Warum fingierte Phishing-Kampagnen die Sensibilisierung von Sicherheitsthemen und die IT-Sicherheit von Unternehmen erhöhen.
Illustration: Geralt Absmeier
Der Nutzen von Cybersecurity-Awareness, insbesondere von Phishing-Simulationen, wird aktuell breit diskutiert. Theoretische Untersuchungen sollen herausgefunden haben, dass simulierte Phishing-Kampagnen einen negativen Einfluss auf das Betriebsklima, die Vertrauens- und Fehlerkultur haben sollen. Auch soll sich dadurch das Vertrauensverhältnis zur Unternehmensführung verschlechtert haben.
Das Schweizer Unternehmen Lucy Security hat in einer weltweiten Onlinestudie »Nutzen und Herausforderungen von Cybersecurity-Awareness 2020« im Juni 2020 Unternehmen nach dem praktischen Nutzen und den Herausforderungen von Cybersecurity-Awareness befragt. Die meisten der befragten Unternehmen führen diese Awareness-Trainings erfolgreich durch. Aufgrund dieser Studie räumt Palo Stacho, Mitgründer und Head of Operations bei Lucy Security, mit fünf Mythen auf:
- Mythos 1: Security-Awareness-Maßnahmen erhöhen die IT-Sicherheit eines Unternehmens nicht
Palo Stacho: »Falsch. Ganze 96 Prozent der Umfrageteilnehmer stimmen voll oder größtenteils zu, dass die Cybersecurity-Awareness ihrer Mitarbeiter in den letzten Monaten oder Jahren zugenommen hat. Gar 98 Prozent der Teilnehmer sind überzeugt, dass Security-Awareness-Maßnahmen echte Angriffe erschweren. Und 94 Prozent der Unternehmen äußern, dass durch die Maßnahmen die IT-Sicherheitsinfrastruktur gar gestärkt wird. Unsere Studie konnte beweisen, dass Cybersecurity-Awareness die Aufmerksamkeit erhöht und zur Unternehmenssicherheit beiträgt.«
- Mythos 2: Phishing-Simulationen verunsichern Mitarbeiter
Palo Stacho: »Eine Behauptung, die gerne angebracht wird: Phishing-Simulationen sollen Ängste bei den Mitarbeitern verursachen. Die Umfrage bestätigt das nicht: Die Mehrheit von über 73 Prozent der Teilnehmer sagte aus, dass ihre Mitarbeiter durch die Maßnahmen nicht verunsichert wurden. Und das obwohl über die Hälfte der befragten Unternehmen (58 Prozent) die Phishing-Simulationen nicht vorher angekündigt haben.«
- Mythos 3: Phishing-Kampagnen wirken sich negativ auf das Betriebsklima aus
Palo Stacho: »Unsere Studie hat bewiesen, dass bei 95 Prozent der Unternehmen die Maßnahmen gut bei den Mitarbeitern ankamen. Die Auswirkungen auf das Betriebsklima durch Phishing-Simulationen waren bei fast 11 Prozent der Teilnehmer stark positiv, bei 32 Prozent größtenteils positiv und bei 52 Prozent eher positiv. Zudem konnten wir feststellen, dass durch die Security-Awareness-Maßnahmen das Vertrauen in die Geschäftsleitung gestärkt wurde. 89 Prozent der Befragten stimmten voll, größtenteils oder eher zu, dass das Vertrauen in die Leitung nicht in Frage gestellt wurde, wenn Phishing-Kampagnen durchgeführt wurden.«
- Mythos 4: Lieber das Geld für IT-Sicherheitslösungen ausgeben, als für Security-Awareness-Maßnahmen
Palo Stacho: »Wenn 92 Prozent der Befragten angeben, dass ein gleiches Sicherheitsniveau nicht aufrechterhalten werden kann, wenn die vorhandenen Ressourcen und Budgets ausschließlich in technische Sicherheitsmaßnahmen (Application Gateways, Firewalls oder Virenscanner etc.) investiert werden, dann ist das definitiv ein Mythos. Das heißt, Unternehmen steigern mit Cybersecurity-Awareness signifikant ihre IT-Sicherheit. Ein Mehr an Technologie wird das nicht können.«
- Mythos 5: Phishing-Kampagnen haben einen negativen Einfluss auf die Fehlerkultur in Unternehmen
Palo Stacho: »Das ist eine falsche Annahme. Diese Aussage konnten wir durch unsere Studie vollständig widerlegen. Alle, ich betone gerne nochmals, 100 Prozent der befragten Unternehmen der Studie gaben an, dass Security-Awareness-Maßnahmen sich positiv auf die Fehlerkultur des Unternehmens auswirken. Zusammen mit dem weiter oben erwähnten Ergebnis, dass das Vertrauen der Unternehmensleitung nicht in Frage gestellt wird, kann behauptet werden, dass in den Unternehmen bei den Mitarbeitern eine sehr hohe Akzeptanz für Security-Awareness besteht.«
Hintergrund: Was sind Security-Awareness-Maßnahmen?
