Wenn es so aussieht, als ob Cyberkriminelle den Cybersicherheitsfirmen immer einen Schritt voraus wären, dann liegt das daran, dass sie es tatsächlich auch sind. Es wird erwartet, dass die Ausgaben für Cybersicherheit bis 2022 $ 133,8 Milliarden erreichen, während der Markt für Cybersicherheitssensibilisierung  bis 2027  voraussichtlich $ 10 Milliarden betragen wird. Die Ergebnisse dieser Aussagen spiegeln die aktuelle Realität jedoch nicht wider. Die Cyberkriminalität nimmt weiter zu, die Angriffe werden immer raffinierter, und weder der Mensch noch die Technologie können mithalten.

Cybersicherheitsangriffe haben seit 2014 insgesamt um 67 Prozent zugenommen. 66 Prozent der KMUs gaben an, in den vergangenen 12 Monaten einen Cyberangriff erlitten zu haben, 49 Prozent waren Opfer von Ransomware-Angriffen  und 78 Prozent zahlten das Lösegeld.

Die gemeinsamen Verluste durch diese und Tausende anderer Angriffe sind unvorstellbar, und es ist mehr oder weniger sicher, dass sich diese Situation noch verschlimmern wird. Die Investition in eine Sensibilisierung für Cybersicherheit lohnt sich, aber sie ist selbst noch keine Cybersicherheit.

Der Unterschied zwischen Sensibilisierung und Wachsamkeit im Cybersicherheitsbereich

Trainings, die die Benutzer für Cybersicherheit sensibilisieren sollen, konzentrieren sich natürlich auf den Faktor Mensch bei Cyberangriffen – die Fehler, die die Türen zu den Systemen und Daten eines Unternehmens öffnen. In den Schulungen wird uns beigebracht, komplexe Passwörter zu wählen, sie häufig zu ändern, sie niemals weiterzugeben, auf keinen Fall auf ein Phishing-Link zu klicken und eine Vielzahl anderer bewährter Verfahren zu befolgen. In einer perfekten Welt würden wir uns an diese Regeln halten.

In der unvollkommenen Welt, in der die meisten von uns leben, werden diese bewährten Praktiken jedoch schnell vergessen und häufig ignoriert. In Unternehmen, die Schulungen anbieten, finden die Trainings oft einmal im Jahr statt – eine Zeitspanne, in der die Mitarbeiter eventuell alles, was sie zuvor gelernt haben, auch wieder vergessen. Darüber hinaus entwickeln Cyberkriminelle ihre Vorgehensweisen innerhalb von 12 Monaten in einem solchen Tempo weiter, dass die vorherigen Schulungen nichts mehr nützen.

In den meisten Kursen wird unterrichtet, was man im Hinblick auf Cybersicherheit unbedingt tun muss und was zu vermeiden ist, sie sensibilisieren die Benutzer für diese Themen, aber sie garantieren nicht, dass die Mitarbeiter von nun an – und das über mehrere Monate – so handeln und das Gelernte auch anwenden. Das erfordert Wachsamkeit. Der Unterschied ist einfach: Sensibilisiert zu sein bedeutet, dass man weiß, dass ein Cyberangriff möglich ist. Wachsamkeit hingegen heißt, darauf vorbereitet zu sein und im Fall eines Falles schnell und verantwortungsbewusst zu handeln.

Die Frage lautet also: Wie macht man aus sensibilisierten Benutzern wachsame Benutzer?

Technologie ist nur ein Teil der Lösung

Technologie entwickelt sich schnell. Hacker sind schneller. Während die meisten Unternehmen beachtliche Summen ausgeben, um ihre Technologie auf dem neuesten Stand zu halten, nimmt das Katz- und Mausspiel zwischen Cyberkriminellen und Cybersicherheitsfirmen niemals wirklich ein Ende. Ein Software-Patch wird veröffentlicht. Eine neue Schwachstelle wird aufgedeckt. Ein Ransomware-Entschlüsselungsschlüssel wird veröffentlicht. Ein verbesserter Angriff folgt. Eine Phishing-E-Mail wird blockiert. Sie taucht Tage später mit einer neuen IP-Adresse wieder auf. Technologie ist ein Anfang, aber Technologie ist nicht Cybersicherheit.

Keine Cybersicherheitslösung ist in der Lage, alle Bedrohungen abzuwehren. Dies macht Verstärkungen notwendig, und zwar in Form von Menschen – die manchmal als das schwächste Glied in der Cybersicherheitskette bezeichnet werden. In Wirklichkeit sind sie jedoch Ihre letzte Verteidigungslinie, wenn die Technologie versagt, und deshalb versuchen Hacker immer wieder, Mitarbeiter so zu manipulieren, dass sie Fehler machen.

