leowolfert - stock.adobe.com
Cybersicherheit: Wie ThriveDX Wissenslücken schließt
Fachkräftemangel sowie Halb- oder Unwissen im Bereich Cybersecurity machen Firmen zum leichten Ziel für Hacker. Exclusive Networks und ThriveDX wollen mit Trainings Abhilfe schaffen.
Firmen unternehmen verschiedene Anstrengungen, um die Angriffsfläche für Cyberkriminelle so klein wie möglich zu halten. Oft erschweren aber Personalmangel und fehlendes Fachwissen diese Bestrebungen. Es reicht zudem nicht, sich nur auf die Hard- und Software-Lösungen zu verlassen. Auch die beste Firewall oder Antiviren-Software bietet nicht zwangsläufig einen hundertprozentigen Schutz. Der menschliche Einfluss ist nach wie vor ein Risikofaktor, der berücksichtig werden muss.
Unternehmen, die keinen weiteren IT-Sicherheitsfachmann anstellen wollen oder finden, haben andere Möglichkeiten ihre interne Expertise zu erweitern und damit Sicherheitslücken zu schließen. Dazu gehört unter anderem die umfassende Mitarbeiterschulung im Bereich Security durch entsprechende Fachleute. Das heißt, Firmen sollten an dieser Stelle in die eigenen Mitarbeiter investieren, um die Cybersicherheit zu erhöhen.
Zu den Anbietern, die hier ihre Dienstleistungen anbieten, gehört unter anderem ThriveDX, eine in der Schweiz registrierten Firma, die mit Mitbegründer Exclusive Networks und anderen Partnern wie bitbone ihre Dienstleistungen offeriert.
„Einer IBM-Studie zufolge werden 95 Prozent der Sicherheitsverletzungen durch menschliches Handeln verursacht“, erklärt Roy Zur, CEO und Gründer von ThriveDX. „Wir versuchen durch unsere unterschiedlichen Trainings nicht nur das Bewusstsein für Cybersicherheit zu erhöhen, sondern vielmehr das Verhalten der Mitarbeiter maßgeblich zu verändern, so dass die Sicherheitslücken geschlossen werden können.“
Im Kernprogramm bietet das Unternehmen vier verschiedene Services an: Security Awareness Training, Application Security Training, Advanced Training und Cyber Match. Zwar sieht Zur Phishing-Attacken nach wie vor als eines der größten Sicherheitsprobleme an, aber die Schulungen beschränken sich nicht auf dieses Thema. Social Engineering, Ransomware-Angriffe oder Smishing-Attacken sind nur einige der angebotenen Themen. Auch die jeweiligen Angriffsflächen werden in den Fokus gerückt, wie unter anderem Clouds, Endpunktgeräte oder das Netzwerk.
Dabei setzt ThriveDX nicht nur auf reine Wissensweitergabe, sondern auch gezielt auf Simulationen, in denen die Mitarbeiter real wirkenden Angriffen ausgesetzt werden. „Um wirklich ein Umdenken und eine Veränderung im Handeln zu erreichen, müssen solche Simulationstests regelmäßig durchgeführt werden“, so Zur. „Deswegen empfehlen wir, diese Trainings regelmäßig zu unternehmen. Das hilft nicht nur, echte Veränderungen umzusetzen, sondern auch auf dem aktuellen Stand zu bleiben. Was Anwender vor einem halben Jahr gewusst und gelernt haben, könnte morgen nicht mehr relevant sein, denn die Cyberkriminellen entwickeln ihre Angriffsszenarien weiter.“ Aus diesem Grund empfiehlt er Unternehmen, hier langfristig zu planen und nachhaltig zu planen. „Wir raten unseren Kunden, wenigstens vier Trainings in einem Jahr abzuhalten“, sagt CEO Zur. „Idealerweise wären aber Schulungen alle sechs Wochen wirklich optimal.“
Die Basis für die Schulungen und Simulationen bilden echte Bedrohungsszenarien. Dabei ist ThriveDX in der Lage, die Trainings für jede Branche und jede Firma individuell anzupassen und so möglichst realistische Szenarien abzubilden. Insgesamt verfügt der Dienstleister über mehr als 100 verschiedene Angriffsszenarien in unterschiedlichen Sprachen. Darüber hinaus offeriert der Anbieter auch umfassendes Monitoring und die Option, Angriffe zu melden. Um letzteres besonders einfach zu gestalten, steht dem Anwender ein Button zur Verfügung, mit dem beispielsweise Phishing-Attacken unkompliziert und sofort gemeldet werden können.
