In einer Zeit des hybriden Arbeitens sehen nicht alle den Wert von Sicherheitsschulungen. Eine Studie von Hornetsecurity aus dem Jahr 2023 ergab zum Beispiel, dass 33% der Unternehmen ihren Remote-Mitarbeitern keine Schulungen anbieten. (Zur Einordnung: Die Studie zeigt, dass drei Viertel der Remote-Mitarbeiter Zugang zu sensiblen Daten haben.) Fast die Hälfte (44%) der Befragten gaben an, den Anteil der Remote-Mitarbeiter erhöhen zu wollen.
Das Center for Internet Security (CIS) weiß, dass Sicherheitsschulungen wichtig sind. Deshalb haben wir sie zu einem unserer CIS Critical Security Controls gemacht. Wir wissen aber auch, dass es nicht immer leicht ist, den Wert von Sicherheitsschulungen zu erkennen, wenn man mit vielen Cybersicherheitsprioritäten jongliert.
Um diese Situation zu beheben, haben wir Experten des CIS, der Multi-State and Elections Infrastructure Information Sharing and Analysis Centers (MS- und EI-ISACs) sowie Mitgliedsorganisationen des MS-ISAC kontaktiert. Wir haben sie gebeten, zu erläutern, warum Sicherheitsschulungen wichtig sind und welche Auswirkungen sie auf staatliche und lokale Behörden haben können. Im Folgenden finden Sie einige ihrer Antworten.
Marci Andino, Sr. Director des EI-ISAC am CIS
Cybersicherheit ist die Verantwortung aller! Wahlbüros spielen eine entscheidende Rolle in unserer Demokratie. Sie müssen auf die allgemeinen Wahlen 2024 vorbereitet sein und mit den unerwünschten Cyberaktivitäten umgehen, die eine Präsidentschaftswahl mit sich bringt. Das gilt gleichermaßen für große und kleine Gerichtsbarkeiten, da das Internet allen Wahlbüros gleichen Zugang bietet. Neben den für effiziente Wahlen erforderlichen Schulungen müssen Wahlbeamte ihre Cybersicherheitskenntnisse erhöhen, um die kritische Wahlinfrastruktur in ihren Büros, Lagerhallen und an den Wahllokalen zu schützen. Durch Sicherheitsschulungen werden Wahlbeamte in der Lage sein, sich gegen Phishing-Angriffe, interne Bedrohungen und andere Taktiken zu verteidigen, die von unseren Gegnern eingesetzt werden, um den Wahlprozess zu stören. Sie erhalten auch Einblicke in kostenlose Lösungen, die den Wahlbüros zur Verfügung stehen und mit denen sie ihre festen und saisonalen Mitarbeiter angemessen auf solche Angriffe reagieren lassen können.
Jason Balderama, CISO des Marin County, Kalifornien, und MS-ISAC Security Awareness Working Group Co-Chair
Cyberangriffe und Datenverstöße nehmen immer weiter zu. Sie dienen als Erinnerung daran, warum es für jeden wichtig ist, Sicherheitsbest Practices zu befolgen. Während technische Sicherheitskontrollen wie Firewalls, E-Mail-Sicherheit und Endpunktschutz Schutzmaßnahmen gegen Cyberbedrohungen bieten, kann keine technische Lösung alle Cyberangriffe stoppen. Sicherheitsschulungen bieten SLTT-Mitarbeitern Werkzeuge, Techniken und bewährte Verfahren, um potenzielle Bedrohungen zu erkennen, angemessene Maßnahmen zu ergreifen und ihre Organisationen zu schützen.
SLTT-/Wahlbüros können ihren Sicherheitsreifegrad mit Rahmenwerken wie NIST CSF, NIST 800-53 und den CIS Controls messen. Die meisten, wenn nicht alle diese Rahmenwerke enthalten Sicherheitsschulungen als einen Bestandteil. Sie enthalten auch detaillierte Informationen zur Erfüllung der Kontrollen und zur Verwendung von Metriken zur Messung der Effektivität.
Alle SLTT- und Wahlbehörden erbringen wichtige Dienstleistungen für die Gemeinschaft. Als Organisationen, die private Informationen unserer Bewohner speichern und verarbeiten, haben wir die Aufgabe, Vertrauen bei der Öffentlichkeit aufzubauen. Die Umsetzung bewährter Verfahren wie Sicherheitsschulungen ist eine einfache und kostengünstige Möglichkeit, dieses wichtige Ziel zu erreichen.
Mathew Everman, Information Security Operations Manager am CIS
Sicherheitsschulungen sind aus gutem Grund Teil der CIS Controls. Alle Sicherheitsverletzungen beginnen mit dem menschlichen Faktor. Die Bemühungen, diese Angriffsvektoren abzusichern, sind ebenso wichtig, wenn nicht sogar wichtiger als die Absicherung von Software oder Hardware. Die meisten öffentlichen Organisationen kämpfen mit begrenzter Finanzierung, begrenzter Mitarbeiterzahl und/oder engen Spezialisierungsbeschränkungen. In vielen Fällen führt dies zu einem begrenzten Personalbestand von identifizierten oder internen Sicherheitsexperten, die für diese Teams täglich verfügbar sind. Die Sensibilisierung des internen Personals für die Risiken einer Bedrohung und wichtige Indikatoren schult diese Mitarbeiter darin, worauf sie achten müssen und wie sie entsprechend reagieren können. Dadurch wird die gesamte Organisation zu einem starken Sicherheitsteam. Dies erzeugt die sogenannte “menschliche Firewall”.
