ROI-Analyse: Verbesserung der Widerstandsfähigkeit durch Schulungen zum Thema Cybersicherheit

Wie groß ist die Wahrscheinlichkeit, dass jemand in Ihrem Unternehmen auf eine betrügerische E-Mail hereinfällt? Wie viel könnte das Ihr Unternehmen kosten? Was würden Sie zahlen, um dies zu verhindern? Dies sind die Art von Berechnungen, die bei der Analyse von Schulungen zum Thema Cybersicherheit im Hinblick auf die Kapitalrendite (ROI) angestellt werden - die grundlegende Einheit für die Entscheidungsfindung in der Chefetage und im Sitzungssaal.

Es ist nicht einfach, diese Fragen zu beantworten, wenn eine einzige erfolgreiche Phishing-E-Mail dazu führen kann, dass Millionen von Kundendaten preisgegeben werden oder der Betrieb tagelang zum Erliegen kommt. Doch im Laufe der Zeit haben Experten immer mehr Beweise und Daten zusammengetragen, um den durchschnittlichen ROI für Sicherheitsschulungen in verschiedenen Arten von Unternehmen zu schätzen.

Jeden Tag wird klarer, dass Schulungen zum Thema Cybersicherheit - richtig durchgeführt - eine relativ kostengünstige Investition mit großer Wirkung sein können. Dieser Artikel befasst sich mit Marktforschungsergebnissen zum ROI und damit zusammenhängenden Ratschlägen zur Implementierung eines Schulungsprogramms für Cybersicherheit.

Dieser Blog ist der vierte in einer ROI-Reihe, in der der ROI über einen Zeitraum von drei Jahren in allen fünf Bereichen mit insgesamt 225 % berechnet wird. Das entspricht einem Gesamtnutzen von 3,9 Millionen US-Dollar im Vergleich zu einer Investition von 1,2 Millionen US-Dollar für Lizenzierung, Schulung des Sicherheitsteams und einen Teilzeit-Systemadministrator. Die Analyse von Forrester bietet einen Ansatz, den Unternehmen auf ihre eigenen Bedrohungen und Maßnahmen zur Cybersicherheit anwenden können.

Mitarbeiter sind Ihre letzte Verteidigungslinie

Aller Wahrscheinlichkeit nach hat jede Phishing-E-Mail, die den Posteingang eines Mitarbeiters erreicht, bereits einen Spießrutenlauf durch Sicherheitskontrollpunkte und Filter hinter sich. Doch manche Betrugsversuche durchdringen selbst die fortschrittlichsten E-Mail-Sicherheitssysteme und machen Ihre Mitarbeiter zu Ihrer letzten Verteidigungslinie.

Die Unternehmen finden dies aus mehreren Gründen alarmierend. Ihre Geschäfte laufen praktisch über E-Mail - heute mehr denn je aufgrund der Zunahme der Telearbeit. E-Mail ist jedoch die Nummer 1 unter den Übertragungswegen für Malware-Angriffe. [1] Und vier von 10 Befragten in Mimecasts "State of Email Security 2021" (SOES) sagen, dass ihre Mitarbeiter nicht genug wissen, um diese Angriffe zu stoppen. Laut einer anderen Umfrage war die unzureichende Schulung von nicht-technischen Mitarbeitern bei einem Drittel der Unternehmen die Hauptursache für Sicherheitsvorfälle. [2]

An dieser Stelle kommen Schulungsprogramme zum Thema Cybersicherheit ins Spiel, die kurze Lehrvideos und simulierte Phishing-Angriffe umfassen. Die Branche ist sich einig, dass diese Art von Schulung eine der kosteneffizientesten Möglichkeiten ist, das Risiko von Sicherheitsverletzungen und anderen Vorfällen zu verringern.

Der evidenzbasierte ROI von Schulungen zum Thema Cybersicherheit

In dem von Forrester untersuchten Modellunternehmen entgehen 10 % der bösartigen E-Mails der Erkennung durch Sicherheitssysteme, und 15 % der ungeschulten Mitarbeiter öffnen sie und ergreifen Maßnahmen, wie z. B. das Ansehen eines infizierten Anhangs, die Weitergabe vertraulicher Daten über ihr Unternehmen oder das Klicken auf einen Link, der Malware auf ihrem Gerät installiert. Nach einer Schulung zum Thema Cybersicherheit unternehmen jedoch nur 2,5 % der Mitarbeiter solche Schritte. Das Ergebnis ist ein Rückgang des Risikoverhaltens um 83,3 % in einem Unternehmen, in dem die durchschnittlichen jährlichen Kosten für E-Mail-Angriffe bei über 1,8 Millionen Dollar liegen.

