2024 / Awareness

Security Awareness Metriken – Wie man Sicherheitsbewusstsein misst

Ein großer Aspekt der Cybersicherheit betrifft auch den Menschen. In Unternehmen sind es die Mitarbeiter, die ausschlaggebend dafür verantwortlich sind, wie es um die Sicherheit der IT-Systeme bestellt ist. Hierbei spielen Security Awareness Metriken eine wichtige Rolle, da sie helfen, das Sicherheitsbewusstsein zu messen. Ohne ihr Know-how, aber auch ohne ihr Sicherheitsbewusstsein, wäre so gut wie jede Organisation problemlos zu hacken, weshalb der Wert dieses Wissens erst einmal verstanden werden muss.

Doch wie lässt sich solch ein Sicherheitsgefühl messen, um es vergleichbar und interpretierbar zu gestalten sowie bewerten zu können? Welche Cybersecurity Awareness Metriken gibt es und was sagen diese darüber aus, wie sicher ein Unternehmen aufgestellt ist? Ein spannendes Thema, fanden wir, und haben es in den Mittelpunkt des heutigen Artikels gerückt. Schauen wir uns das alles also noch einmal etwas genauer an.

Metriken als Beleg für das Sicherheitsbewusstsein

Durch den Wandel zur Digitalität gibt es für nahezu alles eine entsprechende Metrik, die hinterlegt, analysiert und dargestellt werden kann. Wenig überraschend trifft dies auch auf Security Awareness Metriken zu. Es gibt nämlich durchaus Metriken, die das Sicherheitsbewusstsein in Unternehmen entsprechend genau darlegen können. Diese werden mitunter aber gerne mal unterschätzt oder schlichtweg vernachlässigt.

Dabei spielt gerade das Sammeln solcher Daten eine entscheidende Rolle, wenn die Cybersecurity in Unternehmen erhöht oder optimiert werden soll. Nur wer weiß, welcher Ist-Zustand gerade herrscht, kann daran arbeiten, den kommenden Status noch einmal maßgeblich zu verbessern.

Wir empfehlen die folgenden fünf Metriken in Bezug auf die Cybersicherheit, welche Sie unbedingt im Auge behalten sollten. Diese sind oft ausschlaggebend dafür, wie gut es um die Sicherheit im entsprechenden Unternehmen bestellt ist.

1. Phishing-Klickrate

Phishing über entsprechende E-Mails ist in allen uns bekannten Unternehmen an der Tagesordnung. Es findet schlichtweg statt und das auch in beträchtlich großer Zahl. Und zwar aus dem einfachen Grund, da es hervorragend funktioniert. Die Phishing-Klickrate, also die Klickrate auf entsprechende Mails, ist somit eine ausgezeichnete Metrik, um das Problem zu visualisieren und tracken zu können.

2. Sicherheitsvorfälle

Wie viele Sicherheitsvorfälle werden im Unternehmen tatsächlich gemeldet? Wie hoch ist das Bewusstsein bei Mitarbeitern, verdächtige Aktivitäten wirklich bis zu einer Meldung voranzutreiben? Und wie hoch ist die Validität dieser Meldungen, also inwieweit können Sicherheitsvorfälle auch in der IT belegt und bestätigt werden? Diese Metrik gibt sehr viel preis über die Security Awareness im jeweiligen Unternehmen und wie gut die Berichterstattung bezüglich der Cybersicherheit tatsächlich funktioniert.

3. Richtlinienverstöße

Wenn Mitarbeiter im Unternehmen Verstöße gegen die Sicherheitsrichtlinien durchführen, dann stimmt etwas nicht. Meist fehlt es schlichtweg an Security Awareness, die Mitarbeiter wurden also nicht umfassend genug in diesem Bereich geschult. Von nichts kommt nichts, wie es so schön heißt, und das ist auch beim Thema Cybersicherheit der Fall. Die Metrik verdeutlicht also in erster Linie, dass es an notwendigen Schulungen und Trainings fehlt, die Mitarbeiter über Sicherheitsrisiken in ihrem Verhalten entsprechend aufklären und weiterbilden.

