Drei Tipps zum Aufbau eines effektiven Security-Awareness-Programms für Ihre Mitarbeiter | Proofpoint DE (2024)

Es gibt drei grundlegende Wahrheiten über die Cybersicherheit, die (bislang) unverändert gelten:

  1. Die meisten Datenschutzverletzungen gehen mit einer menschlichen Komponente einher. Der neueste Data Breach Investigations Report (DBIR) von Verizon weist darauf hin, dass mehr als drei Viertel (76 %) aller Datenschutzverletzungen mit einer menschlichen Komponente einhergehen.
  2. Phishing ist eine der häufigsten Taktiken für den Erstzugriff auf Unternehmensressourcen. Wie der DBIR zeigt, war Phishing im Jahr 2023 gleich nach gestohlenen Anmeldedaten die zweithäufigste Methode. (Interessant ist dabei, dass Anmeldedaten häufig zuerst bei Phishing-Angriffen verloren gehen.)
  3. Menschen sind bereit, Risiken einzugehen. Sie fallen häufig auf Angriffe herein, weil sie riskante Aktionen durchführen und beispielsweise auf Links klicken oder Anhänge von unbekannten Absendern öffnen. Untersuchungen für unseren State of the Phish 2024-Bericht zeigen, dass 68 % aller Anwender dieses Verhalten zeigen.

Angesichts dessen ist eine personenzentrierte Sicherheitsstrategie für den zuverlässigen Schutz von Unternehmen unverzichtbar. Auch das Minimieren von menschlichen Risiken sollte ein zentraler Faktor sein.

Dieser Cybersicherheitsansatz geht davon aus, dass technische Lösungen zwar unverzichtbar sind, für sich allein jedoch nicht ausreichen, weil menschliches Verhalten direkt berücksichtigt werden muss. Wenn Sie ein Awareness-Programm aufbauen, das Bedrohungsdaten nutzt und Anwendern Hilfsmittel zur Abwehr von Phishing-Angriffen in die Hand gibt, erzielen Sie messbare Ergebnisse.

In diesem Blog geben wir Ihnen drei Tipps, mit denen Sie sofort ein Security-Awareness-Schulungsprogramm aufbauen und so das Verhalten Ihrer Anwender ändern können.

Tipp 1: Priorisieren Sie besonders riskante Anwendergruppen

Personenzentrierte Cybersicherheit beginnt mit einem Überblick darüber, welche Personen das größte Risiko in Ihrem Unternehmen darstellen. Häufig verursachen die Aktionen eines sehr kleinen Anteils der Angestellten die meisten Sicherheitszwischenfälle. Wenn Sie verstehen, von wem die größten Risiken ausgehen, können Sie die Wirkung Ihres Programms maximieren und die Resilienz dieser Personen verbessern.

Für unseren State of the Phish 2024-Bericht wollten wir von IT-Sicherheitsexperten wissen, von wem ihrer Meinung nach das größte Risiko für ihr Unternehmen ausgeht: Am häufigsten nannten sie Anwender mit Zugang zu kritischen Daten (privilegierte Anwender).

Drei Tipps zum Aufbau eines effektiven Security-Awareness-Programms für Ihre Mitarbeiter | Proofpoint DE (1)

Ein Diagramm von Anwendern, die in ihrem Unternehmen ein Risiko darstellen. (Quelle: „State of the Phish 2024“-Bericht von Proofpoint.)

Berechtigungsrisiken sind ein wichtiger Faktor bei der Einschätzung des personenbezogenen Gesamtrisikos. Dabei wird der Schaden berücksichtigt, der durch einen erfolgreichen Angriff entstehen kann. Weitere wichtige Faktoren sind aber auch:

  • Angriffsrisiko: Je häufiger eine Person in der jüngeren Vergangenheit angegriffen wurde, desto größer ist die Wahrscheinlichkeit eines Angriffs in naher Zukunft.
  • Schwachstellenrisiko: Die Wahrscheinlichkeit, dass ein Angriff auf eine Person erfolgreich ist. Zur Ermittlung dieses Risikofaktors ist es wichtig, das Anwenderverhalten bei realen sowie simulierten Angriffen (einschließlich Klicks auf URLs in Live-E-Mails) sowie das Abschneiden bei Wissenstests zum Sicherheitsbewusstsein und Phishing-Simulationen zu erfassen.

