, 2021

Das Sicherheitsbewusstsein von Anwendern schärfen - sie nicht bevormunden

Der Versuch, Benutzer zu trainieren, indem sie die...

Der Versuch, Benutzer zu trainieren, indem man sie Beispielen von Phishin... Mehr lesen >

Dr. Matthew Canham

by Dr. Matthew Canham

Mitwirkender Verfasser

Posted Feb 05, 2021

Für systemische Veränderungen in Ihrer Cybersecurity-Kultur, halten Sie die Dinge interessant...

Mitarbeiter sind eher bereit, sich in eine...

Mitarbeiter sind eher bereit, sich mit Cybersecuri zu beschäftigen und zu handeln... Mehr lesen >

Miranda Nolan

von Miranda Nolan

Sicherheitsschriftsteller

Geschrieben Feb 01, 2021