Thought Leadership
Security Awareness Trainings sind beim MSSP Network Box seit vielen Jahren fester Bestandteil ganzheitlicher IT-Sicherheitskonzepte. Wir sprechen mit Geschäftsführer Dariush Ansari über den konkreten Nutzen von Security Awareness, wie die Erfolge messbar werden und wie Systemhäuser ihren Kunden Security Awareness anbieten können, auch wenn sie nicht über das Know-How oder Personal verfügen.
Dariush, wie überzeugt ihr Unternehmen von der Wichtigkeit von Security Awareness?
Dariush Ansari: Die meisten Unternehmen haben verstanden, dass Mitarbeitende angreifbar sind und die wichtigste Rolle für ganzheitlichen IT- Schutz spielen; und dass Security Awareness längst keine freiwillige Option, sondern ein Muss geworden ist. Cybervorfälle gelten als Geschäftsrisiko Nummer 1, dabei starten 90 Prozent aller Attacken beim Faktor Mensch. Viele der Unternehmen sind entweder selbst bereits Opfer gewesen und wissen daher, wovon wir sprechen, oder kennen andere Unternehmen, die einen Cyberangriff erlebt haben.
Nicht ohne Grund gilt die Nachweispflicht im Rahmen der DSGVO, ISO-Standards, Cyber-Versicherer und ISMS. Vor jedem Security Awareness Training führen wir ein Onboarding- Gespräch, bei dem wir uns einen Überblick über die Unternehmenskultur, Arbeitsabläufe und Altersstrukturen verschaffen. Hier klären wir mögliche Bedenken und Fragen und entwickeln einen Awareness-Lehrplan, mit dem die Mitarbeitenden Teil des Sicherheitskonzepts werden.
Wie nutzen Cyberkriminelle die Schwachstelle Mensch denn aktuell aus?
Dariush Ansari: Die häufigste Form der Cyberkriminalität ist und bleibt das Phishing in allen Varianten: per SMS, QR-Code oder E-Mail, als Massenmails nach dem Zufallsprinzip oder gezielte Angriffe. Cyberkriminelle nutzen dafür gerne aktuelle, emotionale Themen, die Menschen in ihrer Gutmütigkeit dazu verleiten, auf einen Angriff entsprechend „falsch“ zu reagieren.
Kann man den Erfolg einer Security Awareness Schulung messen?
Dariush Ansari: Ja, der Erfolg ist messbar. Grundvoraussetzung ist die Regelmäßigkeit und Aktualität der Trainings. Wir bieten nach unseren Phishing-Simulationen anonymisierte Auswertungen zu dem Anteil der angeklickten Links und schadhaften Anhängen, die geöffnet wurden, aber auch zu der Teilnahmequote der eLearnings. So lässt sich die Wirkung der Trainings genau belegen und ebenso zeigt sich, zu welchen Themen noch Schulungsbedarf besteht. Weiterhin geben wir den Mitarbeitenden ein Outlook-Plugin an die Hand, mit dem sie Spam und Phishing-Emails markieren können. Steigen die Markierungen, ist das ein Beleg dafür, dass die Menschen aktiver und aufmerksamer hinterfragen.
Was können Systemhäuser tun, wenn sie nicht über das Know-how oder Personal im Bereich Security Awareness verfügen?
Dariush Ansari: Sie suchen sich einen Managed Security Service Provider — so wie uns. Wir übernehmen den Bereich Security Awareness für mittlerweile über 500 Systemhauspartner deutschlandweit. Dazu gehört die Planung, Kontrolle und Durchführung von Phishing-Simulationen, einer eLearning-Plattform mit immer neuen Schulungsmodulen, auf Wunsch im CI des Systemhauses, Materialien am Arbeitsplatz, Newsletter und Reportings. Dabei entscheidet das Systemhaus, ob sie die Kundenkorrespondenz selbst abdecken möchten und wir im Hintergrund agieren, oder ob wir auch diesen Part übernehmen sollen.
Dariush, wir danken für das Gespräch.
