SANS 2022 Security Awareness Report

Risikofaktor Mensch bleibt größte Bedrohung

5. Juli 2022, 8:00 Uhr | Wilhelm Greiner
SANS Report
© SANS

Das SANS Institute, Anbieter von Security-Awareness-Schulungen mit Hauptsitz nahe der US-Hauptstadt Washington, hat seinen siebten jährlichen SANS Security Awareness Report veröffentlicht. Menschen sind demnach zum Hauptangriffsvektor für Cyberangreifer auf der ganzen Welt geworden.

„Der Mensch und nicht die Technologie stellt das größte Risiko für Unternehmen dar“, sagt Lance Spitzner, SANS Security Awareness Director und Mitverfasser des Berichts, „und die Fachleute, die Security-Awareness-Programme betreuen, sind der Schlüssel zum effektiven Management dieses Risikos.“

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass
„Der Mensch und nicht die Technologie stellt das größte Risiko für Unternehmen dar“, so Lance Spitzner, SANS Security Awareness Director beim SANS Institute.
„Der Mensch und nicht die Technologie stellt das größte Risiko für Unternehmen dar“, so Lance Spitzner, SANS Security Awareness Director beim SANS Institute.
© SANS Institute

Laut dem Report, der auf Informationen von mehr als 1.000 Security-Awareness-Experten aus aller Welt basiert, behandeln die Unternehmen das Thema Security Awareness immer noch zu stiefmütterlich: Mehr als zwei Drittel (69 Prozent) der Awareness-Fachleute verbringen weniger als die Hälfte ihrer Zeit mit der Thematik, sprich: machen das „so nebenher“. Ebenfalls bedenklich: Zuständig für Security Awareness sind sehr häufig Beschäftigte mit sehr technischem Hintergrund – und ihnen fehlt es laut SANS möglicherweise an den erforderlichen Fähigkeiten, um die Belegschaft verständlich und somit wirksam zu informieren.

Die drei meistgenannten Herausforderungen beim Aufbau eines ausgereiften Awareness-Programms drehen sich alle um Zeitmangel: Zeitmangel für das Projekt-Management, begrenzte Schulungszeit zur Einbindung der Belegschaft sowie Personalmangel. Erschwerend kamen die Auswirkungen einer Pandemie hinzu: Die beiden am häufigsten genannten Pandemiefolgen waren eine stärker abgelenkte und überforderte Belegschaft sowie ein Arbeitsumfeld, in dem Cyberangriffe auf Menschen häufiger und effektiver geworden sind.

Die wichtigsten Faktoren für den Erfolg von Awareness-Programmen sind laut dem Bericht eine starke Unterstützung durch die Geschäftsführung, ein größeres Security-Awareness-Team und häufigere Schulungen. Um den Programmerfolg mittels stärkerer Unterstützung durch die Führungskräfte zu steigern, rät SANS, von Risiko-Management und nicht von Compliance zu sprechen und das Warum (statt nur das Was) des eigenen Tuns zu erklären. Zudem sollte das Awareness-Team ein Gefühl der Dringlichkeit vermitteln, indem es entsprechende Daten heranzieht und den Wert des Projekts durch die Übereinstimmung mit den Prioritäten der Geschäftsführung verdeutlicht.

Um angemessene Ressourcen für das Awareness-Team zu erhalten, empfiehlt SANS, zu dokumentieren und zu vergleichen, wie viele Beschäftigte im Sicherheitsteam sich auf die Technik und wie viele sich auf das menschliche Risiko konzentrieren. Der Schulungsanbieter rät, ein Dokument zu erstellen, das den Personalbedarf umfassend erläutert. Zudem empfehle es sich, Partnerschaften mit wichtigen Abteilungen aufzubauen, die helfen können, den Mehrwert des Programms zu vermitteln.

In puncto Schulungsfrequenz rät das SANS Institute den Unternehmen, mindestens einmal im Monat mit ihren Beschäftigten zum Thema Awareness zu kommunizieren, mit ihnen zu interagieren oder sie zu schulen. Eine einfache und leicht nachvollziehbare Schulung sei der Schlüssel zu mehr Möglichkeiten, die Belegschaft einzubeziehen und weiterzubilden.


Verwandte Artikel

SANS

Security Awareness

Security-Management