Dank Proofpoint ist es kein Problem, die personenbezogenen Risiken zu ermitteln und herauszufinden, wer das größte Risiko in Ihrem Unternehmen darstellt. Zum Nachverfolgen dieser Risiken in Bezug auf die drei zentralen Faktoren Berechtigungen, Angriffe und Schwachstellen müssen unsere Kunden nicht mehr auf manuelle Prozesse zurückgreifen, sondern können stattdessen Proofpoint Nexus People Risk Explorer (NPRE) einsetzen.

Diese Lösung erfasst das Verhalten und die Identitätsinformationen jeder Person, um eine individuelle Anwenderrisikobewertung zu erstellen. Basierend darauf werden die Anwender automatisch gruppiert. Dank der NPRE-Informationen zu Anwenderrisiken lässt sich leicht feststellen, welche Gruppen die größte Aufmerksamkeit benötigen und welche Schulungsmaßnahmen die größte Wirkung versprechen.

Drei Tipps zum Aufbau eines effektiven Security-Awareness-Programms für Ihre Mitarbeiter | Proofpoint DE (2)

Das Dashboard von Proofpoint Nexus People Risk Explorer.

Tipp 2: Gestalten Sie Ihr Programm flexibel

Die Bedrohungslandschaft wirkt sich auf jedes Unternehmen anders aus. Der Vergleich eines Finanzdienstleisters mit einem Fertigungsunternehmen zeigt, dass letzteres häufiger mit Ransomware als mit Supply-Chain-basierten BEC-Angriffen attackiert wird.

Ihr Programm sollte flexibel sein, damit Sie es leicht an die dynamische Bedrohungslandschaft anpassen können. Der nächste Tipp für maximalen Schulungseffekt ist die kontinuierliche Überwachung von Bedrohungen, die Ihre Anwender angreifen.

Beispiel: Sie überwachen eine hochriskante Gruppe von Very Attacked People™ (VAPs). Die Personen in dieser Gruppe werden weitaus häufiger angegriffen als durchschnittliche Anwender, und laut den Bedrohungsinformationen kommen dabei Phishing-Köder zum Einsatz, die sich auf Finanzdienstleister beziehen. Unten sehen Sie ein Beispiel dafür, wie Proofpoint Targeted Attack Protection Sie bei der Überwachung von VAPs unterstützt.

Drei Tipps zum Aufbau eines effektiven Security-Awareness-Programms für Ihre Mitarbeiter | Proofpoint DE (3)

Das Dashboard von Proofpoint Targeted Attack Protection (TAP).

Mithilfe dieser Daten können Sie Ihr Security-Awareness-Schulungsprogramm optimal anpassen. In diesem Fall wären das Phishing-Simulationen zu aktuellen Angriffen, die sich auf Banken beziehen.

Drei Tipps zum Aufbau eines effektiven Security-Awareness-Programms für Ihre Mitarbeiter | Proofpoint DE (4)

Drei Tipps zum Aufbau eines effektiven Security-Awareness-Programms für Ihre Mitarbeiter | Proofpoint DE (5)

Beispiele für Phishing-Köder, die Finanzdienstleister nachahmen.

Je nachdem, wie Anwender bei diesen Ködern abschneiden und welche Rollen und Zuständigkeiten sie haben, wissen Sie nun, mit welchen Schulungsinhalten ihre realen Verhaltensweisen verbessert werden können.

Drei Tipps zum Aufbau eines effektiven Security-Awareness-Programms für Ihre Mitarbeiter | Proofpoint DE (6)

Beispiel für ein Schulungsmodul von Proofpoint Security Awareness.

Wenn Sie Anwendern relevante Security-Awareness-Schulungen bereitstellen, die reale Angriffe krimineller Akteure thematisieren, trägt das zur Festigung des Gelernten bei. Wenn sie sich sicherer darin fühlen, diese Angriffe zu erkennen, werden sie verdächtige Aktivitäten schneller melden.

Tipp 3: Bieten Sie Anwendern Tools zum Melden von Phishing-Angriffen an

Sobald Sie Tipps 1 und 2 implementieren und Ihren Anwendern relevante Schulungen zu realen Angriffen zeitnah bereitstellen, verbessert sich auch deren Wissen. Anstatt einfach nicht auf Angriffe zu reagieren, werden sie in der Lage sein, diese Angriffe aktiv zu melden.

