Jedes Unternehmen wünscht sich eine starke Sicherheitskultur! Um diese zu erreichen, müssen die Mitarbeitenden regelmässig in Sachen Informationssicherheit geschult und sensibilisiert werden. Dabei ist es unerlässlich, sich messbare Ziele zu setzen - und dazu braucht es Kennzahlen. Die meisten Anbieter stellen in ihren Schulungs- und Phishing-Tools solche Kennzahlen zur Verfügung, die einen guten Überblick über die durchgeführten Schulungen geben. Das allein reicht jedoch leider nicht aus. Um Ihre Sicherheitskultur nachhaltig zu stärken, braucht es mehr: Mit unserem Security Awareness Radar® haben wir eine Lösung für Sie.
Es gibt nichts Praktischeres, als sich zur Stärkung der Sicherheitskultur an einen externen Anbieter zu wenden. Dieser stellt sämtliche Schulungsmaterialien wie E-Learning, Erklärvideos, Phishingsimulationen, etc. zur Verfügung und Sie kümmern sich um Ihr Tagesgeschäft. Sie als CISO oder Sicherheitsbeauftragter verarbeiten die Ihnen zur Verfügung gestellten Kennzahlen in einen Bericht, um dem Management einen Überblick über die Resultate der durchgeführten Schulungen zu präsentieren.
Dabei ist vielen nicht bewusst, dass diese Kennzahlen zumeist nur wenig über die bestehende, gelebte Sicherheitskultur im Unternehmen aussagen. Doch welche Kennzahlen sind notwendig, um mehr über die das Sicherheitsverhalten beeinflussenden Faktoren erfahren zu können? Warum sollten Sie diese Kennzahlen kennen? Reicht es nicht aus, die Kennzahlen aus den Schulungstools zu verwenden? Wieso ist es sinnvoll, weitere Kennzahlen und Metriken zu ermitteln? Wie geht man am besten vor?
In diesem Blogbeitrag liefern wir begründete Antworten zu all diesen Fragen.
Je nach Anbieter oder Schulungstool unterscheiden sich die Kennzahlen. Die meisten erheben jedoch folgende Daten:
Bei E-Learnings und Kampagnen
Bei Phishing-Simulationen
Alle aufgeführten Kennzahlen können dazu dienen, Compliance-Anforderungen zu erfüllen, ein Audit vorzubereiten oder bei einer Zertifizierung zu unterstützen. Oft werden sie auch gerne als Rückmeldung und zur Rechtfertigung weiterer Schritte ans Management weitergegeben. Sie zeigen, was trainiert wurde, wie die Mitarbeitenden dabei abgeschnitten haben und wie sich die Erfolgsrate entwickelt.
Die Kennzahlen geben auch Auskunft darüber, wie viele Mitarbeitende durch die Kampagnen erreicht wurden und wie viele davon eine Schulung erfolgreich abgeschlossen haben. Darüber hinaus erhalten Sie folgende Informationen:
Werden noch andere Kennzahlen angeschaut, wie z. B. die Anzahl gemeldeter Sicherheitsvorfälle oder tatsächlicher Phishing-E-Mails, kann eine Aussage getroffen werden, ob die Schulungen im Arbeitsalltag etwas verbessert haben. Je mehr Mitarbeitende eine Schulung (E-Learnings, Phishing-Simulationen, Kampagnen) erfolgreich absolviert haben, desto genauer zeigt die Tendenz an, ob die Schulung das Sicherheitsbewusstsein verbessert.
Dabei ist jedoch zu beachten: Alle Kennzahlen sind Momentaufnahmen. Sie spiegeln den Kenntnisstand der Mitarbeitenden zu einem bestimmten Zeitpunkt wider. Aus diesem Grund sollten die Kennzahlen nicht isoliert, sondern in Verbindung mit weiteren relevanten KPIs betrachtet werden.
Die Kennzahlen geben Hinweis darauf, welche Themen vertieft geschult werden sollten. Es lässt sich ebenfalls feststellen, ob in bestimmten Bereichen oder Regionen ein erhöhter Schulungsbedarf zu einem konkreten Thema besteht.
Durch die erhobenen Kennzahlen kann der Erfolg der aktuellen Schulung besser beurteilt werden. Unter Umständen helfen die Daten auch, mögliche Schwachstellen zu identifizieren. Diese lassen sich dann entsprechend verbessern.
Die Kennzahlen aus den Schulungstools sind vor allem für CISOs und Sicherheitsverantwortliche interessant, da sie diese für die Berichte an das Management und die Geschäftsleitung verwenden können. Das Management und die Geschäftsleitung sind in der Regel an aktuellen Zahlen interessiert, die unmittelbar nach einer Massnahme deren Wirksamkeit aufzeigen. Dies hat oft auch einen finanziellen Hintergrund, da es aufgrund erfolgreicher Zahlen wahrscheinlicher ist, dass weitere Gelder für erneute Schulungsmassnahmen bewilligt werden.
Das ist tatsächlich ein Schwachpunkt der Kennzahlen aus den Schulungstools, denn eine Sicherheitskultur bezieht sich auf die Einstellung, Überzeugung und Verhaltensweise von Mitarbeitenden und Führungskräften in Bezug auf die Informationssicherheit im Unternehmen. Die Kennzahlen können zwar einen Hinweis auf die Sicherheitskultur im Unternehmen geben, jedoch stellen sie nur eine Momentaufnahme dar, da sie unmittelbar nach einer Schulung erhoben wurden. Sie geben somit gute Hinweise zu den Schulungen selbst, sagen aber zu wenig darüber aus, wie die Sicherheitskultur im Unternehmen gelebt wird. Bei kontinuierlich durchgeführten Schulungen wie Phishing-Simulationen stimmt das nur bedingt, da diese konkretere Aussagen über das Verhalten der Mitarbeitenden erlauben.
