Security-Awareness-Maßnahmen: Fünf Mythen von simulierten Phishing-Nachrichten

Anzeige

Warum fingierte Phishing-Kampagnen die Sensibilisierung von Sicherheitsthemen und die IT-Sicherheit von Unternehmen erhöhen.

Illustration: Geralt Absmeier

Der Nutzen von Cybersecurity-Awareness, insbesondere von Phishing-Simulationen, wird aktuell breit diskutiert. Theoretische Untersuchungen sollen herausgefunden haben, dass simulierte Phishing-Kampagnen einen negativen Einfluss auf das Betriebsklima, die Vertrauens- und Fehlerkultur haben sollen. Auch soll sich dadurch das Vertrauensverhältnis zur Unternehmensführung verschlechtert haben.

Das Schweizer Unternehmen Lucy Security hat in einer weltweiten Onlinestudie »Nutzen und Herausforderungen von Cybersecurity-Awareness 2020« im Juni 2020 Unternehmen nach dem praktischen Nutzen und den Herausforderungen von Cybersecurity-Awareness befragt. Die meisten der befragten Unternehmen führen diese Awareness-Trainings erfolgreich durch. Aufgrund dieser Studie räumt Palo Stacho, Mitgründer und Head of Operations bei Lucy Security, mit fünf Mythen auf:

 

  • Mythos 1: Security-Awareness-Maßnahmen erhöhen die IT-Sicherheit eines Unternehmens nicht

Palo Stacho: »Falsch. Ganze 96 Prozent der Umfrageteilnehmer stimmen voll oder größtenteils zu, dass die Cybersecurity-Awareness ihrer Mitarbeiter in den letzten Monaten oder Jahren zugenommen hat. Gar 98 Prozent der Teilnehmer sind überzeugt, dass Security-Awareness-Maßnahmen echte Angriffe erschweren. Und 94 Prozent der Unternehmen äußern, dass durch die Maßnahmen die IT-Sicherheitsinfrastruktur gar gestärkt wird. Unsere Studie konnte beweisen, dass Cybersecurity-Awareness die Aufmerksamkeit erhöht und zur Unternehmenssicherheit beiträgt.«

 

  • Mythos 2: Phishing-Simulationen verunsichern Mitarbeiter

Palo Stacho: »Eine Behauptung, die gerne angebracht wird: Phishing-Simulationen sollen Ängste bei den Mitarbeitern verursachen. Die Umfrage bestätigt das nicht: Die Mehrheit von über 73 Prozent der Teilnehmer sagte aus, dass ihre Mitarbeiter durch die Maßnahmen nicht verunsichert wurden. Und das obwohl über die Hälfte der befragten Unternehmen (58 Prozent) die Phishing-Simulationen nicht vorher angekündigt haben.«

 

  • Mythos 3: Phishing-Kampagnen wirken sich negativ auf das Betriebsklima aus

Palo Stacho: »Unsere Studie hat bewiesen, dass bei 95 Prozent der Unternehmen die Maßnahmen gut bei den Mitarbeitern ankamen. Die Auswirkungen auf das Betriebsklima durch Phishing-Simulationen waren bei fast 11 Prozent der Teilnehmer stark positiv, bei 32 Prozent größtenteils positiv und bei 52 Prozent eher positiv. Zudem konnten wir feststellen, dass durch die Security-Awareness-Maßnahmen das Vertrauen in die Geschäftsleitung gestärkt wurde. 89 Prozent der Befragten stimmten voll, größtenteils oder eher zu, dass das Vertrauen in die Leitung nicht in Frage gestellt wurde, wenn Phishing-Kampagnen durchgeführt wurden.«

 

  • Mythos 4: Lieber das Geld für IT-Sicherheitslösungen ausgeben, als für Security-Awareness-Maßnahmen

