Warum Standard-KPIs aus Security Awareness Tools Ihre Sicherheitskultur nicht vollständig abbilden

Jedes Unternehmen wünscht sich eine starke Sicherheitskultur! Um diese zu erreichen, müssen die Mitarbeitenden regelmässig in Sachen Informationssicherheit geschult und sensibilisiert werden. Dabei ist es unerlässlich, sich messbare Ziele zu setzen - und dazu braucht es Kennzahlen. Die meisten Anbieter stellen in ihren Schulungs- und Phishing-Tools solche Kennzahlen zur Verfügung, die einen guten Überblick über die durchgeführten Schulungen geben. Das allein reicht jedoch leider nicht aus. Um Ihre Sicherheitskultur nachhaltig zu stärken, braucht es mehr: Mit unserem Security Awareness Radar® haben wir eine Lösung für Sie.

Es gibt nichts Praktischeres, als sich zur Stärkung der Sicherheitskultur an einen externen Anbieter zu wenden. Dieser stellt sämtliche Schulungsmaterialien wie E-Learning, Erklärvideos, Phishingsimulationen, etc. zur Verfügung und Sie kümmern sich um Ihr Tagesgeschäft. Sie als CISO oder Sicherheitsbeauftragter verarbeiten die Ihnen zur Verfügung gestellten Kennzahlen in einen Bericht, um dem Management einen Überblick über die Resultate der durchgeführten Schulungen zu präsentieren.

Dabei ist vielen nicht bewusst, dass diese Kennzahlen zumeist nur wenig über die bestehende, gelebte Sicherheitskultur im Unternehmen aussagen. Doch welche Kennzahlen sind notwendig, um mehr über die das Sicherheitsverhalten beeinflussenden Faktoren erfahren zu können? Warum sollten Sie diese Kennzahlen kennen? Reicht es nicht aus, die Kennzahlen aus den Schulungstools zu verwenden? Wieso ist es sinnvoll, weitere Kennzahlen und Metriken zu ermitteln? Wie geht man am besten vor?

In diesem Blogbeitrag liefern wir begründete Antworten zu all diesen Fragen.

Welche Kennzahlen werden in Schulungstools erhoben?

Je nach Anbieter oder Schulungstool unterscheiden sich die Kennzahlen. Die meisten erheben jedoch folgende Daten:

Bei E-Learnings und Kampagnen

• Thema des E-Learnings oder der Kampagnen
• Anzahl eingeladene Mitarbeitende
• Anzahl abgeschlossener Kurse
• Anzahl aktive Kurse
• Anzahl abgebrochener Kurse
• Anzahl nicht begonnener Kurse
• Start- und Enddatum der Kampagne oder des E-Learnings
• Durchschnittliche Dauer der Kursbearbeitung
• Bereichsspezifische Auswertungen.
• Durchschnittliche Dauer zwischen dem Erhalt der Einladungs-E-Mail und dem Beginn des E-Learning.

Bei Phishing-Simulationen

• Anzahl zugestellter Phishing-Simulations-E-Mails
• Anzahl geöffneter Anhänge in den Phishing-Simulations-E-Mails
• Anzahl geklickte Links in den Phishing-Simulations-E-Mails
• Anzahl gemeldeter simulierter Phishing-E-Mails
• Anzahl nicht zugestellter Phishing-Simulations-E-Mails
• Anzahl nicht geöffneter Phishing-Simulations-E-Mails
• Reaktionszeit nach Erhalt der Phishing-Simulations-E-Mails
• Datum und Uhrzeit von geöffneten Phishing-Simulations-E-Mails
• Welcher Bereich hat wie abgeschlossen?

Was sagen diese Kennzahlen aus?

Alle aufgeführten Kennzahlen können dazu dienen, Compliance-Anforderungen zu erfüllen, ein Audit vorzubereiten oder bei einer Zertifizierung zu unterstützen. Oft werden sie auch gerne als Rückmeldung und zur Rechtfertigung weiterer Schritte ans Management weitergegeben. Sie zeigen, was trainiert wurde, wie die Mitarbeitenden dabei abgeschnitten haben und wie sich die Erfolgsrate entwickelt.