Schaffen einer wachsamen Gemeinschaft

Laut Accenture haben die auf Menschen abzielenden Cyberangriffe im letzten Jahr stärker zugenommen als alle anderen Angriffsarten, wobei Malware- und Ransomware-Angriffe zweistellige Zuwachsraten verzeichneten. Im 2019 Data Breach Investigations Report beschrieb Verizon, dass Phishing und Pretexting 98 Prozent aller sozialen Angriffe und 93 Prozent aller Datenschutzverletzungen ausmachten. Wenn Hacker sich an Ihre Mitarbeiter heranmachen, dann wohl über eine der oben genannten Bedrohungen.

Obwohl die Anzahl der Mitarbeiter, die auf Phishing-E-Mails klicken, dank der Phishing-Sensibilisierungsschulungen zurückgegangen ist, ist die Melderate nach wie vor minimal. Laut Verizon werden IT-Abteilungen nur 17 Prozent der Phishing-E-Mails gemeldet. Dieser Widerspruch offenbart, dass die Mitarbeiter zwar vielleicht besser darin geworden sind, Phishing-E-Mails zu erkennen, dass sie aber möglicherweise nicht verstehen, wie Anti-Phishing-Technologie funktioniert und wie wichtig das Melden für die Wirksamkeit einer Lösung ist.

Im Rahmen der Cybersicherheitssensibilisierung sollten die Benutzer auch darüber aufgeklärt werden, wie Phishing-Technologie zu ihrem Schutz funktioniert und warum sie mit ihrer Hilfe besser wird. Das Melden einer Phishing-E-Mail an die IT-Abteilung setzt beispielsweise eine Reihe von Ereignissen in Gang, von denen Ihre Benutzer wahrscheinlich nichts wissen.

Ein E-Mail-Filter, der eine Phishing-E-Mail übersehen hat, muss feineingestellt werden, um die E-Mail zu erkennen, wenn ein Hacker versucht, sie erneut zu senden – was er wahrscheinlich auch tun wird. Es reicht nicht aus, einfach eine IP-Nummer auf eine schwarze Liste zu setzen. Es müssen neue Regeln geschrieben werden, und KI-Algorithmen, die auf den Input der Menschen angewiesen sind, benötigen zusätzliches Training. Wenn ein Benutzer die E-Mail löscht, anstatt sie zu melden, kann keine dieser Abhilfemaßnahmen erfolgen. Die E-Mail kommt zurück, und irgendwann klickt auch jemand darauf.

Der beste Weg, um sicherzustellen, dass sie niemals zurückkehrt, besteht darin, der KI-Engine die Daten zu geben, die sie zur Verbesserung benötigt – eine Feedback-Schleife zwischen dem Benutzer und der KI zu schaffen. Das Ergebnis ist eine intelligente, autonome Engine, die die richtigen Entscheidungen trifft und sich selbst korrigiert, wenn sie Fehler macht.

Wenn Sie Ihren Benutzern die Technologie beibringen, die sie schützen soll, dann lernen sie die Grenzen der Cybersicherheit kennen, wenn Menschen das Ziel sind. Sie verstehen ihre Rolle bei der Stärkung dieser Sicherheit. Zu wissen, dass sie aktiv an der Entwicklung der Technologie beteiligt sind und die Vorteile der Verbesserungen am eigenen Leibe erleben werden, ermutigt die Anwender, verdächtige E-Mails zu melden. Auf die gleiche Weise, wie Cybersicherheitsexperten Gemeinschaften bilden – die sich oft aus konkurrierenden Anbietern zusammensetzen –, schaffen Sie eine Gemeinschaft aus Benutzern, die aktiv am Schutz Ihres Unternehmens und letztlich ihrer eigenen Existenzgrundlage beteiligt sind.

Um mehr als nur zu sensibilisieren und Wachsamkeit zu fördern, muss auch das Cybersicherheitstraining verstärkt werden, wenn ein Benutzer einen Fehler macht, der zu einem Angriff führen könnte. Das Klicken auf ein Phishing-Link beispielsweise ist ein schwerwiegender Fehler, der erhebliche Konsequenzen nach sich ziehen kann. Wenn ein Benutzer zum Zeitpunkt des Klicks geschult wird, werden das schlechte Verhalten korrigiert, bewährte Praktiken verstärkt und es entsteht eine Wachsamkeit, die zur Gewohnheit wird.