Palo Stacho: »Wenn 92 Prozent der Befragten angeben, dass ein gleiches Sicherheitsniveau nicht aufrechterhalten werden kann, wenn die vorhandenen Ressourcen und Budgets ausschließlich in technische Sicherheitsmaßnahmen (Application Gateways, Firewalls oder Virenscanner etc.) investiert werden, dann ist das definitiv ein Mythos. Das heißt, Unternehmen steigern mit Cybersecurity-Awareness signifikant ihre IT-Sicherheit. Ein Mehr an Technologie wird das nicht können.«

 

  • Mythos 5: Phishing-Kampagnen haben einen negativen Einfluss auf die Fehlerkultur in Unternehmen

Palo Stacho: »Das ist eine falsche Annahme. Diese Aussage konnten wir durch unsere Studie vollständig widerlegen. Alle, ich betone gerne nochmals, 100 Prozent der befragten Unternehmen der Studie gaben an, dass Security-Awareness-Maßnahmen sich positiv auf die Fehlerkultur des Unternehmens auswirken. Zusammen mit dem weiter oben erwähnten Ergebnis, dass das Vertrauen der Unternehmensleitung nicht in Frage gestellt wird, kann behauptet werden, dass in den Unternehmen bei den Mitarbeitern eine sehr hohe Akzeptanz für Security-Awareness besteht.«

 

Hintergrund: Was sind Security-Awareness-Maßnahmen?

Viele Unternehmen investieren heutzutage nicht nur in professionelle IT-Security-Lösungen, sondern auch in die Fortbildung und in bestimmte Maßnahmen für ihre Mitarbeiter, damit diese sicherheitsbewusster werden. Mitarbeiter müssen wissen, welche aktuellen Bedrohungsszenarien aus dem Internet kommen können. Ziel von Cybersecurity-Awareness-Lösungen ist daher der allgemeine Schutz des Unternehmens vor den Schäden der Cyberkriminalität. Erreicht wird dies anhand gezielter Schulung der Mitarbeiter. Durch interne Analysen hat Lucy Security festgestellt, dass richtig durchgeführte Awareness-Programme ein Unternehmen bis zu zehnmal sicherer machen können.

 

150 Artikel zu „Security Awareness“

Security Awareness Training bietet Mitarbeitern individuelle Lernkonzepte

Neue Schulungsplattform für Enterprise-Kunden. Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training [1], die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und personalisiertes Training [2], entwickelt wurde. Die neue Schulungsplattform richtet sich (im Vergleich zur für SMB-Kunden entwickelten Kaspersky Security Awareness Plattform) explizit an Unternehmen aus dem Enterprise-Bereich und ist beliebig skalierbar.…

Bankenindustrie – Cyberrisiken und Security Awareness

Banken definieren »IT-Security« als den Zustand, in dem Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Daten und Informationstechnologie durch angemessene Maßnahmen und Sicherheitsprozesse geschützt sind. IT-Security Lösungen (Software und Services) sind immer Teil eines IT-Security-Management-Systems. Mit geeigneten IT-Security-Lösungen werden Bedrohungen und Gefahren erkannt und abgewendet, sodass Risiken minimiert und wirtschaftliche Schäden (Reputation, Haftung, etc.) unterbunden werden…

IT-Security-Awareness: Informationssicherheit »for a better working life«

secion stärkt IT-Security-Awareness der NEW-WORK-Mitarbeiter.   Die secion GmbH, die IT-Security Division der Unternehmensgruppe Allgeier, wurde als IT-Sicherheitsspezialist engagiert, um bei den über 1.500 XING-Mitarbeitern (Marke der NEW WORK SE) unternehmensweit und standortübergreifend Schulungen für IT- und Informationssicherheit durchzuführen. Nach der gemeinsamen Betrachtung der Möglichkeiten entschieden sich die Projektverantwortlichen bei der NEW WORK SE für…

Teleworking und Cybersecurity – FAQ

  Die derzeit ergriffenen Präventionsmaßnahmen der sozialen Distanzierung, um den Corona-Virus (COVID-19) einzudämmen, veranlassen viele Unternehmen dazu, den Einsatz von Telearbeitstechnologie, einschließlich VPN und Telekonferenzen, massiv zu verstärken. Ulrich Fleck, Geschäftsführer von SEC Consult, einem Beratungsunternehmen für Cyber- und Applikationssicherheit, beantwortet im Folgenden die wichtigsten Fragen zum Thema Teleworking und Cybersecurity.   Was können Unternehmen…

