Security Awareness

SANS 2022 Security Awareness Report: Mensch bleibt Risikofaktor Nr.1

, Bethesda, Sans Institute | Autor: Herbert Wieler

SANS 2022 Security Awareness Report: Mensch bleibt Risikofaktor Nr.1

Der Mensch bleibt die größte Bedrohung für die Cybersicherheit von Unternehmen

Angesichts einer noch nie dagewesenen Anzahl von Mitarbeitern, die heute in hybriden oder vollständig dezentralen Umgebungen arbeiten und einer Zunahme von Cyber-Bedrohungen eine cybersichere Belegschaft und engagierte Sicherheitskultur zu schaffen und zu erhalten.

Lance Spitzner, SANS Security Awareness Director und Mitverfasser des Berichts

„Menschen sind zum Hauptangriffsvektor für Cyber-Angreifer auf der ganzen Welt geworden“, sagt Lance Spitzner, SANS Security Awareness Director und Mitverfasser des Berichts. „Der Mensch und nicht die Technologie stellt das größte Risiko für Unternehmen dar, und die Fachleute, die Security Awareness-Programme betreuen, sind der Schlüssel zum effektiven Management dieses Risikos.“

Nach der Analyse der Daten von mehr als 1.000 Security Awareness-Experten aus aller Welt, hat SANS Security Awareness , der weltweit führende Anbieter von Security-Awareness-Schulungen, seinen siebten jährlichen SANS Security Awareness Report veröffentlicht. Der Bericht für das Jahr 2022 legt aktualisierte globale Maßstäbe dafür fest, wie Unternehmen ihr menschliches Risiko managen, und bietet umsetzbare Schritte zur Verbesserung mit Hilfe von Schlüsselmetriken (Security Awareness Maturity Model Indicators Matrix), um den Fortschritt zu messen.

„Awareness-Programme versetzen Sicherheitsteams in die Lage, ihr menschliches Risiko effektiv zu managen, indem sie die Denkweise der Mitarbeiter über Cybersicherheit verändern und ihnen helfen, ein sicheres Verhalten an den Tag zu legen – vom Vorstand bis hinunter zum Mitarbeiter“, erklärt Spitzner. „Dieser Bericht ermöglicht es Sicherheitsfachleuten, datengestützte Entscheidungen darüber zu treffen, wie sie ihre Mitarbeiter am besten schützen können, und gegenüber der Unternehmensleitung auf überzeugende Weise über Risiken zu sprechen, die den Wert und die Unterstützung ihrer strategischen Prioritäten demonstriert.“

Arbeitskräfte

Mehr als 69 Prozent der Fachleute für Security Awareness verbringen weniger als die Hälfte ihrer Zeit mit der Thematik. Die Daten zeigen, dass die Zuständigkeiten für die Security Awareness sehr häufig Mitarbeitern mit sehr technischem Hintergrund zugewiesen werden, denen es möglicherweise an den erforderlichen Fähigkeiten fehlt, um ihre Mitarbeiter in einfach zu verstehenden Begriffen wirksam zu informieren.

Meistgenannte Herausforderungen

Die drei am häufigsten genannten Herausforderungen beim Aufbau eines ausgereiften Awareness-Programms standen alle im Zusammenhang mit Zeitmangel: insbesondere Zeitmangel für das Projektmanagement, begrenzte Schulungszeit zur Einbindung der Mitarbeiter und Personalmangel.

Auswirkungen einer Pandemie

Die beiden am häufigsten genannten Auswirkungen waren die Herausforderung einer stärker abgelenkten und überforderten Belegschaft und ein Arbeitsumfeld, in dem Cyberangriffe auf Menschen häufiger und effektiver geworden sind.

Programm-Reifegrad nach Region

In allen Regionen der Welt ist der Reifegrad der aktuellen Programme am häufigsten auf die Einhaltung von Vorschriften und die Bewusstseins-/Verhaltensänderung ausgerichtet.

Indikatoren für erfolgreiche Programme

Starke Unterstützung durch die Geschäftsführung, eine größere Teamgröße und eine höhere Schulungsfrequenz sind die wichtigsten Faktoren für den Programmerfolg.

Wichtige Punkte zur Steigerung des Programmerfolgs:

  • Aktionspunkte zur Erhöhung der Unterstützung durch die Führungskräfte: Eine der besten Möglichkeiten, die Unterstützung der Führungskräfte zu erhöhen, besteht darin, vom Risikomanagement und nicht von der Einhaltung der Vorschriften zu sprechen und zu erklären, „warum“ und nicht „was“ man tut. Darüber hinaus sollte man ein Gefühl der Dringlichkeit vermitteln, indem man Daten nutzt und den Wert des Projekts durch die Übereinstimmung mit den Prioritäten der Geschäftsführung verdeutlicht.
  • Aktionspunkte zur Vergrößerung des Teams: Es wurde empfohlen, zu dokumentieren und zu vergleichen, wie viele Mitarbeiter im Sicherheitsteam sich auf die Technologie und wie viele sich auf das menschliche Risiko konzentrieren. Es sollte ein Dokument erstellt werden, in dem der Personalbedarf umfassend erläutert wird. Darüber hinaus empfiehlt es sich Partnerschaften mit wichtigen Abteilungen aufzubauen, die dabei helfen können, den Mehrwert des Programms zu vermitteln.
  • Aktionspunkte zur Erhöhung der Schulungsfrequenz: Es wird empfohlen, dass Unternehmen mindestens einmal im Monat mit ihren Mitarbeitern kommunizieren, mit ihnen interagieren oder sie schulen. Eine einfache und leicht nachvollziehbare Schulung war der Schlüssel zu mehr Möglichkeiten, die Mitarbeiter einzubeziehen und zu schulen.

„Die ausgereiftesten Security Awareness-Programme ändern nicht nur das Verhalten und die Kultur ihrer Mitarbeiter, sondern messen und demonstrieren ihren Wert für die Unternehmensführung anhand eines metrischen Rahmens“, führt Spitzner aus. „Unternehmen können ein jährliches Training zur Überprüfung der Compliance nicht mehr rechtfertigen, und es bleibt entscheidend für Unternehmen, genügend Personal, Ressourcen und Tools bereitzustellen, um ihr menschliches Risiko effektiv zu managen.“

Für eine detailliertere Analyse steht der SANS Security Awareness Report 2022 hier zum Download zur Verfügung.