Mitarbeiter sind der neue Perimeter und das primäre Ziel von Angreifern. Laut dem Verizon-Untersuchungsbericht zu Datenkompromittierungen (Data Breach Investigation Report 2022) werden 82 % aller Datenschutzverletzungen durch menschliches Verhalten verursacht.
Zur Reduzierung mitarbeiterbezogener Risiken haben die meisten Unternehmen in Schulungen für Endnutzer investiert. Einige gehen sogar über Compliance- und Schulungsmaßnahmen hinaus und setzen auf die Schaffung einer Cybersicherheitskultur, die Mitarbeiter motiviert und in die Lage versetzt, die Sicherheit des Unternehmens aufrechtzuerhalten. Das Konzept einer solchen „Cybersicherheitskultur“ ist für viele jedoch nicht ganz klar oder gar völlig neu.
In diesem Blog-Beitrag erklären wir dieses Konzept und zeigen auf, wie Unternehmen mithilfe eines durchdachten Modells ihre Schulungsprogramme zur Sensibilisierung für Sicherheit stärken und Verhaltensänderungen bei ihren Mitarbeitern fördern können.
Was ist eine Cybersicherheitskultur und warum ist sie wo wichtig?
Proofpoint definiert Cybersicherheitskultur als „die Überzeugungen, Werte und Einstellungen, die die Grundlage für die Verhaltensweisen von Mitarbeitern bilden und geeignet sind, das Unternehmen vor Cyberangriffen zu schützen und zu verteidigen“. Damit ist die Cybersicherheitskultur ein ausschlaggebender Faktor bei der Entwicklung sicherer Verhaltensweisen. Dies hat zwei wesentliche Gründe:
- Sie verbessert die allgemeine Sicherheit des Unternehmens, da sich Mitarbeiter mitverantwortlich fühlen und zur Prävention von Zwischenfällen beitragen. Jeder ist für Sicherheit verantwortlich. Wenn Mitarbeiter dies verinnerlicht haben, sind sie wachsamer und motivierter, in diesem Sinne zu handeln.
- Sie reduziert das menschliche Risiko. Eine starke Cybersicherheitskultur fördert Verhaltensänderungen und hilft Anwendern, nachhaltige Gewohnheiten zu entwickeln, die sie auch im Privatleben schützen. Anwender sind dadurch auch nach Feierabend, bei der Nutzung ihrer privaten Geräte und immer dann, wenn eigentlich niemand mit Bedrohungen rechnet, optimal darauf vorbereitet, schädliche Absichten von Angreifern zu durchschauen und ihnen einen Strich durch die Rechnung zu machen.
Bewertung der aktuell vorherrschenden Kultur
Wir bei Proofpoint betrachten die Cybersicherheitskultur als Schnittmenge von drei wesentlichen Faktoren:
- Verantwortung: Haben die Mitarbeiter das Gefühl, dass sie und ihre Kollegen für die Prävention von Cyberbedrohungen mitverantwortlich sind?
- Bedeutung: Ist den Mitarbeitern bewusst, dass eine Bedrohung sie persönlich betreffen könnte?
- Kompetenz: Fühlen sich die Mitarbeiter dazu in der Lage, verdächtiges Verhalten zu identifizieren und zu melden?
Abb. 1: Die drei Dimensionen der Sicherheitskultur.
Damit Anwender motiviert sind, zu handeln (d. h. zur Sicherheit des Unternehmens beizutragen), müssen sie sich bewusst sein, dass Bedrohungen und Kompromittierungen gegen das Unternehmen Probleme sind, die sie auch persönlich betreffen können. Ihnen muss auch die Bedeutung klar sein, die dem Schutz des Unternehmens zukommt. Und schließlich benötigen sie das erforderliche Wissen und die nötigen Tools, um Bedrohungen identifizieren zu können. Sie müssen sich verantwortlich fühlen, ihren Beitrag zu leisten und zu verhindern, dass Angriffe Geschäftsabläufe stören oder Schaden verursachen.