Gezielte Weiterbildung: IT-Security in der Wasser- und Stromversorgung

Fachbeitrag der Fraunhofer Academy: Dem Blackout keine Chance geben. Spätestens dann, wenn in Millionen Haushalten das Licht ausgeht, aus den Hähnen kein Wasser mehr fließt und Produktionsanlagen stillstehen, wird deutlich, dass ohne eine funktionierende Wasser- und Stromversorgung die Gesellschaft stillsteht. Kein Wunder, dass diese als kritische Infrastrukturen ein beliebtes Ziel für Hacker darstellen. Allein 2018…

Die Top IT-Security-Trends 2019

Angesichts wachsender Angriffsflächen, zunehmend raffinierter Angriffe und dynamischer Bedrohungslandschaften müssen IT-Abteilungen das Thema IT-Security mit höchster Priorität angehen. Die Security-Experten von Controlware geben Tipps, welche Trends und Entwicklungen in den kommenden Monaten besondere Aufmerksamkeit verdienen.   »Das Jahr 2019 begann mit einer Serie von Datendiebstählen, bei denen Prominente und Politiker gezielt ins Visier genommen wurden…

Cloud und Virtualisierung: Datenverschlüsselung bleibt fundamentaler Bestandteil der IT-Security

»Die Wolke« ist in der Unternehmens-IT deutscher Unternehmen angekommen. Auch hierzulande profitieren Firmen jeder Größe von niedrigeren Kosten bei größerer Skalierbarkeit und Zuverlässigkeit. Die Verantwortung für die Sicherheit ihrer Daten sollten Unternehmen jedoch nicht in die Hände von Cloud-Providern legen. Der Datenverschlüsselung und der Kontrolle über die Verschlüsselungs-Keys kommt in heterogenen IT-Landschaften besondere Bedeutung zu.…

Das IT-Security Mindset – Wie sicher ist die IT des deutschen Mittelstands?

Das neue Praxis-Buch für Entscheider zur IT-Sicherheit in deutschen Unternehmen aus dem Finanzbuch Verlag München.   IT-Sicherheit ist Teil eines der wichtigsten Gebiete im Zuständigkeitsbereich der Informationstechnik. Fast in jedem IT-Magazin werden Themen der IT-Security erörtert und neue IT-Sicherheitslösungen vorgestellt und einem Test unterzogen. Ein Monats-Abo eines solcher bekannten Fachmagazine kann dem begeisterungsfähigen Anwender durchaus…

Sieben Möglichkeiten für Security-Verantwortliche, um mit Spectre und Meltdown fertig zu werden

Führungskräfte im Bereich Security- und Risikomanagement müssen einen ausgewogenen Ansatz verfolgen, um dieses neue Ausmaß gefährlicher Schwachstellen zu bewältigen. Laut dem IT-Research und Beratungsunternehmen Gartner müssen Security- und Risikomanagement-Verantwortliche pragmatisch und fokussiert auf die anhaltenden Bedrohungen reagieren, die von einem völlig neuen Ausmaß bei den Schwachstellen ausgehen. »Spectre« und »Meltdown« sind die Code-Namen für die…

Weltweite Ausgaben für Security erreichen im Jahr 2018 96 Milliarden US-Dollar

Risiken in der IT-Security treiben das Wachstum der gesamten Ausgaben für Security an.   Laut dem IT-Research und Beratungsunternehmen Gartner steigen die weltweiten Ausgaben für Security im Jahr 2018 auf insgesamt 96,3 Milliarden US-Dollar – dies bedeutet einen Anstieg von 8 Prozent gegenüber 2017. Unternehmen geben künftig mehr für Security aus aufgrund eines gesteigerten Bewusstseins…

Wie positionieren sich die Anbieter von Cloud und Datacenter Security im deutschen Markt?