4. Trainings & Schulungen

Eine Metrik, die nicht nur die Zahl solcher Workshops, Schulungen, Weiterbildungen und Security Awareness Trainings wiedergibt, sondern auch die Anzahl derer, die teilgenommen haben, hilft ebenfalls sehr. Durch die Metrik wird deutlich, wie hoch das interne Interesse an dem Thema Sicherheit ist und wie viele erstmalig oder wiederholt teilgenommen haben. Mit solchen Metriken lässt sich relativ einfach feststellen, wie hoch der Bedarf an Sicherheitstrainings ausfällt.

5. Geräteüberwachung

Ein Unternehmensnetzwerk ist nur dann sicher, wenn es auch die Geräte sind, die darauf zugreifen. Hieran hapert es leider oft und auch das liegt daran, dass bei den Mitarbeitern ein mangelndes Sicherheitsbewusstsein herrscht. Die Geräteüberwachung ermöglicht es, Metriken zu erfassen, die ausschlaggebend dafür sind, sicherzustellen, dass nur gesicherte Geräte auf das Netzwerk im Unternehmen zugreifen. Und falls nicht, wie viele Mitarbeiter mit ungesicherten Geräten darauf zugreifen.

Nutzen der Security Awareness Metriken

Die Security Awareness Metriken sollen in erster Linie Schwachstellen in der Unternehmenssicherheit aufzeigen. Beispielsweise lässt sich durch sie evaluieren, wie hoch der Bedarf an Security Awareness Trainings oder Weiterbildungen ausfällt. Auch der Ist-Zustand lässt sich anhand der Metriken wunderbar ablesen, sodass schnell klar wird, an welchem Punkt sich das jeweilige Unternehmen gerade befindet.

Speziell wenn es darum geht, Mitarbeiter für das Thema der Cybersicherheit zu sensibilisieren, erfüllen die Security Awareness Metriken ihren Zweck. Sie zeigen sehr genau die offenen Schwachstellen auf und legen auf diese Weise nahe, wann es an der Zeit ist, etwas zu unternehmen oder wie es allgemein in Bezug auf die Sicherheitsmaßnahmen beschert ist. Einzelne Stichproben sind oft wenig aussagekräftig, die Metriken jedoch lügen in der Regel nicht, da sie eine valide Datenbasis verwenden.

Auf diese Weise werden Schwachstellen effektiv geschlossen, während die Sicherheitskultur und das Bewusstsein im Unternehmen noch einmal deutlich ansteigen. Außerdem sorgen sie für feste Messungen, was dann wiederum die Security Awareness fördert, da Mitarbeiter wissen, worauf sie achten müssen und verstehen, dass diese Werte im Unternehmen auch entsprechend getrackt werden. Damit werden Security Awareness Metriken essenziell wichtig, um die Cybersicherheit in Organisationen auf lange Sicht aufrechtzuerhalten und eine Kultur unter den Mitarbeiter zu erzeugen, die dieses Sicherheitsverständnis weiter fördert.

Wie wir mit Security Awareness Metriken arbeiten

Wir finden quantitative Verfahren zur Messung und Steigerung der Security Awareness erst einmal sehr positiv. Wer in Unternehmen die Cybersicherheit verbessern möchte, benötigt zunächst einmal Metriken, mit denen diese analysiert und ein Ist-Zustand aufgezeichnet werden kann. Diesen Anspruch erfüllen die Security Awareness Metriken mehr als gut.

Mit Ihnen wird die Cybersicherheit in Unternehmen messbar und somit analysierbar. Auch wir versuchen daher immer wieder Möglichkeiten zu evaluieren, solche Metriken noch weiter auszubauen, zu verfeinern oder genauer messen zu lassen. Hier kommt es jedoch stark auf die jeweiligen Unternehmen an und darauf, wo der tatsächliche Sicherheitsbedarf besteht. Individuelle Lösungen sind wichtig, statt einfach nur das zu nutzen, was alle verwenden.

Am Ende sind wir der Meinung, dass einfache Schulungen und Security Awareness Trainings zwar bedeutungsvoll, aber nicht allein wichtig sind. Es braucht mehr, um eine Sicherheitskultur in Unternehmen zu erschaffen und die Sicherheit in Organisationen ganzheitlich nachverfolgen zu können.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.