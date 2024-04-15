Die neuesten Ergebnisse des IBM X-Force Threat Intelligence Index Berichts zeigen eine Veränderung in den Taktiken der Angreifer. Anstatt auf traditionelle Hacking-Methoden zurückzugreifen, hat es einen signifikanten Anstieg von 71 % bei Angriffen gegeben, bei denen Kriminelle gültige Anmeldedaten ausnutzen, um in Systeme einzudringen. Die Nutzung von Informationsdiebstählen hat sich um sage und schreibe 266 % erhöht, was ihre Rolle bei der Beschaffung dieser Zugangsdaten und Anmeldedaten unterstreicht. Das Ziel ist klar: den Weg des geringsten Widerstands auszunutzen, oft über ahnungslose Mitarbeiter, um gültige Zugangsdaten zu erhalten.
Unternehmen haben Millionen in die Entwicklung und Implementierung modernster Technologien investiert, um ihre Abwehr gegen solche Bedrohungen zu stärken, und viele haben bereits Kampagnen zur Sensibilisierung für IT-Sicherheit durchgeführt. Warum gelingt es uns also nicht, diese Angriffe zu stoppen?
Die meisten Programme zur Sensibilisierung für IT-Sicherheit liefern den Mitarbeitern heute Informationen über den Umgang mit Daten, DSGVO-Regeln und häufige Bedrohungen wie Phishing.
Allerdings hat dieser Ansatz eine große Schwäche: Die Programme berücksichtigen das menschliche Verhalten nicht. Sie folgen in der Regel einem Standardansatz, bei dem die Mitarbeiter eine jährliche generische computergestützte Schulung mit einigen ansprechenden Animationen und einem kurzen Quiz absolvieren.
Zwar werden hier notwendige Informationen vermittelt, doch die Eile bei Schulungen und der fehlende persönliche Bezug haben oft zum Ergebnis, dass die Mitarbeiter die Informationen innerhalb von nur 4-6 Monaten wieder vergessen. Dies lässt sich durch Daniel Kahnemans Theorie zur menschlichen Kognition erklären. Nach dieser Theorie verfügt jeder Mensch über einen schnellen, automatischen und intuitiven Denkprozess, der als System 1 bezeichnet wird. Menschen besitzen außerdem einen langsamen, überlegten und analytischen Denkprozess, der als System 2 bezeichnet wird.
Traditionelle Programme zur Sensibilisierung für IT-Sicherheit zielen primär auf System 2 ab, da die Informationen rational verarbeitet werden müssen. Ohne ausreichende Motivation, Wiederholung und persönliche Bedeutung gehen die Informationen jedoch meist zum einen Ohr rein und zum anderen wieder raus.
Nahezu 95 % des menschlichen Denkens und der Entscheidungsfindung werden von System 1, unserer gewohnten Denkweise, gesteuert. Wir Menschen werden täglich mit Tausenden von Aufgaben und Reizen konfrontiert, und ein Großteil unserer Verarbeitung erfolgt automatisch und unbewusst durch Verzerrungen und Heuristiken. Der durchschnittliche Mitarbeiter arbeitet im Autopilotmodus. Um sicherzustellen, dass Cybersicherheit in seine täglichen Entscheidungen einfließen, müssen wir Programme entwickeln und aufbauen, die seine intuitive Arbeitsweise wirklich verstehen.
Um menschliches Verhalten zu verstehen und wie man es ändern kann, müssen wir einige Faktoren bewerten und messen, unterstützt durch das COM-B Behavior Change Wheel.
Sobald wir diese drei Bereiche verstanden und bewertet haben, können wir Bereiche für Verhaltensänderungen identifizieren und Interventionen entwickeln, die auf das intuitive Verhalten der Mitarbeiter abzielen. Letztlich hilft dieser Ansatz Unternehmen dabei, durch die Entwicklung einer stärker auf Cybersicherheit eingestellten Belegschaft eine erste Verteidigungslinie aufzubauen.