Viele Unternehmen investieren heutzutage nicht nur in professionelle IT-Security-Lösungen, sondern auch in die Fortbildung und in bestimmte Maßnahmen für ihre Mitarbeiter, damit diese sicherheitsbewusster werden. Mitarbeiter müssen wissen, welche aktuellen Bedrohungsszenarien aus dem Internet kommen können. Ziel von Cybersecurity-Awareness-Lösungen ist daher der allgemeine Schutz des Unternehmens vor den Schäden der Cyberkriminalität. Erreicht wird dies anhand gezielter Schulung der Mitarbeiter. Durch interne Analysen hat Lucy Security festgestellt, dass richtig durchgeführte Awareness-Programme ein Unternehmen bis zu zehnmal sicherer machen können.
150 Artikel zu „Security Awareness“
NEWS | IT-SECURITY | AUSGABE 5-6-2020 | SECURITY SPEZIAL 5-6-2020
Sensible Mitarbeiter durch Security Awareness Trainings – Auf den Content kommt es an
Das Schärfen des Sicherheitsbewusstseins der Belegschaft ist ein kontinuierlicher Prozess. Wenn die Schulungsmaterialien und -methoden einfach verständlich, lustig und einprägsam sind, dann werden die Sicherheitstrainings erfolgreich sein.
NEWS | IT-SECURITY | SERVICES
Security Awareness Training bietet Mitarbeitern individuelle Lernkonzepte
Neue Schulungsplattform für Enterprise-Kunden. Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training [1], die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und personalisiertes Training [2], entwickelt wurde. Die neue Schulungsplattform richtet sich (im Vergleich zur für SMB-Kunden entwickelten Kaspersky Security Awareness Plattform) explizit an Unternehmen aus dem Enterprise-Bereich und ist beliebig skalierbar.…
NEWS | BUSINESS | GESCHÄFTSPROZESSE | IT-SECURITY
Bankenindustrie – Cyberrisiken und Security Awareness
Banken definieren »IT-Security« als den Zustand, in dem Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Daten und Informationstechnologie durch angemessene Maßnahmen und Sicherheitsprozesse geschützt sind. IT-Security Lösungen (Software und Services) sind immer Teil eines IT-Security-Management-Systems. Mit geeigneten IT-Security-Lösungen werden Bedrohungen und Gefahren erkannt und abgewendet, sodass Risiken minimiert und wirtschaftliche Schäden (Reputation, Haftung, etc.) unterbunden werden…
NEWS | PRODUKTMELDUNG
IT-Security-Awareness: Informationssicherheit »for a better working life«
secion stärkt IT-Security-Awareness der NEW-WORK-Mitarbeiter. Die secion GmbH, die IT-Security Division der Unternehmensgruppe Allgeier, wurde als IT-Sicherheitsspezialist engagiert, um bei den über 1.500 XING-Mitarbeitern (Marke der NEW WORK SE) unternehmensweit und standortübergreifend Schulungen für IT- und Informationssicherheit durchzuführen. Nach der gemeinsamen Betrachtung der Möglichkeiten entschieden sich die Projektverantwortlichen bei der NEW WORK SE für…
NEWS | IT-SECURITY | TIPPS
Teleworking und Cybersecurity – FAQ
Die derzeit ergriffenen Präventionsmaßnahmen der sozialen Distanzierung, um den Corona-Virus (COVID-19) einzudämmen, veranlassen viele Unternehmen dazu, den Einsatz von Telearbeitstechnologie, einschließlich VPN und Telekonferenzen, massiv zu verstärken. Ulrich Fleck, Geschäftsführer von SEC Consult, einem Beratungsunternehmen für Cyber- und Applikationssicherheit, beantwortet im Folgenden die wichtigsten Fragen zum Thema Teleworking und Cybersecurity. Was können Unternehmen…
NEWS | FAVORITEN DER REDAKTION | INFRASTRUKTUR | IT-SECURITY | STRATEGIEN
Gezielte Weiterbildung: IT-Security in der Wasser- und Stromversorgung
