Überzeugungen und Verhaltensweisen sind grundlegende Bestandteile der menschlichen Kultur. Um kein Risiko einzugehen, warten Fußgänger in Deutschland auf das Grün der Ampel, bevor sie die Straße überqueren. In Teilen Asiens geben Gäste dem Gastgeber beim Essen durch Schlürfen zu verstehen, dass es ihnen schmeckt.
Welche positiven Verhaltensweisen und Überzeugungen werden also durch Ihr Programm zur Sensibilisierung für Sicherheit geprägt? Sehen wir uns das einmal genauer an.
Sind Anwender das Problem oder die Lösung?
Es fängt bereits damit an, wie die Endnutzer in der Sicherheitsabteilung wahrgenommen werden. Hier werden sie häufig zunächst als Problem gesehen. Dies lässt sich leicht verstehen, da laut dem Verizon Data Breach Investigations Report 2019 ganze 94 % der Datenschutzverletzungen durch Angriffe auf Menschen verursacht werden. Ohne Anwender, die Angriffe auslösen, hätte das Sicherheitsteam deutlich weniger Arbeit.
Das Verändern dieses Weltbildes erfordert Zeit. Es ist jedoch ein erster wichtiger Schritt, um einen Wandel in der Einstellung der Administratoren gegenüber den Anwendern und dem Programm zu bewirken. Und diese Veränderung ist möglich. Viele unserer Kunden haben davon berichtet, wie ihre geschulten Mitarbeiter den alten Grundsatz „Anwender sind ein Problem“ ins komplette Gegenteil verkehrt und ihr Verhalten zum Positiven verändert haben.
Interaktionen mit E-Mails müssen nicht nachteilig sein
Die meisten unserer Security Awareness Training-Kunden legen den Schwerpunkt einer der ersten Schulungsinitiativen auf den Bedrohungsvektor Nr. 1 – E-Mails. Die stark vereinfachte Botschaft lautet: Öffnen Sie Nachrichten nicht, klicken Sie nicht, laden Sie nichts herunter und lassen Sie sich nicht auf die Beantwortung von E-Mails ein. Auch wenn die E-Mail legitim erscheint – bestätigen Sie zuerst den empfangenen Inhalt und handeln Sie nicht sofort.
Von Unternehmen für Programme eingesetzte Maßnahmen
Weniger deutlich wird in den meisten Programmen vermittelt, was Anwender mit den E-Mails tun sollen, die ihrer Meinung nach potenziell schädlich sind, außer diese zu meiden. In unserem State of the Phish-Bericht 2020 fanden wir heraus, dass nur 15 % der Unternehmen in ihren Awareness-Programmen ein Tool zum Melden von E-Mails verwenden – und Anwender allgemein wenig über die Nutzung dieser Tools wissen.
Die Bereitstellung eines mit einem Klick bedienbaren Add-ins für E-Mail-Meldungen hat für Ihre Anwender mehrere Vorteile: Wenn sie nicht genau wissen, was sie tun sollen, können sie schnell bei jemandem nachfragen. Außerdem kann eine potenziell schädliche Nachricht umgehend zur weiteren Untersuchung an das richtige Team weitergeleitet werden. Das Tool kann zwar den anfänglichen Austausch mit den Anwendern über Informationen wie E-Mail-Header vereinfachen, allerdings entsteht dadurch auch möglicherweise ein erhöhtes Nachrichtenaufkommen für ein bereits überlastetes Incident-Response-Team.
Kultur mit Closed-Loop Email Analysis and Response (CLEAR)
Es ist großartig, wenn Anwender verdächtige E-Mails melden können, doch um sie in ihrem Verhalten bei konkreten Beispielen zu bestärken, benötigen sie Feedback. Ein äußerst effektives Mittel dafür ist der Feedback-Kreislauf in unserer Lösung CLEAR.
Nachdem Anwender eine Nachricht gemeldet haben, wird sie mithilfe unserer Bedrohungsdaten sowie dedizierten Sandbox-Analysen der URLs und Anhänge klassifiziert. Je nach Klassifizierung werden durch den CLEAR-Workflow benutzerdefinierte Benachrichtigungen an die Endnutzer versandt, in denen sie über den von ihnen gemeldeten Nachrichtentyp (z. B. Spam, Massen-E-Mail, schädliche E-Mail) informiert werden und ihnen für die Mitarbeit gedankt wird.