Die Kennzahlen geben auch Auskunft darüber, wie viele Mitarbeitende durch die Kampagnen erreicht wurden und wie viele davon eine Schulung erfolgreich abgeschlossen haben. Darüber hinaus erhalten Sie folgende Informationen:

1. Klickrate auf die Phishing-Simulations-E-Mail, einen Link oder Anhang: Die Klickrate auf einen Link gibt z. B. an, wie viele Mitarbeitende auf einen möglichen schädlichen Link geklickt haben. Je höher der Prozentsatz der Mitarbeitenden ist, die auf den Link geklickt haben, desto höher ist der Schulungsbedarf. Das Gleiche gilt für Klicks auf den Anhang oder das Öffnen der Phishing-Simulations-E-Mail.
2. Erkennungsrate von Phishing-Simulations-E-Mails: Die Erkennungsrate gibt an, wie viele Mitarbeitende in der Lage sind, eine Phishing-E-Mail zu erkennen und als solche zu kennzeichnen. Eine höhere Erkennungsrate deutet darauf hin, dass die Mitarbeitenden besser auf mögliche Bedrohungen vorbereitet sind.
3. Die Zeit bis zur Meldung: Wie schnell eine verdächtige E-Mail von den Mitarbeitenden gemeldet wird, nachdem sie entdeckt wurde, gibt auch Aufschluss über den Wissensstand der Mitarbeitenden. Eine schnelle Meldung deutet darauf hin, dass die Mitarbeitenden besser auf mögliche Bedrohungen reagieren können.
4. Schulungsbeteiligung: Die Schulungsbeteiligung gibt an, wie viele Mitarbeitende an der Schulung teilgenommen haben. Eine hohe Teilnahme kann bedeuten, dass die Schulung für die Mitarbeitenden relevant und nützlich war.
5. Fehlerquote: Die Fehlerquote gibt an, wie oft die Mitarbeitenden Phishing-Simulations-E-Mails nicht erkannt haben. Eine niedrige Fehlerquote zeigt, dass die Schulung erfolgreich war und die Mitarbeitenden besser in der Lage sind, mögliche Bedrohungen zu erkennen. Es kann aber auch bedeuten, dass die Phishing-E-Mail-Simulationen zu einfach waren.
6. Feedback der Mitarbeitenden: Das Feedback der Mitarbeitenden zeigt an, wie nützlich und relevant sie die Schulung fanden. Ein positives Feedback bedeutet, dass die Schulung den Bedürfnissen und Erwartungen der Mitarbeitenden entspricht.

Werden noch andere Kennzahlen angeschaut, wie z. B. die Anzahl gemeldeter Sicherheitsvorfälle oder tatsächlicher Phishing-E-Mails, kann eine Aussage getroffen werden, ob die Schulungen im Arbeitsalltag etwas verbessert haben. Je mehr Mitarbeitende eine Schulung (E-Learnings, Phishing-Simulationen, Kampagnen) erfolgreich absolviert haben, desto genauer zeigt die Tendenz an, ob die Schulung das Sicherheitsbewusstsein verbessert.

Dabei ist jedoch zu beachten: Alle Kennzahlen sind Momentaufnahmen. Sie spiegeln den Kenntnisstand der Mitarbeitenden zu einem bestimmten Zeitpunkt wider. Aus diesem Grund sollten die Kennzahlen nicht isoliert, sondern in Verbindung mit weiteren relevanten KPIs betrachtet werden.

Wie nützlich sind die Kennzahlen in Hinblick auf weitere Schulungen?

Die Kennzahlen geben Hinweis darauf, welche Themen vertieft geschult werden sollten. Es lässt sich ebenfalls feststellen, ob in bestimmten Bereichen oder Regionen ein erhöhter Schulungsbedarf zu einem konkreten Thema besteht.

Durch die erhobenen Kennzahlen kann der Erfolg der aktuellen Schulung besser beurteilt werden. Unter Umständen helfen die Daten auch, mögliche Schwachstellen zu identifizieren. Diese lassen sich dann entsprechend verbessern.

An wen richten sich die Kennzahlen?

