Die Chief Information Security Officers (CISOs) in der Emea-Region (Europa, Naher Osten, Afrika) verabschieden sich von traditionellen Schulungen zur Sensibilisierung für IT-Sicherheit. Neue Forschungsergebnisse zeigen, dass 78 Prozent der Befragten der Meinung sind, ihr Ansatz zur Sensibilisierung für IT-Sicherheit müsse dringend weiterentwickelt werden. Eine aktuelle Studie von Metacompliance, einem Unternehmen für das Management menschlicher Cyberrisiken, unterstreicht die weit verbreitete Besorgnis unter CISOs, dass die aktuellen Methoden das menschliche Cyberrisiko nicht ausreichend berücksichtigen.
Die Studie, für die 200 CISOs in Grossbritannien, Schweden, Deutschland und Frankreich befragt wurden, ergab, dass 81 Prozent der CISOs der Ansicht sind, dass Sicherheitsschulungsprogramme scheitern, weil sie das menschliche Cyberrisiko als reines Schulungsthema und nicht als umfassende Herausforderung des Risikomanagements behandeln. Gleichzeitig sehen 68 Prozent der Unternehmen ihre Mitarbeiter als grösstes Sicherheitsrisiko, was eine anhaltende und ungelöste Schwachstelle im Zentrum der Unternehmenssicherheit verdeutlicht.
Trotz kontinuierlicher Investitionen in Sensibilisierungsprogramme – Unternehmen verwenden durchschnittlich 15 Prozent ihres jährlichen Sicherheitsbudgets für Schulungen und 79 Prozent bieten mindestens alle zwei Wochen Trainings an – bleiben die Ergebnisse laut Studie uneinheitlich. Ein Viertel (25 Prozent) der Unternehmen gibt demnach an, Schwierigkeiten zu haben, die Aufmerksamkeit der Mitarbeitenden zu gewinnen, 24 Prozent schaffen es nicht, sicheres Verhalten in den Arbeitsalltag zu integrieren, und weitere 24 Prozent haben Probleme, die verschiedenen Stakeholder funktionsübergreifend einzubinden. Dies unterstreiche, dass die Herausforderung sowohl organisatorischer als auch verhaltensbezogener Natur sei.
Diese Diskrepanz sei auf einen veralteten Ansatz zurückzuführen, so die Studienautoren. Viele CISOs glaubten zwar, ihre Organisationen hätten die reine Sicherheitsüberprüfung hinter sich gelassen – einige beschreiben ihren Ansatz als verhaltensorientiert (33 Prozent) oder integrieren das menschliche Risikomanagement (24 Prozent) –, doch dieser vermeintliche Fortschritt führe nicht zu einer echten Veränderung.
James Mackay, CEO von Metacompliance, konstatiert: „Das Vertrauen steigt, aber das bedeutet nicht, dass das Risiko sinkt. Viele Unternehmen verwechseln abgeschlossene Sicherheitsschulungen mit echter Sicherheit, obwohl die zugrunde liegenden menschlichen Schwachstellen unverändert geblieben sind."
Infolgedessen fordern CISOs ein strategischeres Modell. Fast vier von fünf (79 Prozent) wollen sich auf das menschliche Risikomanagement konzentrieren – ein Ansatz, der die Identifizierung von Hochrisikopersonen und die verhaltensbasierte Anpassung von Interventionen in den Mittelpunkt stellt sowie die Förderung einer unternehmensweiten, kollektiven Sicherheitskultur zum Ziel hat. Weitere 83 Prozent sind überzeugt, dass gezielte Interventionen das Risiko schneller reduzieren würden, während 80 Prozent der Meinung sind, dass Sicherheitsbotschaften am effektivsten sind, wenn sie in den Arbeitsablauf integriert werden.
Dieser Wandel erfolgt vor dem Hintergrund des zunehmenden Drucks auf Unternehmen, ihre Abwehrmassnahmen aufgrund der sich ständig weiterentwickelnden Bedrohungslandschaft zu modernisieren. In den kommenden zwölf Monaten wollen Unternehmen ihren Fokus demnach auf die Steigerung der Interaktionsfrequenz (27 Prozent), den Nachweis eines messbaren ROI (25 Prozent) und die gezielte Anpassung von Interventionen an Risikopersonen (24 Prozent) legen – insbesondere als Reaktion auf KI-gestütztes Social Engineering (24 Prozent).
James Mackay ergänzt: "Das menschliche Cyberrisiko muss wie jedes andere Geschäftsrisiko behandelt werden – messbar, zielgerichtet und kontinuierlich gemanagt. Das bedeutet, über die reine Sensibilisierung hinauszugehen und echte Verhaltensänderungen herbeizuführen. Unternehmen müssen ihre Herangehensweise an das Cybersicherheitsmanagement grundlegend verändern und Echtzeit-Targeting und -Analysen nutzen, um die richtigen Personen mit der richtigen Botschaft zum richtigen Zeitpunkt zu erreichen. Nur so lässt sich das menschliche Cyberrisiko in grossem Umfang reduzieren."