Gerade wenn IT-Teams rund um die Uhr für den Schutz der Mitarbeiter im Homeoffice arbeiten, ist diese Zeitersparnis besonders wichtig. Einer unserer Kunden konnte bei seinem Incident Response-Team innerhalb von drei Jahren Einsparungen in Höhe von 345.000 US-Dollar erzielen. Mehr dazu erfahren Sie im Forrester Total Economic Impact™-Bericht.
Unsere Kunden konnten selbst erleben, wie sich der Workflow positiv auf die Incident Response-Teams und Anwender im Unternehmen auswirkt:
„Es ist beeindruckend zu sehen, wie alle Mitarbeiter zu einem Teil des IT-Sicherheitsteams werden, wenn sie Phishing über eine Schaltfläche in Outlook melden und als Bedrohung eingestufte Nachrichten dann aus allen Mitarbeiter-E-Mails entfernt werden.“
Erhalten Anwender eindeutige Informationen und Feedback über ihre Meldungen, werden sie in ihren Überzeugungen bestärkt und verbessern ihre Fähigkeiten zur Identifizierung schädlicher Nachrichten. Zudem steht IT-Abteilungen mit gut geschulten Anwendern eine wertvolle Ressource zur Abwehr zunehmend zielgerichteter und hochentwickelter Angriffe zur Verfügung.
Um noch einen Schritt weiter zu gehen, veranstalten viele unserer Kunden vierteljährliche oder monatliche Wettbewerbe, bei denen die Anwender ein kleines Dankeschön oder kleine Belohnungen erhalten. Dies verstärkt ihre Überzeugungen und Verhaltensweisen noch weiter auf positive Weise im Sinne einer Kultur des Sicherheitsbewusstseins.
Verbesserte Kommunikation des Sicherheitsbewusstseins an Verantwortliche
Ein weiterer wichtiger Bestandteil von Kultur ist Kommunikation. Mit dem oben beschriebenen Kreislauf von E-Mail-Meldungen und Schutzmaßnahmen stehen Sicherheitsteams neue Kennzahlen zur Verfügung. Wenn es um die Anfälligkeit der Anwender für simulierte Phishing-Angriffe geht, sprechen Sicherheitsexperten häufig von der Klickrate oder der Fehlerquote. Doch jetzt steht den Sicherheitsteams eine neue Kennzahl für die Kommunikation zur Verfügung: die Anwender-Meldungsrate.
In unserem State of the Phish-Bericht 2020 stellten wir fest, dass es stärkere Abweichungen bei der Meldungsrate als bei der Klickrate gab. Sie eignet sich daher besser für die Nachverfolgung und die Kommunikation gegenüber Verantwortlichen. Zudem fanden wir heraus, dass die besten Unternehmen bei simulierten Phishing-Angriffen eine Meldungsrate von über 70 % hatten – eine beeindruckende Leistung, mit der die Anfälligkeit für gefährliche Angriffe durch Business Email Compromise (BEC, auch als Chefmasche bezeichnet) und Spearphishing erheblich verringert werden kann.
Die Meldungsrate veranschaulicht Führungskräften die Widerstandsfähigkeit und die Kenntnisse der Anwender – wobei die negative Assoziation vermieden wird, die bei der Klickrate oder Fehlerquote besteht. Außerdem kann die Sicherheitsabteilung von gemeldeten Angriffen berichten, die durch gut geschulte und sicherheitsbewusste Anwender gestoppt wurden. Wenn Verantwortliche und Anwender wissen, wie sie zum Schutz des Unternehmens beitragen können, kann dies zur Verbesserung Ihres Programms und zum Aufbau einer nachhaltigen natürlichen Kultur des Sicherheitsbewusstseins führen.
Sind Sie bereit, in Ihrem Unternehmen eine Kultur des Sicherheitsbewusstseins aufzubauen? Weitere Informationen zu unserer Lösung CLEAR.