Daher ist es wichtig, ein benutzerfreundliches Tool zum Melden verdächtiger E-Mails bereitzustellen. Proofpoint ist Partner von Microsoft und stellt eine integrierte PhishAlarm-Schaltfläche zum Melden verdächtiger E-Mails bereit.

Drei Tipps zum Aufbau eines effektiven Security-Awareness-Programms für Ihre Mitarbeiter | Proofpoint DE (7)

Ein Screenshot der PhishAlarm-Schaltfläche „Report Phish“ (Phishing melden) von Proofpoint.

PhishAlarm wird von Google Workspace und allen Versionen der Microsoft Outlook-Clients unterstützt, einschließlich der neuesten Outlook-Versionen und Outlook für Microsoft 365. In der neuen Version von Microsoft Outlook kann die PhishAlarm-Schaltfläche die vorhandene Microsoft-Schaltfläche zur E-Mail-Meldung direkt ersetzen. Dadurch wird im Outlook-Ribbon nur noch eine entsprechende Schaltfläche angezeigt und Verwirrung aufseiten der Anwender vermieden.

Ein wichtiges Unterscheidungsmerkmal ist, dass Proofpoint Cloud Threat Response die gemeldete Nachricht analysiert und die Untersuchung für unsere Kunden automatisiert, damit deren Administratoren entlastet werden. Die Lösung nutzt unsere branchenweit führenden Bedrohungsdaten und kann in Kombination mit unserer Funktion Proofpoint Closed-Loop Email Analysis and Response (CLEAR) die schädliche Nachricht aus jedem Posteingang im gesamten Unternehmen entfernen, sodass Bedrohungen automatisch beseitigt werden.

Pflege einer Kultur der Wachsamkeit

Ohne ein effektives Security-Awareness-Programm für Ihre Mitarbeiter ist es kaum möglich, die Herausforderungen der heutigen Cybersicherheitslandschaft zu bewältigen. Konzentrieren Sie sich auf hochriskante Anwendergruppen, pflegen Sie bei der Schulung von Anwendern einen flexiblen Ansatz und stellen Sie ihnen Tools bereit, mit denen sie Phishing-Angriffe melden können. In ihrer Kombination können diese Maßnahmen die Sicherheitslage Ihres Unternehmens erheblich verbessern.

Wenn Sie Ihre Mitarbeiter auf diese Weise unterstützen, reduzieren Sie das Risiko von Datenschutzverletzungen und fördern eine Kultur der Wachsamkeit sowie des proaktiven Schutzes vor Cyberbedrohungen. Durch das Implementieren der Tipps in diesem Beitrag gewährleisten Sie, dass Ihr Security-Awareness-Programm umfassend ist und flexibel auf die dynamische Bedrohungslandschaft reagieren kann. Insgesamt können diese Maßnahmen helfen, Ihr Unternehmen resilienter und sicherer zu machen.

Wenn Sie weiterhin Schwierigkeiten haben, die Anfälligkeit der Anwender für Phishing zu verringern, kann Proofpoint Sie unterstützen. Kontaktieren Sie uns noch heute.

Drei Tipps zum Aufbau eines effektiven Security-Awareness-Programms für Ihre Mitarbeiter | Proofpoint DE (2024)

FAQs

What is the purpose of a security awareness program quizlet? ›

C) Security awareness programs are designed to remind users of appropriate behaviors. D) A poster reminding users not to write their password down is an example of an awareness program. Awareness is training.

What is the purpose of a security awareness program? ›

Introduction. A security awareness program is a formal program with the goal of training users of the potential threats to an organization's information and how to avoid situations that might put the organization's data at risk.

How effective is the security awareness program? ›

By teaching your team how to spot and handle threats, you can cut down on data breaches and security incidents. Our study on the effects of using Proofpoint Security Awareness showed that many companies saw up to a 40% decrease in the number of harmful links clicked by users.

What is the most important IT security awareness training topic? ›

Safe Internet Practices

Ensure cybersecurity awareness training addresses best practices like trusting websites with secure HTTPS connections, not downloading files or software from untrusted sources, and being mindful of what information employees share on social media or networking platforms like LinkedIn.

What is the main purpose of security program? ›

Security Program Purpose

Security programs are critical to proactively protecting data while maintaining compliance with best practice and regulatory requirements, as well as customer standards. Today, the risk and frequency of incidents and breaches are higher than ever before.