Die Kennzahlen aus den Schulungstools sind vor allem für CISOs und Sicherheitsverantwortliche interessant, da sie diese für die Berichte an das Management und die Geschäftsleitung verwenden können. Das Management und die Geschäftsleitung sind in der Regel an aktuellen Zahlen interessiert, die unmittelbar nach einer Massnahme deren Wirksamkeit aufzeigen. Dies hat oft auch einen finanziellen Hintergrund, da es aufgrund erfolgreicher Zahlen wahrscheinlicher ist, dass weitere Gelder für erneute Schulungsmassnahmen bewilligt werden.

Sagen die Kennzahlen aus den Schulungstools etwas über die Sicherheitskultur im Unternehmen aus?

Das ist tatsächlich ein Schwachpunkt der Kennzahlen aus den Schulungstools, denn eine Sicherheitskultur bezieht sich auf die Einstellung, Überzeugung und Verhaltensweise von Mitarbeitenden und Führungskräften in Bezug auf die Informationssicherheit im Unternehmen. Die Kennzahlen können zwar einen Hinweis auf die Sicherheitskultur im Unternehmen geben, jedoch stellen sie nur eine Momentaufnahme dar, da sie unmittelbar nach einer Schulung erhoben wurden. Sie geben somit gute Hinweise zu den Schulungen selbst, sagen aber zu wenig darüber aus, wie die Sicherheitskultur im Unternehmen gelebt wird. Bei kontinuierlich durchgeführten Schulungen wie Phishing-Simulationen stimmt das nur bedingt, da diese konkretere Aussagen über das Verhalten der Mitarbeitenden erlauben.

Spezifischere Aussagen über das Verhalten und die gelebte Kultur in Bezug auf Informationssicherheit können mit Schulungstools allein nicht erhoben werden. Als Beispiel kann hier genannt werden, dass man aufgrund von KPIs aus einem Schulungstool nach einem «Clear Desk und Clear Screen»-Training nicht erkennen kann, ob die Weisungen dazu aktiv umgesetzt, Bildschirme gesperrt und Arbeitsplätze aufgeräumt hinterlassen werden.

Wenn Mitarbeitende gut geschult sind und sich der Bedeutung von Informationssicherheit bewusst sind, werden sie eher auf Bedrohungen achten und Sicherheitsprotokolle befolgen. Wenn Mitarbeitende jedoch häufig Sicherheitsprotokolle ignorieren oder nicht angemessen darauf reagieren, kann dies auf eine Schwäche in der Sicherheitskultur des Unternehmens hindeuten.

Um eine langfristige Verbesserung der Sicherheitskultur zu erreichen, ist es daher sinnvoll, weitere Kennzahlen zu erheben.

Welche zusätzlichen Kennzahlen gibt es, um die Sicherheitskultur in einem Unternehmen zu messen?

Die Fragen von Sicherheitskulturumfragen, wie z. B. die Umfrage mit unserem Security Awareness Radar®, zielen viel mehr auf das Verhalten der Mitarbeitenden ab. Einerseits wie sie sich selbst verhalten, aber auch welches Verhalten sie bei ihren Kolleginnen und Kollegen beobachten, z. B., ob sie den PC beim Verlassen des Arbeitsplatzes sperren oder nicht.

Die Schulungsthemen spiegeln sich in der Sicherheitskulturumfrage wider. Die Umfrage beleuchtet das Verhalten der Mitarbeitenden jedoch viel tiefer.

Um eine Sicherheitskultur richtig zu verstehen und diese entsprechend verbessern zu können, sollten Fragen nicht nur zur Schulung selbst erhoben werden, sondern z. B. auch darüber, wie die Organisationskultur und -struktur wahrgenommen wird oder wie die Kommunikation und Vorbildfunktion innerhalb des Unternehmens gelebt wird: Wie wird mit Problemen umgegangen? Wie sind die Werte und Einstellungen der Mitarbeitenden in Bezug auf Informationssicherheit?

