Klarheit und Umsicht sind ein Muss für erfolgreiche Veränderungsprozesse. Erfolgreiche Veränderungen finden in Unternehmen insbesondere dann statt, wenn ausreichender Veränderungsdruck, eine gemeinsame und attraktive Zukunftsvision, ein klarer und zielorientierter Weg in die Zukunft und effektives Projektmanagement zusammenkommen. Veränderungen im Human-Risk-Management werden daher dann erfolgreich sein, der Mensch als meistgenutzten Angriffsvektor anerkannt wird aber keinesfalls als schwächstes Glied der Verteidigungskette an den Pranger gestellt wird. Pranger sind Gift für jede Unternehmenskultur. Sie sind Teil einer toxischen Führung und stehen der für die Security-Awareness so wichtigen Erkenntnis der eigenen Stärke im Weg.
Aus der IT mit dem Begriff des DAUs, des dümmsten anzunehmenden Users belegt, wird das menschliche Element traditionell eher als Schwachstelle angesehen, als unvorhersehbar, unzuverlässig und nicht kontrollierbar. Diese Perspektive rührt daher, dass Angreifer Emotionen und die Natur des Menschen ausnutzen. Sie nutzen Angst, Neugier und Stress, um menschliches Handeln zu beeinflussen. Eine erfolgreiche Phishing E-Mail öffnet ihnen das Tor zum Unternehmensnetzwerk und lässt sie fast mühelos die robustesten technischen Abwehrmechanismen überwinden. Mit dem Aufkommen von KI-gestützten Tools, die in der Lage sind, äußerst überzeugende Phishing-E-Mails und Deepfake-Videos zu generieren, ist die Grenze zwischen echter und betrügerischer Kommunikation zunehmend verschwommener geworden.
Wo Technologie scheitert, braucht es den Menschen
Diese Sicht trübt die Wahrnehmung von Führungskräften in IT und IT-Sicherheit. Sie müssen sich von dem Gedanken verabschieden die Mitarbeitenden als schwächstes Glied zu sehen. Das menschliche Element kann, wenn es richtig geschult und befähigt wird, zur stärksten Verteidigung eines Unternehmens werden. Rund 70 Prozent des Cybersicherheitsrisikos können durch geschultes, sicheres Verhalten wenigsten reduziert oder gar vollständig mitigiert werden. Der Schlüssel dafür liegt in der Schaffung und Förderung einer starken Sicherheitskultur, die jede Ebene des Unternehmens durchdringt.
E-Mail-Sicherheitsprodukte reichen aktuell nicht aus, um die Bedrohung durch Phishing einzudämmen. Ein beträchtlicher Teil der Phishing-E-Mails durchdringt alle Schutzmechanismen und landet im Posteingang der Mitarbeiter. Noch dazu sind heute verfügbare Deepfake-Erkennungstools ungenau, zu langsam und/oder können nicht in großem Umfang eingesetzt werden. Da sich die Umgehungsmethoden jedoch weiterentwickeln, sind Erkennungstools zudem schnell veraltet oder werden umgangen. Letzten Endes findet der Kampf zwischen Cyberangreifern und Verteidigern statt, also Mensch gegen Mensch und nicht Maschine gegen Maschine so weit sind wir noch nicht.
Durch die Kultivierung einer starken Sicherheitskultur mittels umfassender Schulungen, Phishing-Simulationen und praktischer Übungen können Unternehmen ihre Mitarbeiter dazu befähigen, sich aktiv an Ausgestaltung der Cybersicherheitsmaßnahmen zu beteiligen. Auf diese Weise werden die Mitarbeiter zu einer der wichtigsten und kosteneffizientesten Verteidigungslinien gegen hochentwickelte Cyber-Bedrohungen.
Sicherheitskultur stärken
Die Entwicklung einer starken Sicherheitskultur geht über die traditionelle Sensibilisierungsschulung hinaus. Wissen ist zwar wichtig, aber erst die Umsetzung dieses Wissens in konsequentes, sicherheitsbewusstes Verhalten ist wirklich von Bedeutung.
