Eine neue Studie von Hornetsecurity zeigt, dass 26 % der Unternehmen keine IT-Sicherheitsschulungen für Endanwender nutzen. + Jeder vierte Befragte war bereits von einem Cybersicherheitsvorfall betroffen – 23 % davon im letzten Jahr. + Etwa vier von zehn Befragten (39 %) gaben an, dass ihre Schulungen die neuesten oder KI-gestützte Cyberbedrohungen nicht ausreichend abdecken
Eine neue Umfrage, die der Cybersicherheitsanbieter Hornetsecurity heute auf der Infosecurity Europe veröffentlicht hat, deckt erhebliche Lücken bei IT-Sicherheitsschulungen auf: Ein Viertel (26 %) der Unternehmen bieten ihren Endnutzern noch immer keine Schulungen an.
Die Umfrage, bei der Feedback von Branchenexperten aus der ganzen Welt eingeholt wurde, zeigt auch, dass nicht einmal jedes zehnte Unternehmen (8 %) adaptive Schulungen anbietet, die sich auf Grundlage von regelmäßig durchgeführten Sicherheitstests weiterentwickeln. In einer sich schnell entwickelnden Cybersicherheitslandschaft, in der böswillige Bedrohungsakteure fortlaufend neue Wege finden, um Unternehmen zu infiltrieren und zu schädigen, ist dies ein ernstes Problem.
Mangelhafte Schulungen – KI-relevante Inhalte fehlen
Im Mittelpunkt der Cyber-Sicherheitsstrategie eines jeden Unternehmens sollten die Mitarbeiter stehen. Schließlich sind Phishing-Attacken, bei denen das Vertrauen der Menschen ausgenutzt wird, die beliebteste Art von Cyber-Angriffen. Daher müssen die Mitarbeiter mit den Fähigkeiten, dem Verständnis und dem Selbstvertrauen ausgestattet werden, potenzielle Attacken zu erkennen. Leider hat die Studie von Hornetsecurity gezeigt, dass es nicht nur erhebliche Lücken in der Mitarbeiterschulung gibt, sondern auch, dass diese Initiativen als unwirksam angesehen werden. Fast ein Drittel (31%) der Befragten gab an, dass ihre Schulungen aufgrund der mangelhaft ausgestalteten Lerninhalte nicht oder nur wenig motivierend seien.
Trotz des geringen Engagements sind 79 % der Unternehmen der Ansicht, dass ihre IT-Sicherheitsschulungen zumindest mäßig wirksam bei der Bekämpfung von Cyberbedrohungen sind. Fast vier von zehn (39 %) der Befragten gaben jedoch an, dass die Schulungen nicht ausreichend auf aktuelle oder KI-gestützte Cyberbedrohungen eingehen. In einer Welt, in der KI das Ausmaß und die Wirksamkeit von Angriffen beschleunigt und vergrößert, ist dies alarmierend.
„Unsere jüngste Studie zeigt, dass das Potenzial von Cybersicherheitsschulungen bisher nur unzulänglich genutzt wird. Vor allem vor dem Hintergrund, dass KI-gestützte Angriffe die Anzahl der gezielten Attacken signifikant erhöhen, ist dies eine alarmierende Erkenntnis“, erklärt Daniel Blank, COO von Hornetsecurity. „Die Mitarbeiter müssen kontinuierlich geschult werden, um die technischen Abwehrmechanismen zu stärken und als menschliche Firewall zu fungieren. Dieser Aspekt ist wichtig, damit das Training die größtmögliche Wirkung entfalten kann. Es ist zwar essenziell, in die neuesten Cybersicherheitstechnologien zu investieren, aber eine nachhaltige Sicherheitskultur bedeutet auch, in die Menschen zu investieren.“
Mangelnde Berichterstattung bei Security-Vorfällen
Die Umfrage ergab, dass jedes vierte Unternehmen von einer Verletzung der Cybersicherheit oder einem Cybersicherheitsvorfall betroffen war – 23 % davon im letzten Jahr.
Bemerkenswert ist, dass 94 % dieser Unternehmen Maßnahmen ergriffen haben, um ihre Sicherheit zu verbessern, indem sie nach dem Vorfall zusätzliche Kontrollen einführten. Trotz dieser Bemühungen stellten 52 % der Befragten fest, dass die Endnutzer erkannte E-Mail-Bedrohungen oft ignorieren oder löschen, ohne sie zu melden und 38 % die Schulungsinhalte nicht nachhaltig verinnerlichen. Dies zeigt, dass einmalige Schulungsmaßnahmen, die wenig Anreiz für den Anwender bieten, lediglich eine geringe Wirkung zeigen. Um das Sicherheitsniveau im Unternehmen nachhaltig zu steigern, bedarf es kontinuierlicher Schulungsinhalte, die auf den individuellen Wissenstand jedes Mitarbeiters zugeschnitten sind und attraktive Lernanreize, wie beispielsweise Gamification-Komponenten, bieten.
Die Umfrage hat darüber hinaus gezeigt, dass die Teilnehmer besonders an einem effektiveren Toolkit für die Zeit nach der Schulung interessiert sind, das ihnen dabei helfen kann, die erlernten Sicherheitsmaßnahmen zu behalten und anzuwenden. Ein weiterer verbesserungswürdiger Bereich ist die Rückmeldung bei gemeldeten Bedrohungen. 28% der Befragten gaben mangelndes Feedback als Grund dafür an, dass sie sich nicht an die Schulungsprotokolle halten.
Die Notwendigkeit einer zeitgemäßen Schulung
45 % der IT-Entscheidungsträger sind der Ansicht, dass ihre derzeitigen Schulungsinhalte veraltet und unwirksam gegen KI-gestützte Angriffe sind. Diese Einschätzung wird von 39 % der allgemein Befragten geteilt, was den Bedarf an aktuellen und umfassenden Schulungsinhalten verdeutlicht.
„Es ist von entscheidender Bedeutung, dass Unternehmen nicht nur regelmäßige, ansprechende und anpassungsfähige Schulungen anbieten, sondern auch sicherstellen, dass diese Programme die neuesten und raffiniertesten Cyber-Bedrohungen abdecken“, so Blank. „Aus diesem Grund haben wir den Hornetsecurity Security Awareness Service entwickelt, eine Lösung der nächsten Generation, die automatisiert die richtigen Schulungsinhalte für jeden Mitarbeiter bereitstellt. Auf diese Weise können Unternehmen das entsprechende Maß an Weiterbildung anbieten, ohne IT-Ressourcen für die Einrichtung und Durchführung dieser Schulungen zu binden.“
Blank betont weiter: „Proaktives Handeln ist der Schlüssel: Anstatt sich nach einem Vorfall zu konsolidieren, sollten Unternehmen Angriffen zuvorkommen und robuste Systeme und Prozesse einrichten. Das spart viel Zeit, Aufwand und Kosten.“
Cyber-Versicherung und Präventivmaßnahmen
Mehr als die Hälfte der befragten Unternehmen (56 %) nutzt inzwischen eine Cyber-Versicherung. Dies deutet darauf hin, dass der Bedarf steigt, sich gegen die finanziellen Schäden von Cybervorfällen abzusichern. Darüber hinaus führen 79 % der Unternehmen die Verhinderung von Cybersicherheitsvorfällen direkt auf ihre IT-Sicherheitsschulungen zurück, während 92 % bestätigen, dass die Schulung die Endnutzer in die Lage versetzt hat, Sicherheitsbedrohungen über verschiedene Medien und nicht nur per E-Mail zu erkennen.