‍

Weitere Vorteile, wenn Sie Ihre Sicherheitskultur messen

• Benchmarking: Ein externes Benchmarking, also der Vergleich mit anderen Unternehmen der gleichen Branche und ähnlicher Grösse zeigt auf, wie man im Vergleich zu den Mitbewerbern dasteht. Ein internes Benchmarking erlaubt den Vergleich über verschiedene Bereiche oder Regionen hinweg und kann so präziser aufzeigen, welche Themen wo verstärkt geschult werden müssen.
• Vorbildfunktion stärken: Stellt sich beispielsweise bei einer Befragung zur Sicherheitskultur heraus, dass das Management und die Führungskräfte Sicherheit nicht oder zu wenig vorleben, weiss der CISO, dass diese Personengruppe verstärkt geschult werden muss. Dies wiederum fördert sicheres Verhalten auch bei den Mitarbeitenden. Denn warum soll ich meinen PC sperren, wenn es mein Vorgesetzter nicht tut?
• Feedback ist wichtig: Wenn diese Befragungen zudem quantitativer und qualitativer Natur sind, d. h., wenn die Teilnehmenden die Möglichkeit haben, über ein Kommentarfeld Feedback zu geben, können noch mehr interessante Informationen gesammelt werden. So kann z. B. aus den Kommentaren hervorgehen, dass sich die Mitarbeitenden generell mehr Schulungen zum Thema Sicherheit wünschen.

Macht es demnach Sinn, auch die Sicherheitskultur zu messen?

Ja, auf jeden Fall! Die Kennzahlen aus den Schulungstools sind zwar gut und geben wichtige Hinweise zu den Schulungen selbst. Sie sagen aber zu wenig darüber aus, ob und wie eine Sicherheitskultur im Unternehmen gelebt wird.

Eine gelebte Sicherheitskultur erhöht die Sicherheit, welche von der «Human Firewall» ausgeht, deutlich. Als CISO oder Sicherheitsverantwortlicher erhält man dadurch noch mehr wissenswerte Informationen darüber, wer, was und wie geschult werden muss. Welche Themen sind relevant? Welche Bereiche oder Regionen brauchen mehr schulische Aufmerksamkeit?

In jedem Fall ist es wichtig, seine Mitarbeitenden regelmässig über verschiedene Kanäle mit attraktiven und wertvollen Inhalten zu schulen. Dies erhöht die Sicherheitskultur und das sichere Verhalten der Mitarbeitenden deutlich und trägt somit zur Stärkung der «Human Firewall» bei.

Mit dem Security Awareness Radar® die Sicherheitskultur messen

Unser Security Awareness Radar® zeigt nicht nur auf, welche Faktoren massgebend das Sicherheitsverhalten beeinflussen und wo mögliche Schwachstellen bezüglich Informationssicherheit und Sicherheitskultur im Unternehmen bestehen, sondern liefert auch konkrete Massnahmenvorschläge, welche zur Verbesserung ergriffen werden können. Diese Massnahmenvorschläge zeigen unter anderem auch auf, ob und wie ein Thema zur ISO-Zertifizierung beiträgt.

‍

Wird eine Messung regelmässig durchgeführt, beispielsweise alle 2 Jahre, so wird die Veränderung und Weiterentwicklung der Sicherheitskultur sichtbar. Dies hilft dabei, dem Management den langfristigen Erfolg von Schulungsmassnahmen aufzuzeigen.

Möchten Sie mehr über die Funktionsweise des Security Awareness Radar® (SAR®) erfahren? Lesen Sie darüber in unserem Blogbeitrag.

Fazit

Die Kennzahlen der Schulungsanbieter geben Ihnen einen guten Überblick über den Erfolg der durchgeführten Schulungen. Sie geben jedoch zu wenig Auskunft darüber, ob und wie eine Sicherheitskultur im Unternehmen gelebt wird. Um dies herauszufinden, bedarf es einer tiefer gehenden Messung. Mit unserem Security Awareness Radar® steht Ihnen dafür ein nützliches Analyse- und Planungstool zur Verfügung. Es unterstützt Sie und Ihr Unternehmen dabei, Ihre Sicherheitskultur nachhaltig zu stärken.

Sie möchten Ihre Sicherheitskultur messen lassen? Dann zögern Sie nicht und vereinbaren Sie noch heute einen Termin mit einem unserer Berater. Wir freuen uns darauf, mit Ihnen gemeinsam Ihre Sicherheitskultur zu verbessern.

‍

‍

Abonnieren Sie jetzt unseren Newsletter und verpassen Sie keine Neuigkeiten und Blogs mehr zum Thema Informationssicherheit und Security Awareness. Anmeldung über das untenstehende Formular.