Cybeready, Anbieter von Security Awareness-Schulungen, hat umfangreiche Forschungen auf der Grundlage von Millionen seiner Schulungsdaten der letzten fünf Jahre durchgeführt. Die Daten stellen eine direkte Verbindung zwischen der Dauer, die ein Mitarbeiter in einem Unternehmen arbeitet, und seinem Cybersicherheitsrisiko her. Die Auswertung zeigt, dass neue Mitarbeiter regelmässig zu Verhaltensweisen mit höherem Sicherheitsrisiko neigen als Mitarbeiter, die schon länger im Unternehmen arbeiten.
Die neuen Erkenntnisse unterstreichen die Bedeutung der Lernkurve der Mitarbeiter und ihre Auswirkungen auf das Cybersicherheitsrisiko. Auf Basis der Daten wurden die Mitarbeiter nach ihrem Risikolevel in drei Hauptkategorien gruppiert (niedriges, mittleres und hohes Risiko). Dabei ist vorausgesetzt, dass jeder Mitarbeiter kontinuierlich und regelmässig geschult wird – mindestens eine kurze Trainingseinheit pro Mitarbeiter pro Monat. Die Auswertung machte deutlich, dass neuen Mitarbeitern während der ersten sechs Monate in einem Unternehmen oft ein Basistraining angeboten wird, um eine gewisse Sicherheitsgrundlage zu schaffen. Nach den ersten sechs Monaten erhalten die Mitarbeiter fortgeschrittene Trainingssimulationen. Zu diesem Zeitpunkt haben sie in der Regel ein mittleres Risikoniveau. Nach 12 Monaten lässt sich ein Wendepunkt beobachten, denn ab diesem Zeitpunkt ist ein signifikanter Rückgang des Risikos zu erkennen.
Sinkender Risk Score mit wachsender Erfahrung
Die Studie zeigt ausserdem einen deutlichen Unterschied im Verhalten von neuen und erfahrenen Mitarbeitern (Abbildung 1). Im Durchschnitt klicken neue Mitarbeiter (weniger als sechs Monate im Unternehmen) mehr als doppelt so häufig auf Phishing-E-Mails wie ihre erfahrenen Kollegen, was eine erhöhte Anfälligkeit für Cyberbedrohungen zeigt.
Abbildung 1: Cyberverhalten nach Dauer im Unternehmen
Steigende Phishing-Melderate mit sinkendem Risikoniveau
Darüber hinaus wurden innerhalb der Studie die Melderaten von Phishing-Versuchen untersucht (Abbildung 2). Es wurde deutlich, dass Mitarbeiter mit geringem Risiko bis zu 50 % mehr melden als Mitarbeiter mit mittlerem Risiko oder bis zu viermal mehr als Mitarbeiter mit hohem Risiko.
Abbildung 2: Melderate von Phishing nach Risikogruppe
Dies legt nahe, dass Awareness Training nicht nur sichere Gewohnheiten fördert und Mitarbeiter in die Lage versetzt, Phishing-E-Mails zu erkennen, sondern auch die proaktive Herangehensweise fördert, solche Bedrohungen zu melden. Diese Verhaltensänderung spielt eine entscheidende Rolle, wenn es darum geht, Unternehmen vor den möglichen Folgen von Sicherheitsvorfällen zu schützen, die durch ungeschulte Mitarbeiter verursacht werden können. „Unsere Daten zeigen, welche entscheidende Rolle Mitarbeiter für die Sicherheit von Unternehmen spielen und wie effektive Schulungen das Verhalten der Mitarbeiter wirklich verändern können“, sagt Eitan Fogel, CEO von Cybeready. „Indem die erhöhte Anfälligkeit neuer Mitarbeiter erkannt wird und gezielt Schulungen für die verschiedenen Stadien und Risikolevel bereitgestellt werden, können Unternehmen Cyberrisiken minimieren und damit ihr gesamtes Sicherheitsniveau anheben.“ Cybeready engagiert sich dafür, Mitarbeiter optimal auf Cyberangriffe vorzubereiten. Dazu entwickelt das Unternehmen innovative Cybersecurity Trainings, die Mitarbeiter in die Lage versetzen, Cyberbedrohungen zu erkennen und abzuwehren. Die Studie unterstreicht, wie wichtig es ist, in kontinuierliche Awareness-Schulung zu investieren, um den Faktor Mensch in puncto Cybersicherheit zu stärken und das Unternehmensrisiko zu minimieren.