Um festzustellen, ob Mitarbeiter in der Lage und motiviert sind, gegen das Unternehmen gerichtete Angriffe zu verhindern, hat Proofpoint eine Umfrage zum Thema Cybersicherheitskultur entwickelt. Bei dieser kurzen Umfrage werden die drei oben erläuterten drei Dimensionen getestet, sodass Sicherheitsteams die aktuelle Sicherheitskultur im Unternehmen ganz einfach bewerten können. Basierend auf den Ergebnissen lassen sich die Motivation und Handlungsfähigkeit der Mitarbeiter durch gezielte Kommunikation und Schulungen steigern.
Bei der Konzeption der Umfrage hat Proofpoint folgende Prinzipien verfolgt:
- Pragmatisch: Die Ergebnisse sind eindeutig interpretierbar.
- Kurz: Die Teilnahme an der Umfrage dauert nur wenige Minuten.
- Fokussiert: Jede Frage bezieht sich auf einen einzigen Aspekt.
- Eindeutig: Jede Frage ist direkt und verständlich formuliert.
- Zuverlässig; Die Umfrage liefert unter gleichen Bedingungen identische Ergebnisse.
- Zutreffend: Es wird gezielt gemessen, worum es geht.
- Unvoreingenommen: Die Umfragemethode minimiert Antwortverzerrungen.
Wenn Sie Ihre Sicherheitskultur bewerten, sollte sie kurz und einfach gehalten werden, damit sich Anwender Zeit dafür nehmen. Überlegen Sie für eine ideale Implementierung frühzeitig, wie häufig sie den Status Ihrer Sicherheitskultur bewerten möchten. Erfassen Sie regelmäßige Datenpunkte und optimieren Sie Ihre Programme anhand der Ergebnisse.
Welche Rolle spielt die Bewertung der Sicherheitskultur für optimale Programm zur Sensibilisierung für Sicherheit?
Bewertungen der Sicherheitskultur sind notwendig, um die Stimmung der Anwender zu erfassen und zukünftige Initiativen so zu planen, dass sie Anwender ansprechen. Während Wissenstests messen, was Anwender wissen, und simulierte Bedrohungen wie Phishing-Angriffe erfassen, wie Anwender handeln, lässt sich mithilfe von Bewertungen der Sicherheitskultur feststellen, was Anwender glauben.
Wenn Sie wissen, was Ihre Anwender glauben, können die für Cybersicherheit zuständigen Teams ihre Kommunikation und Schulungen für die unterschiedlichen Anwendergruppen anpassen. Bedenken Sie dabei: Die Stärke einer Cybersicherheitskultur ist davon abhängig, wie sehr sich Anwender einbringen und wie motiviert sie sind. Das wiederum wirkt sich direkt auf ihr Verhalten bei Bedrohungen aus.
Abb. 2: Mit Bewertungen der Sicherheitskultur finden Sie Lücken und schaffen die Voraussetzung für erfolgreiche Sicherheitsprogramme.
Aufbau einer robusten Cybersicherheitskultur
Unternehmen sollten unbedingt vielschichtige Programme zur Sensibilisierung von Sicherheit bereitstellen, die genau darauf ausgerichtet sind, was Anwender wissen, wie sie handeln und was sie glauben. Wie Anwender ihre Rolle beim Schutz des Unternehmens wahrnehmen und wie sie darüber denken, kann einen entscheidenden Unterschied machen und das Risiko von Unternehmen reduzieren. Bewertungen der Sicherheitskultur sind der erste Schritt in diese Richtung.
Weitere Überlegungen dazu, was Sie bei der Stärkung Ihrer Sicherheitskultur berücksichtigen sollten, erfahren Sie im Webinar zur Bewertung der Sicherheitskultur von Dr. Bob Hausmann, Learning & Assessment Architect bei Proofpoint.