Home » News » Security Management » Warum der menschliche Risikofaktor die größte Bedrohung für die Cybersicherheit bleibt

Warum der menschliche Risikofaktor die größte Bedrohung für die Cybersicherheit bleibt

Nach der Analyse der Daten von mehr als 1.000 Security Awareness-Experten aus aller Welt, hat SANS Security Awareness, der weltweit führende Anbieter von Security-Awareness-Schulungen, seinen siebten jährlichen SANS Security Awareness Report veröffentlicht.

2 Min. Lesezeit
Foto: ©AdobeStock/VectorMine

Mehr als 69 Prozent der Fachleute für Security Awareness verbringen weniger als die Hälfte ihrer Zeit mit der Thematik. Die Daten zeigen, dass die Zuständigkeiten für die Security Awareness sehr häufig Mitarbeitern mit sehr technischem Hintergrund zugewiesen werden, denen es möglicherweise an den erforderlichen Fähigkeiten fehlt, um ihre Mitarbeiter in einfach zu verstehenden Begriffen wirksam zu informieren.

Nach der Analyse der Daten von mehr als 1.000 Security Awareness-Experten aus aller Welt, hat SANS Security Awareness, der weltweit führende Anbieter von Security-Awareness-Schulungen, seinen siebten jährlichen SANS Security Awareness Report veröffentlicht. Der Bericht für das Jahr 2022 legt aktualisierte globale Maßstäbe dafür fest, wie Unternehmen ihr menschliches Risiko managen, und bietet umsetzbare Schritte zur Verbesserung mit Hilfe von Schlüsselmetriken (Security Awareness Maturity Model Indicators Matrix), um den Fortschritt zu messen. „Menschen sind zum Hauptangriffsvektor für Cyber-Angreifer auf der ganzen Welt geworden“, so Lance Spitzner, SANS Security Awareness Director und Mitverfasser des Berichts. „Der Mensch und nicht die Technologie stellt das größte Risiko für Unternehmen dar, und die Fachleute, die Security Awareness-Programme betreuen, sind der Schlüssel zum effektiven Management dieses Risikos. Awareness-Programme versetzen Sicherheitsteams in die Lage, ihr menschliches Risiko effektiv zu managen, indem sie die Denkweise der Mitarbeiter über Cybersicherheit verändern und ihnen helfen, ein sicheres Verhalten an den Tag zu legen – vom Vorstand bis hinunter zum Mitarbeiter. Dieser Bericht ermöglicht es Sicherheitsfachleuten, datengestützte Entscheidungen darüber zu treffen, wie sie ihre Mitarbeiter am besten schützen können, und gegenüber der Unternehmensleitung auf überzeugende Weise über Risiken zu sprechen, die den Wert und die Unterstützung ihrer strategischen Prioritäten demonstriert.“

 

Wichtige Ergebnisse:

Neben der Fehlbesetzung von Verantwortlichen für die Security-Awareness-Schulungen nennt der Bericht weitere wichtige Resultate.

● Meistgenannte Herausforderungen:

Die drei am häufigsten genannten Herausforderungen beim Aufbau eines ausgereiften Awareness-Programms standen alle im Zusammenhang mit Zeitmangel: insbesondere Zeitmangel für das Projektmanagement, begrenzte Schulungszeit zur Einbindung der Mitarbeiter und Personalmangel.

● Auswirkungen einer Pandemie:

Die beiden am häufigsten genannten Auswirkungen waren die Herausforderung einer stärker abgelenkten und überforderten Belegschaft und ein Arbeitsumfeld, in dem Cyberangriffe auf Menschen häufiger und effektiver geworden sind.

● Programm-Reifegrad nach Region:

In allen Regionen der Welt ist der Reifegrad der aktuellen Programme am häufigsten auf die Einhaltung von Vorschriften und die Bewusstseins-/Verhaltensänderung ausgerichtet.

● Indikatoren für erfolgreiche Programme:

Starke Unterstützung durch die Geschäftsführung, eine größere Teamgröße und eine höhere Schulungsfrequenz sind die wichtigsten Faktoren für den Programmerfolg.

Für eine detailliertere Analyse steht der SANS Security Awareness Report 2022 hier (nach Angabe von persönlichen Daten kostenfrei) zum Download zur Verfügung.

 

Lance Spitzner
Foto: SANS Institute

„Die ausgereiftesten Security Awareness-Programme ändern nicht nur das Verhalten und die Kultur ihrer Mitarbeiter, sondern messen und demonstrieren ihren Wert für die Unternehmensführung anhand eines metrischen Rahmens“, so Lance Spitzner, SANS Security Awareness Director und Mitverfasser des Berichts.

Andere interessante News

Bitkom: Data Act braucht dringend Nachbesserungen

Das europäische Parlament hat das Datengesetz (Data Act) verabschiedet. Mit dem Data Act soll unter anderem der Datenaustausch zwischen Unternehmen und von Unternehmen an die öffentliche Hand vorangebracht werden. Er soll die Innovation fördern, indem Barrieren, die den Zugang zu industriellen Daten versperren, entfernt werden. Der Bitkom-Verband hält das neue Gesetz für zu schwammig und an vielen Stellen nicht zielführend.

Was für den Schutz vor russischen Bedrohungsakteuren jetzt wichtig ist

Das ukrainische CERT hat Berichte veröffentlicht, wonach der russische Bedrohungsakteur Gamaredon, auch bekannt als UAC-0010, Primitive Bear, BlueAlpha, ACTINIUM und Trident Ursa, seine Angriffsaktivitäten erneut hochfährt. Angeblich operiert die Gruppe von Sewastopol von der Krim aus und folgt den Anweisungen des FSB-Zentrums für Informationssicherheit in Moskau.

BSI-Studie: Onlineshops bergen oft Risiken

Kaum ein Unternehmen kann es sich heute noch leisten, auf die Präsentation der eigenen Produkte in einem Web-Shop zu verzichten. Bei der Wahl der Onlineshopping-Plattformen scheint jedoch Sicherheit nicht sehr weit oben zu stehen: Im Rahmen einer nun veröffentlichten Studie hat das BSI Software-Produkte für Onlineshops auf Schwachstellen untersucht und dabei insgesamt 78 Sicherheitslücken gefunden – teilweise mit gravierenden Auswirkungen auf das IT-Sicherheitsniveau von Daten der Verbraucherinnen und Verbraucher.