Fachbeitrag der Fraunhofer Academy: Dem Blackout keine Chance geben. Spätestens dann, wenn in Millionen Haushalten das Licht ausgeht, aus den Hähnen kein Wasser mehr fließt und Produktionsanlagen stillstehen, wird deutlich, dass ohne eine funktionierende Wasser- und Stromversorgung die Gesellschaft stillsteht. Kein Wunder, dass diese als kritische Infrastrukturen ein beliebtes Ziel für Hacker darstellen. Allein 2018…
NEWS | TRENDS SECURITY | TRENDS 2019 | IT-SECURITY
Die Top IT-Security-Trends 2019
Angesichts wachsender Angriffsflächen, zunehmend raffinierter Angriffe und dynamischer Bedrohungslandschaften müssen IT-Abteilungen das Thema IT-Security mit höchster Priorität angehen. Die Security-Experten von Controlware geben Tipps, welche Trends und Entwicklungen in den kommenden Monaten besondere Aufmerksamkeit verdienen. »Das Jahr 2019 begann mit einer Serie von Datendiebstählen, bei denen Prominente und Politiker gezielt ins Visier genommen wurden…
NEWS | CLOUD COMPUTING | INFRASTRUKTUR | IT-SECURITY | ONLINE-ARTIKEL
Cloud und Virtualisierung: Datenverschlüsselung bleibt fundamentaler Bestandteil der IT-Security
»Die Wolke« ist in der Unternehmens-IT deutscher Unternehmen angekommen. Auch hierzulande profitieren Firmen jeder Größe von niedrigeren Kosten bei größerer Skalierbarkeit und Zuverlässigkeit. Die Verantwortung für die Sicherheit ihrer Daten sollten Unternehmen jedoch nicht in die Hände von Cloud-Providern legen. Der Datenverschlüsselung und der Kontrolle über die Verschlüsselungs-Keys kommt in heterogenen IT-Landschaften besondere Bedeutung zu.…
NEWS
Das IT-Security Mindset – Wie sicher ist die IT des deutschen Mittelstands?
Das neue Praxis-Buch für Entscheider zur IT-Sicherheit in deutschen Unternehmen aus dem Finanzbuch Verlag München. IT-Sicherheit ist Teil eines der wichtigsten Gebiete im Zuständigkeitsbereich der Informationstechnik. Fast in jedem IT-Magazin werden Themen der IT-Security erörtert und neue IT-Sicherheitslösungen vorgestellt und einem Test unterzogen. Ein Monats-Abo eines solcher bekannten Fachmagazine kann dem begeisterungsfähigen Anwender durchaus…
NEWS | IT-SECURITY | LÖSUNGEN | RECHENZENTRUM | STRATEGIEN | TIPPS
Sieben Möglichkeiten für Security-Verantwortliche, um mit Spectre und Meltdown fertig zu werden
Führungskräfte im Bereich Security- und Risikomanagement müssen einen ausgewogenen Ansatz verfolgen, um dieses neue Ausmaß gefährlicher Schwachstellen zu bewältigen. Laut dem IT-Research und Beratungsunternehmen Gartner müssen Security- und Risikomanagement-Verantwortliche pragmatisch und fokussiert auf die anhaltenden Bedrohungen reagieren, die von einem völlig neuen Ausmaß bei den Schwachstellen ausgehen. »Spectre« und »Meltdown« sind die Code-Namen für die…
NEWS | TRENDS SECURITY | TRENDS 2018 | IT-SECURITY
Weltweite Ausgaben für Security erreichen im Jahr 2018 96 Milliarden US-Dollar
Risiken in der IT-Security treiben das Wachstum der gesamten Ausgaben für Security an. Laut dem IT-Research und Beratungsunternehmen Gartner steigen die weltweiten Ausgaben für Security im Jahr 2018 auf insgesamt 96,3 Milliarden US-Dollar – dies bedeutet einen Anstieg von 8 Prozent gegenüber 2017. Unternehmen geben künftig mehr für Security aus aufgrund eines gesteigerten Bewusstseins…
NEWS | INTERNET DER DINGE | IT-SECURITY | TOP-THEMA | AUSGABE 11-12-2016
Cyber Security mit Augenmaß – Auf Planung und Organisation kommt es an
Durch die digitale Transformation und das Internet der Dinge verstärken sich die Angriffsszenarien. Cyber Security muss holistisch und strukturiert geplant werden um die volle Wirkung zu entfalten.
NEWS | CLOUD COMPUTING | IT-SECURITY | RECHENZENTRUM
Wie positionieren sich die Anbieter von Cloud und Datacenter Security im deutschen Markt?