Spezifischere Aussagen über das Verhalten und die gelebte Kultur in Bezug auf Informationssicherheit können mit Schulungstools allein nicht erhoben werden. Als Beispiel kann hier genannt werden, dass man aufgrund von KPIs aus einem Schulungstool nach einem «Clear Desk und Clear Screen»-Training nicht erkennen kann, ob die Weisungen dazu aktiv umgesetzt, Bildschirme gesperrt und Arbeitsplätze aufgeräumt hinterlassen werden.
Wenn Mitarbeitende gut geschult sind und sich der Bedeutung von Informationssicherheit bewusst sind, werden sie eher auf Bedrohungen achten und Sicherheitsprotokolle befolgen. Wenn Mitarbeitende jedoch häufig Sicherheitsprotokolle ignorieren oder nicht angemessen darauf reagieren, kann dies auf eine Schwäche in der Sicherheitskultur des Unternehmens hindeuten.
Um eine langfristige Verbesserung der Sicherheitskultur zu erreichen, ist es daher sinnvoll, weitere Kennzahlen zu erheben.
Die Fragen von Sicherheitskulturumfragen, wie z. B. die Umfrage mit unserem Security Awareness Radar®, zielen viel mehr auf das Verhalten der Mitarbeitenden ab. Einerseits wie sie sich selbst verhalten, aber auch welches Verhalten sie bei ihren Kolleginnen und Kollegen beobachten, z. B., ob sie den PC beim Verlassen des Arbeitsplatzes sperren oder nicht.
Die Schulungsthemen spiegeln sich in der Sicherheitskulturumfrage wider. Die Umfrage beleuchtet das Verhalten der Mitarbeitenden jedoch viel tiefer.
Um eine Sicherheitskultur richtig zu verstehen und diese entsprechend verbessern zu können, sollten Fragen nicht nur zur Schulung selbst erhoben werden, sondern z. B. auch darüber, wie die Organisationskultur und -struktur wahrgenommen wird oder wie die Kommunikation und Vorbildfunktion innerhalb des Unternehmens gelebt wird: Wie wird mit Problemen umgegangen? Wie sind die Werte und Einstellungen der Mitarbeitenden in Bezug auf Informationssicherheit?
Ja, auf jeden Fall! Die Kennzahlen aus den Schulungstools sind zwar gut und geben wichtige Hinweise zu den Schulungen selbst. Sie sagen aber zu wenig darüber aus, ob und wie eine Sicherheitskultur im Unternehmen gelebt wird.
Eine gelebte Sicherheitskultur erhöht die Sicherheit, welche von der «Human Firewall» ausgeht, deutlich. Als CISO oder Sicherheitsverantwortlicher erhält man dadurch noch mehr wissenswerte Informationen darüber, wer, was und wie geschult werden muss. Welche Themen sind relevant? Welche Bereiche oder Regionen brauchen mehr schulische Aufmerksamkeit?
In jedem Fall ist es wichtig, seine Mitarbeitenden regelmässig über verschiedene Kanäle mit attraktiven und wertvollen Inhalten zu schulen. Dies erhöht die Sicherheitskultur und das sichere Verhalten der Mitarbeitenden deutlich und trägt somit zur Stärkung der «Human Firewall» bei.
Unser Security Awareness Radar® zeigt nicht nur auf, welche Faktoren massgebend das Sicherheitsverhalten beeinflussen und wo mögliche Schwachstellen bezüglich Informationssicherheit und Sicherheitskultur im Unternehmen bestehen, sondern liefert auch konkrete Massnahmenvorschläge, welche zur Verbesserung ergriffen werden können. Diese Massnahmenvorschläge zeigen unter anderem auch auf, ob und wie ein Thema zur ISO-Zertifizierung beiträgt.
Wird eine Messung regelmässig durchgeführt, beispielsweise alle 2 Jahre, so wird die Veränderung und Weiterentwicklung der Sicherheitskultur sichtbar. Dies hilft dabei, dem Management den langfristigen Erfolg von Schulungsmassnahmen aufzuzeigen.
Möchten Sie mehr über die Funktionsweise des Security Awareness Radar® (SAR®) erfahren? Lesen Sie darüber in unserem Blogbeitrag.
Die Kennzahlen der Schulungsanbieter geben Ihnen einen guten Überblick über den Erfolg der durchgeführten Schulungen. Sie geben jedoch zu wenig Auskunft darüber, ob und wie eine Sicherheitskultur im Unternehmen gelebt wird. Um dies herauszufinden, bedarf es einer tiefer gehenden Messung. Mit unserem Security Awareness Radar® steht Ihnen dafür ein nützliches Analyse- und Planungstool zur Verfügung. Es unterstützt Sie und Ihr Unternehmen dabei, Ihre Sicherheitskultur nachhaltig zu stärken.
Sie möchten Ihre Sicherheitskultur messen lassen? Dann zögern Sie nicht und vereinbaren Sie noch heute einen Termin mit einem unserer Berater. Wir freuen uns darauf, mit Ihnen gemeinsam Ihre Sicherheitskultur zu verbessern.
Abonnieren Sie jetzt unseren Newsletter und verpassen Sie keine Neuigkeiten und Blogs mehr zum Thema Informationssicherheit und Security Awareness. Anmeldung über das untenstehende Formular.