Es mag zeitaufwändig sein, ein grundlegendes Cybersicherheitsbewusstseinsprogramm entsprechend Ihren Bedürfnissen aufzubauen, aber es muss nicht teuer sein. Der positive Return on Investment ist so groß, dass er kaum messbar ist. Daten, die von einem Cyberbedrohungsakteur gesammelt werden – egal wie unbedeutend sie sind – können ein kleines Stück eines größeren Puzzles sein, das zu einem Upstream-Verstoß mit sensibleren Daten führen könnte. Die Pflicht und Verantwortung des öffentlichen Sektors besteht darin, die Öffentlichkeit zu schützen, zu versorgen und anzuleiten. Die Sicherheit der Öffentlichkeit ist direkt mit der Sicherheit derer verbunden, die dafür verantwortlich sind.
Es ist wichtig, dafür zu sorgen, dass sich diese wichtigen Mitglieder des öffentlichen Sektors gut informiert fühlen und in der Lage sind, mögliche Sicherheitsvorfälle zu erkennen und zu melden. Angesichts der wachsenden Bedrohungslandschaft im Informationsbereich gewährleistet der Aufbau einer starken menschlichen Wissensinfrastruktur, dass Mitarbeiter Bedrohungen frühzeitig erkennen und Sicherheit in ihre täglichen Aufgaben und Funktionen integrieren.
Randy Rose, Senior Director für Sicherheitsbetrieb & Intel am CIS
Maslow muss seine Bedürfnispyramide überdenken! Das Internet hat sich fest an der Basis seiner berühmten Pyramide verankert. Und genauso wenig wie wir auf die Nutzung des Cyberspace verzichten können, können wir auf die Cybersicherheitsbildung verzichten. Im Gegenteil, die Schulung, Ausbildung und Sensibilisierung für Cybersecurity sind in einer Welt, in der Menschen unabhängig von ihren technischen Fähigkeiten keine andere Wahl haben, als jeden Tag in vielfältiger Weise Technologie zu nutzen, immer wichtiger geworden. Sie müssen berufliche Aufgaben erledigen, ihren Zeitplan organisieren, ihre Konten überprüfen, die Hausaufgaben ihrer Kinder überprüfen und alltägliche Einkäufe tätigen, um nur einige Beispiele zu nennen.
Wenn wir so stark auf Technologie angewiesen sind, ist es einfach, die Bedrohungen, denen wir aufgrund dieser Technologie ausgesetzt sind, als selbstverständlich anzusehen. Zusammen mit dem rapiden Tempo, mit dem sich Technologie und damit verbundene Angriffe ändern, müssen wir unser Bestes geben, um uns selbst, unsere Familien und unsere Kollegen aufmerksam und wachsam zu halten.
Menschen lernen alle auf unterschiedliche Weise, aber eines ist sicher: Wir lernen alle durch Wiederholung. Es ist wichtig, dass das Bewusstsein für Cybersicherheit und die Bildung kontinuierlich und abwechslungsreich sind. Der Schlüssel zu einem guten Bewusstseinsprogramm für Cybersicherheit besteht darin, neue Ideen mit alten zu verbinden. Menschen lernen am schnellsten, wenn sie neue Informationen mit Dingen verknüpfen können, die sie bereits kennen. Um die Retention zu maximieren, sollten die Botschaften klar und aufbauend sein und sich auf realitätsnahe Beispiele und Vergleiche mit greifbaren, nicht-technischen Konzepten stützen. Darüber hinaus sollten verschiedene Lernmethoden eingesetzt werden, einschließlich Lesen, Zuhören, Anschauen und Ausprobieren.
Eine Cybersicherheitsbildung, die hängenbleibt, kann den Unterschied zwischen einem Benutzer, der auf einen Link klickt, und einem Benutzer, der innehalten und nachdenken kann, ausmachen. Und dieser Unterschied kann einer Organisation Millionen sparen.
Sicherheitsschulung zur Unterstützung Ihrer Zukunft
Wie unsere Experten oben feststellen, wird der Wert von Sicherheitsschulungen auch in Zukunft nicht abnehmen. Im Data Breach Investigation Report (DBIR) 2023 stellte Verizon Enterprise fest, dass fast drei Viertel der Datenverstöße den menschlichen Faktor betreffen. Diese Erkenntnis zeigt, warum es wichtig ist, jetzt und in Zukunft in Sicherheitsschulungen zu investieren.
Wir sind hier, um Ihnen zu helfen! Durch unsere Partnerschaft mit dem SANS Institute sind wir stolz darauf, Ihnen das SANS Security Awareness Training anzubieten, mit dem Sie Ihre Mitarbeiter gegen Social Engineering und andere Cyberangriffe, die den menschlichen Faktor ausnutzen, stärken können. Das SANS Security Awareness Training wurde von erfahrenen Cybersicherheitsdozenten und Experten entwickelt und bietet eine anpassbare Mischung aus Schulungsinhalten für Endbenutzer, um relevante Bedrohungen anzusprechen, Sicherheitskonzepte zu vermitteln, die für Ihren Arbeitsplatz entscheidend sind, und die Ideologien der Unternehmenskultur Ihrer Organisation zu berücksichtigen. Demos sind für alle Versionen des SANS Security Awareness Trainings verfügbar.