Anzeige

Anzeige

VERANSTALTUNGEN

DWX-Developer Week
24.06.19 - 27.06.19
In Nürnberg

4. Cyber Conference Week
01.07.19 - 05.07.19
In Online

IT kessel.19 – Der IT Fachkongress
04.07.19 - 04.07.19
In Messe Sindelfingen

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Anzeige

Anzeige

Security Awareness

Der SANS 2018 Security Awareness Report zeigt den Reifegrad der Security Awareness-Programme in Unternehmen auf und bietet praktische Handlungsempfehlungen auf Basis neuer Erkenntnisse. Die Studie zeigt, dass sich Programme zur Sensibilisierung für Cybersicherheit in den Unternehmen immer stärker durchsetzen, allerdings die für die Umsetzung verantwortlichen Fachleute aufgrund von Zeit, Budget und Ressourcen-Mängeln herausgefordert werden.

SANS Security Awareness, Anbieter im Bereich Security Awareness Training und eine Abteilung des SANS Institutes, gibt die Ergebnisse des Security Awareness Reports 2018 „Building Successful Security Awareness Programs“ bekannt. Die Studie zeigt, dass sich Programme zur Sensibilisierung für Cybersicherheit in den Unternehmen immer stärker durchsetzen, allerdings die für die Umsetzung verantwortlichen Fachleute aufgrund von Zeit, Budget und Ressourcen-Mängeln herausgefordert werden. Die Ergebnisse belegen einen klareren Zusammenhang zwischen dem Grad der Unterstützung für Security Awareness durch die Unternehmensführung und den Reifegrad der Programme.

„Angesichts der jüngsten Vorfälle, wie sie Equifax und Yahoo! getroffen haben, des WannaCry-Ransomware-Angriffs auf den National Health Service, sowie neuer Vorschriften wie der EU-Datenschutzgrundverordnung, die den Datenschutz in den Mittelpunkt stellen, gibt es ein neues Bewusstsein für die Dringlichkeit der Cybersicherheit. Das stärkt sowohl die Unterstützung als auch den Wandel“, erklärt Lance Spitzner, Leiter des Security Awareness-Programms des SANS Institutes. „Security Awareness kann eine Herausforderung sein, ist aber notwendig und die Mühe lohnt sich.“

Die Studie wurde in Zusammenarbeit mit den Forschern des Kogod Cybersecurity Governance Center (KCGC), einer Initiative der Kogod School of Business (KSB) an der American University, durchgeführt und zeigt:

  • 58 Prozent der Befragten Security Awareness-Fachkräfte berichten, dass ihre Arbeit bereits eine positive Auswirkung auf die Sicherheit in ihrem Unternehmen gezeigt hat.
     
  • Die Rüstungsindustrie ist die reifste mit über 10 Prozent auf der höchsten Stufe des Security Awareness-Reifegradmodells, während die verarbeitende Industrie mit nur 2 Prozent am wenigsten weit fortgeschritten ist.
     
  • Finanz- und Betriebsabteilungen sind mittlerweile die größten Hindernisse für den Aufbau oder die Weiterentwicklung eines Security Awareness-Programms. In den vergangenen Jahren gaben die Studienteilnehmer noch an, dass die Kommunikationsabteilungen ihre Sicherheits-Anstrengungen am meisten stören würden. Die Ergebnisse legen aber nahe, dass die Fachleute es geschafft haben, zu den Kommunikationsteams Brücken aufzubauen und sie zu sensibilisieren.
     
  • Die Mehrheit der Fachkräfte für Security Awareness kommen aus dem technischen Bereich. Weniger als 20 Prozent stammen aus nicht-technischen Bereichen wie der Unternehmenskommunikation, Marketing, Recht oder HR.