Der Schutz der Rechenzentren mit Firewalls und Virenscannern reichen nicht mehr aus. Virtuelle Umgebungen und Cloud Computing verlangen nach einem robusten Schutz. Attacken aus dem Internet werden immer intelligenter, um Daten auszuspionieren oder den Rechenzentrumsbetrieb lahmzulegen. Darüber hinaus stellt der Gesetzgeber Anforderungen, um die Sicherheit im hohen Maße zu garantieren. Unregelmäßigkeiten müssen fälschungssicher protokolliert werden.…

Wie positionieren sich die Anbieter im deutschen Markt für Database Security?

Der Datenbankschutz wird zu einem immer wichtigeren Thema. Es reicht nicht mehr aus, nur das Netzwerk abzusichern. Das wichtigste Gut im Unternehmen sind die Daten, und die gilt es zu schützen. Intelligente Zugriffsberechtigungen müssen dafür sorgen, dass kein unbefugter Mitarbeiter auf schützenswerte Daten zugreifen kann. Attacken können eben nicht nur von außen kommen, sondern auch…

Die unterschätzte Rolle der Mitarbeiter für eine tragfähige IT-Security-Strategie

Die Security Bilanz Deutschland stellt die Umsetzung von IT-Sicherheitsmaßnahmen in den Untersuchungsfokus und liefert im Ergebnis ein realitätsgetreues Bild vom Stand der IT- und Informationssicherheit in den Unternehmen des deutschen Mittelstands. IT- und Informationssicherheit lässt sich nicht zentral anordnen, sondern ist vielmehr ein Prozess, in den jeder Mitarbeiter eingebunden werden muss. Fast jeder Mitarbeiter trifft…

BSIMM: Ein Fahrplan in Richtung Softwaresicherheit

Das Building Security In Maturity-Modell ist ein Studiendesign zu real existierenden Software Security Initiatives, kurz SSIs [1]. Hier werden die Praktiken vieler verschiedener Unternehmen quantifiziert und hinsichtlich von Gemeinsamkeiten sowie individuellen Variationen beschrieben. Dadurch liefert der Bericht quasi ein Spiegelbild der Softwaresicherheit von Unternehmen rund um den Globus.   Die Ergebnisse sind zwar besonders relevant für Unternehmen, die Softwarekomponenten…

Trotz umfassender IT-Budgetkürzungen: Cybersicherheit bleibt Investitionspriorität

Auch während der Covid-19-Pandemie hat IT-Security wachsende Relevanz. Cybersicherheit hat auch 2020 für Unternehmen eine hohe Priorität hinsichtlich der Entscheidung für entsprechende Investitionen, wie eine aktuelle Kaspersky-Umfrage unter Entscheidungsträgern zeigt [1]. Ihr Anteil an den IT-Ausgaben ist bei KMUs von 23 Prozent im vergangenen Jahr auf 26 Prozent 2020 und bei großen Unternehmen im gleichen…

5 Mythen über Cyber Resilience

Angesichts der wachsenden Bedrohung durch Cyberangriffe wird Cyber Resilience für Unternehmen immer wichtiger. Erst 36 Prozent der Unternehmen haben bisher allerdings ein hohes Resilienz-Level erreicht – so eine aktuelle Studie von Frost & Sullivan und Greenbone Networks. Ist Cyber Resilience nur etwas für große Unternehmen mit hohen IT-Budgets? Elmar Geese, COO bei Greenbone, räumt mit…

Anwendungssicherheit: Kombination aus Mensch und Technik

2020 brachte zahlreiche Herausforderungen für Unternehmen. Viele Arbeitnehmer mussten aufgrund der COVID-19-Pandemie über Nacht von Zuhause arbeiten. Sie benötigen daher sichere Arbeitsumgebungen, die gleichzeitig den Zugang zu allen relevanten Anwendungen ermöglichen. Der Verizon 2020 Data Breach Investigations Report zeigte nun, dass Cyberkriminelle diese Umstellung ausnutzen, um neue Wege zu finden, Anwendungen anzugreifen. Um dies zu…