Cybersecurity Awareness Training Study
Im Jahr 2022 führte das Unternehmen eine Umfrage unter 1.900 CISOs, Sicherheitsexperten und IT-Fachleuten zum Thema Schulungen für Cybersicherheits-Bewusstsein durch. Diese belegt unter anderem, dass bereits zahlreiche Unternehmen die Notwendigkeit von Sicherheitsschulungen erkannt haben und in diese investieren. In der Umfrage gaben 97 Prozent der Befragten an, dass sie davon überzeugt sind, dass Cybersecurity-Trainings die Sicherheit ihrer Firma stärken und verbessern. Dabei werden die Mitarbeiter am häufigsten in diesen drei Kategorien geschult: Phishing und Malware, Passwortsicherheit sowie E-Mail-Sicherheit. Laut ThriveDX beginnen 91 Prozent aller erfolgreichen Cyberangriffe mit einem Mitarbeiter beginnen, was die Dringlichkeit von Trainings unterstreicht.
Laut der Studie bestätigen 87 Prozent der Teilnehmer, dass Technologie allein nicht für die Unternehmenssicherheit ausreicht. Darum setzen sie auf Schulungen und Simulationsszenarien wie beispielsweise unangemeldete Phishing-Attacken (72 Prozent, generelle Phishing-Simulationen werden von 88 Prozent durchgeführt). Allerdings führen nur 20 Prozent der Befragten mehr als sieben Simulationen pro Jahr durch.
Im Allgemeinen glauben 65 Prozent der IT-Verantwortlichen, dass ihre Trainings zur Cybersicherheit noch erweitert werden könnten. Als generelle positive Effekte der Schulungen gehören laut Umfrage die folgenden:
- das Gelernte wird auch privat umgesetzt
- Verantwortungsbewusstsein der Mitarbeiter
- Respekt und faire Fehlerkultur
- Niedrigere Kosten
- Compliance wird eingehalten
- Schaffung der Grundlagen für eine funktionierende Infosec-Infrastruktur
- Grundlage für die Wirksamkeit und Anwendbarkeit von technischen Maßnahmen
Allerdings sind weiterhin Hürden zu nehmen, wenn es um die Durchführung der Schulungen geht. Die größte Herausforderung ist dabei die Nutzerakzeptanz und der Lernwille (25 Prozent). Danach folgen Workload und Ressourcen wie Zeit und Budget (22 Prozent). Andere Probleme fallen weniger ins Gewicht, wie die Unterstützung des Programms seitens des Managements (9,3 Prozent) oder das Aufsetzen der Schulung und die Verdeutlichung der Wichtigkeit. Als wichtigsten Grund für die Umsetzung der Trainings gaben 40 Prozent der Studienteilnehmer das Verhindern von Datenlecks und Fehlern sowie das Verstehen und Verändern der eigenen Handlungen rund um Cybersicherheit an.
Den Unternehmen ist zudem wichtig, dass die Schulungen selbst die eigenen Richtlinienvorgaben unterstützen, beispielsweise ISO 27001, NIST oder HIPPA. Als wichtige Faktoren für den Erfolg der Schulungen kristallisierten sich die folgenden in der Studie heraus:
- Dauer (21,2 Prozent)
- Unterhaltung/Spaß (19,2 Prozent)
- Personalisierung der Trainings
Die am häufigsten gewählten Schulungsthemen waren laut Umfrageteilnehmer:
- Phishing (28,1 Prozent)
- Passwortsicherheit (13,3 Prozent)
- Social Engineering
Die gesamte Studie mit weiteren Details zu den eingesetzten Phishing-Simulationen, Herausforderungen und gemessenem Erfolg finden interessierte IT-Verantwortliche auf der Webseite des Anbieters.
Dem Fachkräftemangel entgegenwirken
Der Trainingsanbieter hat zudem ein Programm aufgesetzt, das Unternehmen dabei helfen soll, junge Fachkräfte anzustellen, deren Training zu verbessern und somit den Fachkräftemangel zu mindern und die eigene Wissenslücke zu füllen. Das so genannte Employer Engagement Team hilft bei der Rekrutierung und Einstellung von Absolventen. Dafür arbeitet ThriveDX mit verschiedenen Universitäten zusammen, beispielsweise mit der University at Buffalo und Kansas State University.
Damit sollen Firmen ihre Talent- und Skills-Pipeline aufbauen. Die Kernbereiche hierbei sind Cybersecurity, UI/UXDesign, Digital Marketing, Software Development sowie Data Science und Analytics.