02.11.2020 – Kategorie: IT
Security-Awareness: 5 Mythen von simulierten Phishing-Kampagnen
Der Nutzen von Security-Awareness, wie simulierte Phishing-Kampagnen, wird derzeit viel diskutiert. Theoretische Untersuchungen bezweifeln den Nutzen dieser Maßnahmen und zeigen sogar, dass solche Kampagnen einen negativen Einfluss auf das Betriebsklima und die Vertrauenskultur haben können.
Der in der Schweiz ansässige Lucy Security hat in einer weltweiten Online-Studie „Nutzen und Herausforderungen von Cybersecurity-Awareness 2020“ Unternehmen nach dem praktischen Nutzen und den Herausforderungen von Security-Awareness befragt. Die meisten der befragten Unternehmen führen solche Awareness-Trainings erfolgreich durch. Auf Basis der Studienergebnisse räumt Palo Stacho, Mitgründer von Lucy Security, mit fünf Mythen bei simulierten Phishing-Kampagnen auf:
Mythos 1: Maßnahmen zur Security-Awareness erhöhen die IT-Sicherheit nicht
Falsch. Ganze 96 Prozent der Umfrageteilnehmer stimmen voll oder größtenteils zu, dass die Cybersecurity-Awareness ihrer Mitarbeiter in den letzten Monaten oder Jahren zugenommen hat. Gar 98 Prozent der Teilnehmer sind überzeugt, dass Security-Awareness-Maßnahmen echte Angriffe erschweren. Und 94 Prozent der Unternehmen äußern, dass durch die Maßnahmen die IT-Sicherheitsinfrastruktur gar gestärkt wird. Unsere Studie konnte beweisen, dass Cybersecurity-Awareness die Aufmerksamkeit erhöht und zur Unternehmenssicherheit beiträgt.
Mythos 2: Phishing-Simulationen verunsichern Mitarbeiter
Eine Behauptung, die gerne angebracht wird: Phishing-Simulationen sollen Ängste bei den Mitarbeitern verursachen. Die Umfrage bestätigt das nicht: Die Mehrheit von über 73 Prozent der Teilnehmer sagte aus, dass ihre Mitarbeiter durch die Maßnahmen nicht verunsichert wurden. Und das obwohl über die Hälfte der befragten Unternehmen (58 Prozent) die Phishing-Simulationen nicht vorher angekündigt haben.
Mythos 3: Phishing-Kampagnen wirken sich negativ auf das Betriebsklima aus
Unsere Studie hat bewiesen, dass bei 95 Prozent der Unternehmen die Maßnahmen gut bei den Mitarbeitern ankamen. Die Auswirkungen auf das Betriebsklima durch Phishing-Simulationen waren bei fast 11 Prozent der Teilnehmer stark positiv, bei 32 Prozent größtenteils positiv und bei 52 Prozent eher positiv. Zudem konnten wir feststellen, dass durch die Maßnahmen zur Security-Awareness das Vertrauen in die Geschäftsleitung gestärkt wurde. 89 Prozent der Befragten stimmten voll, größtenteils oder eher zu, dass das Vertrauen in die Leitung nicht in Frage gestellt wurde, wenn Phishing-Kampagnen durchgeführt wurden.
Mythos 4: Lieber in IT-Sicherheitslösungen als in Security-Awareness investieren
Wenn 92 Prozent der Befragten angeben, dass ein gleiches Sicherheitsniveau nicht aufrechterhalten werden kann, wenn die vorhandenen Ressourcen und Budgets ausschließlich in technische Sicherheitsmaßnahmen (Application Gateways, Firewalls oder Virenscanner etc.) investiert werden, dann ist das definitiv ein Mythos. Das heißt, Unternehmen steigern mit Security-Awareness signifikant ihre IT-Sicherheit. Ein Mehr an Technologie wird das nicht können.
Mythos 5: Phishing-Kampagnen haben negativen Einfluss auf die Fehlerkultur
Das ist eine falsche Annahme. Diese Aussage konnten wir durch unsere Studie vollständig widerlegen. Alle, ich betone gerne nochmals, 100 Prozent der befragten Unternehmen der Studie gaben an, dass Security-Awareness-Maßnahmen sich positiv auf die Fehlerkultur des Unternehmens auswirken. Zusammen mit dem weiter oben erwähnten Ergebnis, dass das Vertrauen der Unternehmensleitung nicht in Frage gestellt wird, kann behauptet werden, dass in den Unternehmen bei den Mitarbeitern eine sehr hohe Akzeptanz für Security-Awareness besteht.
Was ist unter Maßnahmen für die Security-Awareness zu verstehen?
Viele Unternehmen investieren heutzutage nicht nur in professionelle IT-Security-Lösungen, sondern auch in die Fortbildung und in bestimmte Maßnahmen für ihre Mitarbeiter, damit diese sicherheitsbewusster werden. Mitarbeiter müssen wissen, welche aktuellen Bedrohungsszenarien aus dem Internet kommen können. Ziel von Cybersecurity-Awareness-Lösungen ist daher der allgemeine Schutz des Unternehmens vor den Schäden der Cyberkriminalität. Erreicht wird dies anhand gezielter Schulung der Mitarbeiter. Durch interne Analysen hat Lucy Security festgestellt, dass richtig durchgeführte Awareness-Programme ein Unternehmen bis zu zehnmal sicherer machen können.
„Der Nutzen von Cybersecurity-Awareness geht viel weiter als nur besser ausgebildete Mitarbeiter und weniger Sicherheitsvorfälle. Mittelständische Unternehmen, Versicherungen und Firmen in der Healthcare-Branche, aber auch Behörden und Banken nutzen unsere Lösungen und bestätigen die positive Wirkung auf ihre IT-Sicherheit
Palo Stacho, Mitgründer und Head of Operations, Lucy Security
Lucy Security wurde 2015 gegründet und hat die Erfahrungen der Firmengründer im Bereich des ethischen Hacking in eine Schulungssoftware umgewandelt, mit der eine 360-Grad-Sicht auf die IT-Security-Schwachstellen in Unternehmen ermöglicht wird.
Lesen Sie auch: Social Engineering: Wie Security-Awareness-Training die Sicherheit erhöhen kann
Teilen Sie die Meldung „Security-Awareness: 5 Mythen von simulierten Phishing-Kampagnen“ mit Ihren Kontakten: