Security-Awareness-Trainings Messbar machen: Methoden und Beweggründe

Ich bin mir sicher, dass wir alle mit folgendem Szenario vertraut sind: Sie möchten mehr Mittel für ein Projekt, das bei richtiger Investition zu einem positiven Ergebnis für das Unternehmen beitragen wird, stoßen aber auf den erbitterten Widerstand der zuständigen Stellen. Es geht schlicht und ergreifend ums Geld. Wie viel müssen sie investieren und was genau bekommen sie zurück, d.h. den Return on Investment (ROI). Aber wie genau messen wir den ROI bei etwas Abstraktem wie Schulungen zum Thema Cybersicherheit?

Eine typische ROI-Gleichung würde lauten:

ROI = R/I, wobei R = Return (Nutzen) und I = Investment (Kosten).

Sie nehmen also die Kosten und den Nutzen und haben eine Antwort auf Ihre Frage: Es mag X kosten, aber der Ertrag ist Y. Klingt einfach, oder? Das Problem bei einer ROI-Berechnung in einem Bereich wie Security-Awareness-Trainings besteht darin, dass es viele Variablen gibt; daher ist es nicht ungewöhnlich, dass Unternehmen zur Berechnung des Risikoprozentsatzes ein Element der Wahrscheinlichkeit hinzufügen.¹ In den letzten Jahren wurde dem ROI für Awareness-Schulungen mehr Aufmerksamkeit gewidmet, wobei ein bemerkenswerter Bericht von Osterman Research einige interessante statistische Ergebnisse lieferte und zu einigen spannenden Schlussfolgerungen kam. Dazu gehören:

• Dass die Sicherheitsbudgets steigen.
• Die Budgets für Security-Awareness-Trainings steigen immer schneller.
• Durch Schulungen wird die Fähigkeit der Nutzenden, Bedrohungen zu erkennen, erheblich verbessert.
• Der ROI für Security-Awareness-Trainings ist erheblich.

Betrachtet man insbesondere den letzten Punkt, so stellt der Bericht fest, dass kleinere Unternehmen (50-99 Mitarbeiter) im Durchschnitt einen ROI von 69 % und größere Unternehmen (1.000+) einen ROI von 562 % erzielen können. Darüber hinaus kam der Bericht zu dem Schluss, dass "die Kosten für die Bereinigung von Arbeitsplätzen und die Beseitigung von Malware-/Ransomware-Angriffen drastisch sinken, wenn Schulungen zum Sicherheitsbewusstsein durchgeführt werden, was sowohl für kleine als auch für große Unternehmen zu einem erheblichen ROI führt“²

Der ROI ist also ein gutes Barometer für die Berechnung von Investitionen in Security-Awareness-Trainings. Wie wir bereits erwähnt haben, lässt die nicht greifbare Natur der Messung von Sensibilisierungsmaßnahmen Raum für Interpretationen und Vermutungen. Es kann schwierig sein, genaue Werte für "Was-wäre-wenn"-Szenarien anzugeben, insbesondere wenn andere externe Faktoren ins Spiel kommen.

Eine andere, einfachere Methode, mit der Sie tatsächliche Daten greifbar machen können, ist die Messung der Interaktionsrate mit Phishing-E-Mails (PSR) Ihres Unternehmens, die ein praktisches Element in die Bewertung einbezieht, anstatt sich auf abstrakte "Was-wäre-wenn"-Szenarien zu verlassen. Die Statistiken lügen nicht: Der beste Weg, das Bewusstsein der Mitarbeiter für einen Cyberangriff zu ermitteln, ist, sie zu phishen. Die Durchführung eines simulierten Phishing-Tests gibt Ihnen eine Ausgangsbasis, von der aus Sie arbeiten können, und die Möglichkeit, in Echtzeit zu sehen, wie anfällig Ihr Unternehmen für einen echten E-Mail-Cyberangriff ist. Die Simulation eines Phishing- oder Spear-Phishing-Angriffs in einer sicheren und kontrollierten Umgebung bietet Ihnen einen soliden Bezugspunkt, der Ihre Argumente bei der Suche nach weiteren Investitionen für Security-Awareness-Trainings untermauern kann. Darüber hinaus bietet eine Phishing-Simulation einen weiteren Einblick in den Erfolg Ihres aktuellen Sicherheitsprogramms. Schließlich ist der beste Zeitpunkt, um Schwachstellen in Ihrem Unternehmen zu erkennen, bevor ein erfolgreicher Angriff stattgefunden hat und nicht danach.