Der Schutz der Rechenzentren mit Firewalls und Virenscannern reichen nicht mehr aus. Virtuelle Umgebungen und Cloud Computing verlangen nach einem robusten Schutz. Attacken aus dem Internet werden immer intelligenter, um Daten auszuspionieren oder den Rechenzentrumsbetrieb lahmzulegen. Darüber hinaus stellt der Gesetzgeber Anforderungen, um die Sicherheit im hohen Maße zu garantieren. Unregelmäßigkeiten müssen fälschungssicher protokolliert werden.…
NEWS | TRENDS SECURITY | IT-SECURITY
Wie positionieren sich die Anbieter im deutschen Markt für Database Security?
Der Datenbankschutz wird zu einem immer wichtigeren Thema. Es reicht nicht mehr aus, nur das Netzwerk abzusichern. Das wichtigste Gut im Unternehmen sind die Daten, und die gilt es zu schützen. Intelligente Zugriffsberechtigungen müssen dafür sorgen, dass kein unbefugter Mitarbeiter auf schützenswerte Daten zugreifen kann. Attacken können eben nicht nur von außen kommen, sondern auch…
NEWS | TRENDS SECURITY | IT-SECURITY | SERVICES | STRATEGIEN
Die unterschätzte Rolle der Mitarbeiter für eine tragfähige IT-Security-Strategie
Die Security Bilanz Deutschland stellt die Umsetzung von IT-Sicherheitsmaßnahmen in den Untersuchungsfokus und liefert im Ergebnis ein realitätsgetreues Bild vom Stand der IT- und Informationssicherheit in den Unternehmen des deutschen Mittelstands. IT- und Informationssicherheit lässt sich nicht zentral anordnen, sondern ist vielmehr ein Prozess, in den jeder Mitarbeiter eingebunden werden muss. Fast jeder Mitarbeiter trifft…
SECURITY SPEZIAL 9-10-2020 | AUSGABE 9-10-2020 | NEWS | IT-SECURITY
Ohne Unterstützung der Geschäftsführung keine Sicherheitskultur – Die menschliche Firewall
Jelle Wieringa, Senior Security Awareness Advocate bei KnowBe4 erklärt im Interview warum die Geschäftsleitung die Sicherheit im Unternehmen vorleben muss, damit alle Mitarbeiter an der erfolgreichen Etablierung einer Sicherheitskultur teilnehmen.
NEWS | IT-SECURITY | WHITEPAPER
BSIMM: Ein Fahrplan in Richtung Softwaresicherheit
Das Building Security In Maturity-Modell ist ein Studiendesign zu real existierenden Software Security Initiatives, kurz SSIs [1]. Hier werden die Praktiken vieler verschiedener Unternehmen quantifiziert und hinsichtlich von Gemeinsamkeiten sowie individuellen Variationen beschrieben. Dadurch liefert der Bericht quasi ein Spiegelbild der Softwaresicherheit von Unternehmen rund um den Globus. Die Ergebnisse sind zwar besonders relevant für Unternehmen, die Softwarekomponenten…
NEWS | IT-SECURITY | TIPPS
Trotz umfassender IT-Budgetkürzungen: Cybersicherheit bleibt Investitionspriorität
Auch während der Covid-19-Pandemie hat IT-Security wachsende Relevanz. Cybersicherheit hat auch 2020 für Unternehmen eine hohe Priorität hinsichtlich der Entscheidung für entsprechende Investitionen, wie eine aktuelle Kaspersky-Umfrage unter Entscheidungsträgern zeigt [1]. Ihr Anteil an den IT-Ausgaben ist bei KMUs von 23 Prozent im vergangenen Jahr auf 26 Prozent 2020 und bei großen Unternehmen im gleichen…
NEWS | BUSINESS | TRENDS SECURITY | IT-SECURITY
5 Mythen über Cyber Resilience
Angesichts der wachsenden Bedrohung durch Cyberangriffe wird Cyber Resilience für Unternehmen immer wichtiger. Erst 36 Prozent der Unternehmen haben bisher allerdings ein hohes Resilienz-Level erreicht – so eine aktuelle Studie von Frost & Sullivan und Greenbone Networks. Ist Cyber Resilience nur etwas für große Unternehmen mit hohen IT-Budgets? Elmar Geese, COO bei Greenbone, räumt mit…
NEWS | IT-SECURITY
Anwendungssicherheit: Kombination aus Mensch und Technik
2020 brachte zahlreiche Herausforderungen für Unternehmen. Viele Arbeitnehmer mussten aufgrund der COVID-19-Pandemie über Nacht von Zuhause arbeiten. Sie benötigen daher sichere Arbeitsumgebungen, die gleichzeitig den Zugang zu allen relevanten Anwendungen ermöglichen. Der Verizon 2020 Data Breach Investigations Report zeigte nun, dass Cyberkriminelle diese Umstellung ausnutzen, um neue Wege zu finden, Anwendungen anzugreifen. Um dies zu…