Programme zur Sensibilisierung für Cybersicherheit setzen sich in den Unternehmen immer stärker durch, allerdings stehen die für die Umsetzung verantwortlichen Fachleute aufgrund von Zeit, Budget und Ressourcen-Mängeln vor einigen Herausforderungen. Das zeigt der Security Awareness Report 2018 „Building Successful Security Awareness Programs“ von SANS Security Awareness, einem Anbieter im Bereich Security Awareness Training. Die Ergebnisse belegen einen klareren Zusammenhang zwischen dem Grad der Unterstützung für Security Awareness durch die Unternehmensführung und den Reifegrad der Programme.
„Angesichts der jüngsten Vorfälle, wie sie Equifax und Yahoo! getroffen haben, des WannaCry-Ransomware-Angriffs auf den National Health Service, sowie neuer Vorschriften wie der EU-Datenschutzgrundverordnung, die den Datenschutz in den Mittelpunkt stellen, gibt es ein neues Bewusstsein für die Dringlichkeit der Cybersicherheit. Das stärkt sowohl die Unterstützung als auch den Wandel“, erklärt Lance Spitzner, Leiter des Security Awareness-Programms des SANS Institutes. „Security Awareness kann eine Herausforderung sein, ist aber notwendig und die Mühe lohnt sich.“
Die Studie wurde in Zusammenarbeit mit den Forschern des Kogod Cybersecurity Governance Center (KCGC), einer Initiative der Kogod School of Business (KSB) an der American University, durchgeführt und zeigt:
- 58 Prozent der Befragten Security Awareness-Fachkräfte berichten, dass ihre Arbeit bereits eine positive Auswirkung auf die Sicherheit in ihrem Unternehmen gezeigt hat.
- Die Rüstungsindustrie ist die reifste mit über zehn Prozent auf der höchsten Stufe des Security Awareness-Reifegradmodells, während die verarbeitende Industrie mit nur zwei Prozent am wenigsten weit fortgeschritten ist.
- Finanz- und Betriebsabteilungen sind mittlerweile die größten Hindernisse für den Aufbau oder die Weiterentwicklung eines Security Awareness-Programms. In den vergangenen Jahren gaben die Studienteilnehmer noch an, dass die Kommunikationsabteilungen ihre Sicherheits-Anstrengungen am meisten stören würden. Die Ergebnisse legen aber nahe, dass die Fachleute es geschafft haben, zu den Kommunikationsteams Brücken aufzubauen und sie zu sensibilisieren.
- Die Mehrheit der Fachkräfte für Security Awareness kommen aus dem technischen Bereich. Weniger als 20 Prozent stammen aus nicht-technischen Bereichen wie der Unternehmenskommunikation, Marketing, Recht oder HR.
„Die Studie zeigt, dass eine klare Mehrheit (80 Prozent) der Sicherheitsexperten ihre Aktivitäten bezüglich des Awareness-Programms als nur einen Teil ihrer Gesamtverantwortung sehen“, sagt Dan DeBeaubien, Product Director für SANS Security Awareness. „Viele behaupten, kein Budget für ein Sensibilisierungsprogramm zu haben oder nicht zu wissen, wieviel Budget sie dafür haben (76 Prozent). Den meisten Verantwortlichen fehlen die Fähigkeiten oder der Hintergrund, um das Programm effektiv zu kommunizieren und mit der Belegschaft in Kontakt zu treten.“
Folgendes Hintergrundwissen hilft dabei, wirkungsvolle Security Awareness-Programme zu erstellen:
- Die meisten Security Awareness-Programme benötigen mindestens 1,9 Vollzeitäquivalente, um das Verhalten der Belegschaft grundlegend zu ändern. Die ausgereiftesten Programme, die sowohl kulturelle Auswirkungen als auch ein Rahmenwerk haben, um den Erfolg zu messen, benötigen durchschnittlich 3,6 Vollzeitäquivalente.
- Die Awareness-Beauftragten müssen sowohl das Budget als auch Partnerschaften nutzen, um die Zeit, die sie für die Verwaltung ihrer Programme haben, optimal zu nutzen.
- Soft Skills wie Kommunikation und Marketing sind der Schlüssel, um das Verhalten der Mitarbeiter zu beeinflussen und zu verändern. Es sollte deshalb sichergestellt werden, dass mindestens eine Person der Security Awareness über diese Soft Skills verfügt oder eine Partnerschaft mit anderen Personen eingeht, die diese Kenntnisse mitbringen.
- Während die Unterstützung für Sensibilisierungsprogramme weiter zunimmt, sind die Finanz- und Betriebsabteilungen die größten Blockierer. Die Security Awareness Teams müssen deshalb den Wert und die Wirkung ihres Programms unter unternehmerischen Aspekten kommunizieren und wichtige Abteilungen von Anfang an einbeziehen. Wer früh beteiligt wurde, wird eher zur Zusammenarbeit neigen, während spät einbezogene Personen eher kritisieren.
- Um den Zeitmangel auszugleichen, sollte überlegt werden, sich Zeit zu erkaufen: Wer den Etat hat, kann beispielsweise darauf verzichten, den Newsletter selbst zu erstellen und andere beauftragen oder Material von anderen Anbietern lizenzieren. Je mehr delegiert wird, umso mehr Zeit bleibt für strategische Partnerschaften und den Aufbau des Kernprogramms.
Quelle: SANS Security Awareness