„Die Studie zeigt, dass eine klare Mehrheit (80 Prozent) der Sicherheitsexperten ihre Aktivitäten bezüglich des Awareness-Programms als nur einen Teil ihrer Gesamtverantwortung sehen“, sagt Dan DeBeaubien, Product Director für SANS Security Awareness. „Viele behaupten, kein Budget für ein Sensibilisierungsprogramm zu haben oder nicht zu wissen, wieviel Budget sie dafür haben (76 Prozent). Den meisten Verantwortlichen fehlen die Fähigkeiten oder der Hintergrund, um das Programm effektiv zu kommunizieren und mit der Belegschaft in Kontakt zu treten.“

Folgendes Hintergrundwissen hilft dabei, wirkungsvolle Security Awareness-Programme zu erstellen:

  • Die meisten Security Awareness-Programme benötigen mindestens 1,9 Vollzeitäquivalente, um das Verhalten der Belegschaft grundlegend zu ändern. Die ausgereiftesten Programme, die sowohl kulturelle Auswirkungen als auch ein Rahmenwerk haben, um den Erfolg zu messen, benötigen durchschnittlich 3,6 Vollzeitäquivalente.
     
  • Die Awareness-Beauftragten müssen sowohl das Budget als auch Partnerschaften nutzen, um die Zeit, die sie für die Verwaltung ihrer Programme haben, optimal zu nutzen.
     
  • Soft Skills wie Kommunikation und Marketing sind der Schlüssel, um das Verhalten der Mitarbeiter zu beeinflussen und zu verändern. Es sollte deshalb sichergestellt werden, dass mindestens eine Person der Security Awareness über diese Soft Skills verfügt oder eine Partnerschaft mit anderen Personen eingeht, die diese Kenntnisse mitbringen.
     
  • Während die Unterstützung für Sensibilisierungsprogramme weiter zunimmt, sind die Finanz- und Betriebsabteilungen die größten Blockierer. Die Security Awareness Teams müssen deshalb den Wert und die Wirkung ihres Programms unter unternehmerischen Aspekten kommunizieren und wichtige Abteilungen von Anfang an einbeziehen. Wer früh beteiligt wurde, wird eher zur Zusammenarbeit neigen, während spät einbezogene Personen eher kritisieren.
     
  • Um den Zeitmangel auszugleichen, sollte überlegt werden, sich Zeit zu erkaufen: Wer den Etat hat, kann beispielsweise darauf verzichten, den Newsletter selbst zu erstellen und andere beauftragen oder Material von anderen Anbietern lizenzieren. Je mehr delegiert wird, umso mehr Zeit bleibt für strategische Partnerschaften und den Aufbau des Kernprogramms.

Über die Studie:

Der SANS Security Awareness Report wurde entwickelt, um Sicherheitsexperten in die Lage zu versetzen, datengestützte Entscheidungen zur Verbesserung ihrer Security Awareness-Programme zu treffen und diese mit anderen Programmen zu vergleichen. Das Ziel ist zu zeigen, was große Security Awareness-Programme zu einem Erfolg macht. In diesem Jahr geben die Daten von über 1.718 Befragten einen noch besseren Einblick in die Bewertung und Weiterentwicklung eines Security Awareness Programms.

Der Bericht verwendet das Security Awareness Maturity Model als Leitfaden, um den Grad der Auswirkungen eines Programms auf die Organisation zu ermitteln - wie misst man das menschliche Risiko und beeinflusst das Verhalten der Endnutzer. Für detailliertere Analysen und Handlungsempfehlungen zur Verbesserung des Sicherheitsbewusstseins können Sie den SANS 2018 Security Awareness Report hier herunterladen.
 

GRID LIST
Cloud Security

Privileged Account Management wandert in die Cloud

Immer mehr Unternehmen beziehen Privileged Account Management-Lösungen (PAM) aus der…
DSGVO

Die Mehrheit hält die DSGVO nicht für eine Verbesserung

SUSE führte im April 2019 eine Google-Umfrage unter 2.000 erwachsenen Bundesbürgern…
Ablenkung

Future of Workplace: Die größten Ablenkungen im Büro

Internationale Umfrage von Future of Workplace zeigt die größten Ablenkungen im…
Mobile Payment

Mythos oder Fakt? Mobile Payment gilt als unsicher

Mobile Bezahldienste wie Apple Pay, Google Pay oder spezielle Apps drängen auf den Markt.…
E-Commerce Fraud

E-Commerce Unternehmen werden immer häufiger Opfer von Betrügern

CRIFBÜRGEL hat E-Commerce Unternehmen aus Deutschland, Österreich und der Schweiz zu…
Managed Service Provider

MSP fokussieren sich 2019 auf ihre Rolle als strategische Berater

Datto hat die dritte Ausgabe seines jährlichen Lageberichts zum Stand der MSP-Branche…