Um die aktuelle PSR Ihrer Organisation zu berechnen, verwenden Sie die folgende Formel:

Interaktionsrate mit Phishing-E-Mails= Gesamtzahl der Fehlversuche geteilt durch die Gesamtzahl der durchgeführten Tests

Wenn Ihr IT-Team z. B. 100 Phishing-E-Mails an die Angestellten in Ihrem Unternehmen versendet und diese 60 Mal angeklickt werden, beträgt die PSR 60 ÷ 100 = 60 %. Wenn Sie weitere Tests durchführen und Ihre Angestellten mit der Erkennung von Phishing- und Spear-Phishing-E-Mails vertrauter werden, werden Sie feststellen, dass Ihr PSR-Wert sinkt. Sie können sich dann auf Wiederholungstatbegehende konzentrieren, indem Sie sie weiter schulen oder bei Bedarf den Zugang zu Unternehmensdaten einschränken. Verhaltensänderungen und eine Verbesserung des Bewusstseins lassen sich natürlich am besten mit messbaren Ergebnissen erreichen, und Tests wie dieser sollen auch aufzeigen, wie erfolgreich Ihr aktuelles Sensibilisierungsprogramm im Vergleich zu Ihren Erwartungen ist.

Quelle: How to Calculate ROI for Security Awareness Training | PhishLabs

Interessanterweise hat sich in den letzten Jahren ein Paradigmenwechsel bei den Investitionen der Unternehmen in ihre Sicherheitsinfrastruktur vollzogen. Dies bedeutete, dass man nicht mehr direkt Geld in die Technologie (Virenschutz, Firewalls usw.) steckte, sondern mehr und mehr in Security-Awareness-Trainings investierte, um Angriffe auf das Haupteinfallstor der meisten Unternehmen, nämlich den Menschen, zu entschärfen. In der Cybersicherheits- und Informationssicherheitsbranche ist man sich einig, dass Awareness-Schulungen die kosteneffizienteste Investition zur Abwehr von bösartigen Angriffen sind.

Auch die beste und modernste Technologie wird kaum verhindern können, dass Angestellte auf eine Phishing-E-Mail klicken oder einen mit Malware gefüllten Dateianhang öffnen. Vergessen wir nicht, dass etwa 90 % der Cyberangriffe per E-Mail beginnen.

Doch obwohl Security-Awareness-Trainings immer beliebter werden, da IT-Fachleute und Unternehmensleiter die wachsende Bedeutung dieses Themas angesichts der sich verändernden Angriffsdynamik auf Unternehmen erkannt haben, stellen wir häufig fest, dass viel potenzielle Kundschaft:

• Sich der Vorteile der Durchführung von Sensibilisierungsmaßnahmen nicht bewusst sind, oder
• Sich mit der Investitionszurückhaltung von Führungskräften konfrontiert sehen, die nicht bereit sind, die Zeit der Angestellten von ihren täglichen Aufgaben abzuziehen.

Es mag zwar einfacher erscheinen, eine Multi-Faktor-Authentifizierung einzuführen oder die Verwendung von Passwort-Managern zu fördern, um die unternehmensinternen Sicherheitsmaßnahmen zu verstärken, jedoch trifft das nicht den Kern des Problems. Es ist sicherlich keine kosteneffektivere Methode zur Sicherung von Unternehmensdaten. Die wachsende Awareness-Industrie bietet eine Vielzahl von Schulungsmaterialien, die schnell absolviert werden können, wobei Zeit- und Ortsunabhängigkeit nur zwei der Vorteile sind, die sie bieten. Es geht nicht darum, die Angestellten zu IT-Expert:innen zu machen, sondern ihnen beizubringen, "gut genug"³ zu sein und sie in die Lage zu versetzen, zum Schutz der Vermögenswerte Ihres Unternehmens beizutragen. Da die Zahl der Phishing-Angriffe seit Beginn von COVID-19 um 63 % gestiegen ist und die Angestellten dreimal mehr bösartige E-Mails anklicken als zuvor⁴, ist es keine Frage, ob man Opfer eines Phishings wird, sondern wann.

_{¹ Morrow, S. (2019, November 18). Is It Possible to Calculate an ROI for Security Awareness Training? The Defence Works. thedefenceworks.com/blog/is-it-possible-to-calculate-an-roi-for-security-awareness-training/
² The ROI of Security Awareness Training. (2019). Osterman Research. www.infosecinstitute.com/wp-content/uploads/2021/03/IQ-Whitepaper-The-ROI-of-Security-Awareness-Training.pdf
³ Stamps, M. (n.d.).& The ROI of Security Awareness Training. TECHGUARD Security. Retrieved 12 July 2021, from blog.techguard.com/the-roi-of-security-awareness-training
⁴ Lynch, K. (2021, April 14). ROI Analysis: Improving Resilience with Cybersecurity Awareness Training | Mimecast Blog. Mimecast. www.mimecast.com/blog/roi-analysis-improving-resilience-with-cybersecurity-awareness-training/}