Die folgenden Schlüsselelemente helfen den Verantwortlichen beim Aufbau einer starken Sicherheitskultur:
- Umfassende Schulung: Regelmäßige, ansprechende und aktuelle Sicherheitsschulungen, die ein breites Spektrum von Bedrohungen und bewährten Verfahren abdecken.
- Realistische Simulationen: Phishing-Simulationen und andere Übungen, die reale Szenarien imitieren, helfen den Mitarbeitern, Bedrohungen zu erkennen und darauf zu reagieren.
- Praktische Übungen am Arbeitsplatz: Integration von Sicherheitspraktiken in die täglichen Arbeitsabläufe, damit sicheres Verhalten zur Gewohnheit wird und nicht erst im Nachhinein entsteht.
- Gemeinsame Verantwortung: Förderung eines Umfelds, in dem jeder für die Cybersicherheit verantwortlich ist, nicht nur die IT-Abteilung.
- Befähigung: Den Mitarbeitern die Werkzeuge an die Hand geben, die sie benötigen, um in ihrem Arbeitsalltag und im Privatleben gute Sicherheitsentscheidungen zu treffen.
- Kontinuierliches Feedback: Zeitnahes, konstruktives und kontextbezogenes Feedback, um bewährte Verfahren zu stärken und verbesserungswürdige Bereiche anzusprechen.
Um die Effektivität einer Sicherheitskultur wirklich messen zu können, müssen Unternehmen über die traditionellen Messgrößen wie Abschlussquoten von Schulungen oder Quiz-Ergebnisse hinausgehen. Diese bieten zwar einen Ausgangspunkt, spiegeln aber nicht unbedingt langfristige Verhaltensänderungen oder Auswirkungen auf die allgemeine Sicherheitslage eines Unternehmens wider. Stattdessen sind Kennzahlen wichtig, die das tatsächliche Verhalten und seine Auswirkungen auf die Sicherheitsergebnisse messen. Dazu könnte die Verfolgung der Meldung verdächtiger E-Mails, die Übernahme bewährter Sicherheitsverfahren oder die Verringerung erfolgreicher Phishing-Versuche im Laufe der Zeit gehören.
Schlüsselfaktoren für die Verhaltensveränderung
Die Änderung von Verhaltensweisen und der Aufbau neuer Sicherheitsgewohnheiten ist ein schwieriger Prozess, der Zeit und konsequente Bemühungen erfordert. Der Erfolg hängt dabei von drei Schlüsselfaktoren ab:
- Überzeugung: Die Mitarbeiter müssen von der Bedeutung der Cybersicherheit und ihrer Rolle darin überzeugt sein.
- Fähigkeit: Sie brauchen das Wissen und die Fähigkeiten, um Bedrohungen zu erkennen und auf sie zu reagieren.
- Gelegenheit: Unternehmen müssen ein Umfeld schaffen, das sicheres Verhalten unterstützt und fördert.
Indem sie sich mit diesen Faktoren befassen, können Unternehmen eine Belegschaft schaffen, die nicht nur die Cybersicherheit versteht, sondern sich auch motiviert und befähigt fühlt, aktiv zu ihrer Verteidigung beizutragen.
Fazit
Das menschliche Element mag zwar von Cyberkriminellen als die größte Schwachstelle der Cybersicherheit angesehen werden, stellt jedoch auch das größte Potential für deren Abwehr dar. Indem sie in eine starke Sicherheitskultur investieren und diese kultivieren, um die Mitarbeitenden Cyberresilienter zu machen, können Unternehmen ihre größte vermeintliche Schwäche in ihre effektivste Waffe gegen Cyberbedrohungen verwandeln.
Dr. Martin J. Kraemer, Security Awareness Advocate bei KnowBe4
#KnowBe4