Sobald die eigentlichen Ursachen für Verhaltensprobleme identifiziert sind, verlagert sich der Fokus ganz natürlich auf den Aufbau einer Sicherheitskultur. Die größte Herausforderung in der Cybersicherheitskultur von heute ist die Angst vor Fehlern und Fehlverhalten. Diese Denkweise fördert oft eine negative Wahrnehmung von Cybersicherheit, was zu niedrigen Abschlussquoten bei Schulungen und minimaler Verantwortlichkeit führt. Dieser Ansatz erfordert einen Wandel, aber wie können wir ihn erreichen?
In erster Linie sollten wir unsere Herangehensweise an Initiativen überdenken und uns von einem ausschließlich auf Bewusstsein und Compliance ausgerichteten Modell wegbewegen. Zwar sind Schulungen zum Sicherheitsbewusstsein nach wie vor unerlässlich und sollten nicht vernachlässigt werden, aber wir sollten unsere Schulungsmethoden diversifizieren, um eine positivere Kultur zu fördern. Neben einer umfassenden organisatorischen Schulung sollten wir rollenspezifische Programme anbieten, die erfahrungsorientiertes Lernen und Gamification beinhalten, wie z. B. die ansprechende Cyber-Reichweite, die von IBM X-Force unterstützt wird. Darüber hinaus können unternehmensweite Kampagnen die Idee einer positiven Kultur stärken, indem sie Aktivitäten wie den Aufbau eines Netzwerks von Cybersicherheits-Champions oder die Ausrichtung von Bewusstseinsmonaten mit vielfältigen Veranstaltungen umfassen.
Sobald diese Initiativen ausgewählt und umgesetzt sind, um eine positive und robuste Cybersicherheitskultur zu fördern, ist es unerlässlich, dass sie von allen Ebenen des Unternehmens unterstützt werden – von der Führungsebene bis hin zu Berufseinsteigern. Nur wenn es eine einheitliche, positive Botschaft gibt, können wir die Kultur in Unternehmen wirklich verändern.
Nachdem wir nun die Verhaltensherausforderungen identifiziert und ein Programm zur Förderung einer positiven Unternehmenskultur umgesetzt haben, besteht der nächste Schritt darin, Metriken und Parameter für den Erfolg festzulegen. Um die Effektivität unseres Programms zu beurteilen, müssen wir eine grundlegende Frage beantworten: Inwieweit haben wir das Risiko eines Cybersicherheitsvorfalls aufgrund menschlicher Fehler gemindert? Es ist wichtig, einen umfassenden Satz von Metriken festzulegen, mit denen die Risikominderung und der Gesamterfolg des Programms gemessen werden können.
Traditionell haben sich Unternehmen auf Methoden wie Phishing-Kampagnen und Kompetenztests gestützt, allerdings mit gemischten Ergebnissen. Ein moderner Ansatz ist die Risikoquantifizierung, eine Methode, die dem menschlichen Risiko, das mit einem bestimmten Szenario verbunden ist, einen finanziellen Wert zuweist. Durch die Integration solcher Metriken in unser Sicherheitskulturprogramm können wir dessen Erfolg bewerten und es im Laufe der Zeit kontinuierlich verbessern.
Die sich verändernde Landschaft der Cybersicherheit erfordert einen umfassenden Ansatz, der den entscheidend menschlichen Faktor berücksichtigt. Unternehmen müssen eine positive Kultur der Cybersicherheit kultivieren, die durch das Engagement der Führungskräfte und innovative Initiativen unterstützt wird. Dies sollte mit effektiven Metriken gekoppelt werden, um den Fortschritt zu messen und den Wert zu demonstrieren.
IBM bietet eine Reihe von Services an, die unseren Kunden dabei helfen, ihre Programme vom Bewusstsein auf das menschliche Verhalten auszurichten. Wir helfen Ihnen, die Maßnahmen Ihrer Unternehmen an die Motivation und Gewohnheiten Ihrer Mitarbeitenden anzupassen und unterstützen Sie dabei, eine resiliente erste Verteidigungslinie gegen neue Bedrohungen zu schaffen, indem jeder Einzelnen dazu befähigt wird, ein proaktiver Wächter der Cybersicherheit zu sein.