Eine weitere Aufschlüsselung ist in einem früheren Bericht enthalten, den Mimecast bei Osterman Research in Auftrag gegeben hat. Die Kosten in dieser Analyse umfassten jährliche Budgets für Cybersicherheitsschulungen, die je nach Größe des Unternehmens zwischen 109 und 203 US-Dollar pro Mitarbeiter lagen. Die Mitarbeiter verbrachten durchschnittlich 26 Minuten pro Monat mit Schulungen.

Nach der Schulung wies ein typisches mittelständisches Unternehmen einen ROI von 69 % auf, basierend auf den direkten Kosten für die Behandlung der relativ geringen Sicherheitsvorfälle, die im Laufe des Jahres auftraten. Auf der Einsparseite der Gleichung standen geringere Kosten für die Desinfektion von Arbeitsplätzen und Netzwerken (von 286 $ auf 136 $ pro Benutzer). Weniger quantifizierbar waren die potenziell höheren Kosten für verlorene Kunden, die Beeinträchtigung der Börsenbewertung eines Unternehmens, behördliche Geldstrafen und andere.

Für größere Sicherheitsvorfälle im Wert von 1 Million Dollar und mehr, von denen Osterman annimmt, dass sie sich nur alle 20 Jahre ereignen, errechnete die Analyse einen ROI von 248 % für Mitarbeiterschulungen in einem mittelständischen Unternehmen - diesmal unter Berücksichtigung von Umsatzeinbußen und anderen Auswirkungen, die über die Abhilfe hinausgehen.

Cybersecurity Awareness Training im Vergleich zu den Quoten

Die Wahrscheinlichkeit, dass riskantes Mitarbeiterverhalten einen Vorfall in Ihrem Unternehmen auslöst, ist seit der oben erwähnten ROI-Studie nur noch gestiegen. Laut dem SOES-Bericht haben Phishing-Angriffe seit Beginn der COVID-19-Pandemie um 63 % zugenommen, und die Mitarbeiter klicken dreimal so oft auf bösartige E-Mails wie früher, weil sie bei der Arbeit von zu Hause aus unvorsichtig sind.

Schulungen zum Thema Cybersicherheit sind wohl wichtiger denn je, und viele Anbieter haben ihre Programme auf das neue Arbeitsumfeld ausgerichtet. Dennoch schulen viele Unternehmen ihre Mitarbeiter immer noch zu selten, um einen Cyberangriff zu erkennen und sicher damit umzugehen. Und nicht alle Schulungsprogramme sind gleich, so dass die Ergebnisse unterschiedlich ausfallen können.

Um die beste Rendite aus Schulungen zum Thema Cybersicherheit zu erzielen, finden Sie hier fünf Tipps, die besonders für die heutige Remote-Arbeitsumgebung relevant sind:

• Machen Sie Schulungen relevant: Konzentrieren Sie die Materialien auf Ihr Unternehmen und Ihre Branche.
• Bleiben Sie realistisch: Geben Sie praktische, nachvollziehbare Beispiele dafür, wie sich Phishing und andere Betrügereien auf Menschen, einschließlich Kollegen, auswirken können.
• Bringen Sie es auf den Punkt: Machen Sie es den Mitarbeitern leicht, sich mit kurzen, einfachen Formaten voll und ganz der Schulung zu widmen. Bonuspunkte, wenn Sie sie mit Humor ansprechen.
• Erklären Sie sich: Die Mitarbeiter könnten sich Sorgen machen, dass die Cybersicherheits-Tools in Wirklichkeit die Produktivität überwachen. Vermitteln Sie den wahren Zweck.
• Konzentrieren Sie sich auf "Wiederholungstäter": Phishing-Simulationen können Ihnen dabei helfen, herauszufinden, wer am dringendsten geschult werden muss - und wer nicht, so dass diese Personen das Programm "austesten" können.

Die Quintessenz

Jüngste Untersuchungen bestätigen, dass Schulungen zum Thema Cybersicherheit eine der kosteneffektivsten Investitionen sind, die Sie tätigen können, um Ihr Unternehmen vor bösartigen Cyberangriffen zu schützen. Und die Anwendung bewährter Verfahren für Awareness-Schulungen kann den ROI Ihres Programms erhöhen.

[1] " 2020 Data Breach Investigations Report ," Verizon

[2] " The Life and Times of Cybersecurity Professionals 2020 ," Enterprise Strategy Group for the Information Systems Security Association

[3] " Wie man Mitarbeiter für Sicherheitsschulungen begeistern kann ," Mimecast