What is the primary objective of security awareness? ›

Security awareness training teaches employees how to protect their organization's assets, data and financial resources. By reducing the likelihood of security incidents and breaches, organizations can minimize their financial losses and maintain a more secure and resilient environment.

What are the 5 reasons why security is important? ›

Security measures enhance safety, prevent incidents, protect property, and contribute to the overall well-being of individuals and communities. Let's appreciate the efforts of security professionals and work together to create a secure and harmonious society for everyone to thrive in.

How do you create an effective security awareness program? ›

8 Tips for Developing a Security Awareness Program
  1. 1) Establish Security Policies. ...
  2. 2) Train and Train Again. ...
  3. 3) Fight the Phone Scams. ...
  4. 4) Don't Let Staff Take the Phishing Bait. ...
  5. 5) Supplement with Software. ...
  6. 6) Stay Informed. ...
  7. 7) Be Creative, Not Scary. ...
  8. 8) Less Is More.

What are two major components of a security awareness program? ›

There are three core elements to a successful program:
  • All-Hands Training (Yearly). ...
  • Security Tips (Monthly). ...
  • Threat Simulations (Intermittently).

How can security awareness be improved? ›

Here are five ways to help bolster information security awareness.
  1. Expand Training Beyond Dry Theoretical Content. ...
  2. Make Security Awareness Integral to Company Culture. ...
  3. Stay Independently Informed. ...
  4. Avoid a Blame Culture. ...
  5. Hold Annual Information Security Awareness Days.
Mar 4, 2024

What are the three components of an effective security program? ›

The CIA triad refers to an information security model made up of the three main components: confidentiality, integrity and availability. Each component represents a fundamental objective of information security.

What are the benefits of security awareness training? ›

Security awareness training helps organizations lower the chances of data breaches, viruses getting into their systems, and falling for scams like phishing. By giving employees the know-how to stay safe online, you can keep their information secure and protected from cyberattacks.

How a good security awareness training should be? ›

It would mean establishing a curriculum that covers the most security threats and maintains the security regularly. Security awareness training should include Social Engineering, spear phishing, phishing, and other cyber-attacks. Organizations can establish training programs when onboarding a new employee.

How to demonstrate security awareness? ›

5 Tips to Implement Security Awareness at Your Company
  1. Make sure you have Policies and Procedures in place. ...
  2. Learn about and train employees on How to Properly Manage Sensitive Data. ...
  3. Understand Which Security Tools You Actually Need. ...
  4. Prepare your employees to Respond to a Data Breach. ...
  5. Know Your Compliance Mandates.

What is most important for a successful information security program? ›

Confidentiality — Only authenticated and authorized individuals can access data and information assets. Integrity — Data should be intact, accurate and complete, and IT systems must be kept operational. Availability — Users should be able to access information or systems when needed.

What is the purpose of a security awareness program What advantage does an awareness program have for the InfoSec program? ›

Security awareness training helps organizations lower the chances of data breaches, viruses getting into their systems, and falling for scams like phishing. By giving employees the know-how to stay safe online, you can keep their information secure and protected from cyberattacks.

What should the goal of a security program be quizlet? ›

Security - the three goals of information security are Confidentiality, Integrity, and Availability.

What is the purpose of the Opsec program? ›

The purpose of OPSEC is to prevent adversaries from obtaining sensitive information that can be used maliciously. This is done by identifying Critical Information and Indicators, known as CII, and implementing safeguards for protection.

What is the first objective of the security awareness program is to prepare the employees for following? ›

Security awareness training helps protect the organization's data, systems, and networks from malicious attacks and cyber threats. It helps employees understand the importance of cybersecurity and teaches them how to identify potential threats and respond appropriately.

References

Top Articles
Latest Posts
Article information

Author: Rev. Leonie Wyman

Last Updated:

Views: 6263

Rating: 4.9 / 5 (79 voted)

Reviews: 86% of readers found this page helpful

Author information

Name: Rev. Leonie Wyman

Birthday: 1993-07-01

Address: Suite 763 6272 Lang Bypass, New Xochitlport, VT 72704-3308

Phone: +22014484519944

Job: Banking Officer

Hobby: Sailing, Gaming, Basketball, Calligraphy, Mycology, Astronomy, Juggling

Introduction: My name is Rev. Leonie Wyman, I am a colorful, tasty, splendid, fair, witty, gorgeous, splendid person who loves writing and wants to share my knowledge and understanding with you.