Employee Security Index (ESI®): Die Security-Awareness-Kennzahl

Employee Security Index (ESI®): Die Security-Awareness-Kennzahl

Was ist der Employee Security Index (ESI®)?

Der ESI® ist eine Security-Awareness-Kennzahl und macht das IT-Sicherheitsbewusstsein Ihrer Mitarbeiter messbar. Er wurde wissenschaftlich entwickelt, hat ein Patent erhalten und bietet durch seine Standardisierung eine hohe Vergleichbarkeit und Reliabilität.

Gegen was, unter welchen Bedingungen und bis zu welchem Grad ist man sicher? Diese Frage bringt große Herausforderungen mit sich, wenn es um die Absicherung des Unternehmens und Investitionsentscheidungen geht. Für den Bereich Social Engineering- und Phishing-Awareness hat IT-Seal einen Benchmark, den „Employee Security Index“ (ESI®), entwickelt.

Der Employee Security Index basiert auf einem standardisierten Framework, das verschiedene Angreifertypen berücksichtigt, indem es viele verschiedene Angriffe mit unterschiedlicher Vorbereitungszeit simuliert. Bei unseren Kunden werden dazu vollautomatisiert hunderte unterschiedlichste Angriffe in verschiedenen Schwierigkeitsgraden erstellt und versendet (patentiert). Dabei stellen wir sicher, dass jeder Teilnehmer eine andere E-Mail erhält und klammern somit den Flurfunk aus – der zwar effektiv die Sicherheit erhöht aber die Messung stark verfälscht.

Video abspielen

Unser Gründer und Geschäftsführer, David Kelm, erklärt Ihnen den ESI®

Die Patenterteilung unterstreicht den wissenschaftlichen Ansatz sowie die Einzigartigkeit des ESI®, als Kontrollinstrument zur Messung und Überwachung der Security Awareness in Unternehmen!

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Video abspielen

ESI®der wissenschaftliche Benchmark zur Messung der Security Awareness.

Warum machen wir das?

Einzelne Phishing Simulation führen schnell in die Irre: Die Klickraten können sich von E-Mail zu E-Mail sehr unterscheiden – dies gilt vor allem, wenn interne Informationen eingesetzt werden. Abhängig vom Thema, Schreibstil, konkreten Sendezeitpunkt, Design oder Absender, klicken die Mitarbeiter schnell oder eben nicht. Leicht kann man eine Phishing-Mail erstellen, auf die 80 Prozent der Mitarbeiter klicken oder eine, auf die nur 2 Prozent hereinfallen. Damit ist jedoch noch keine Aussage möglich, wie gut die Mitarbeiter wirklich sind, sondern nur darüber, wie gut die Phishing-Mail gepasst hat.

Um daher eine Aussage darüber treffen zu können, wie gut das Sicherheitsverhalten der Mitarbeiter wirklich ist, ist es notwendig, eine Vielzahl von unterschiedlichen Angrifsssimulationen durchzuführen. Nur so kann man einzelne „Glückstreffer“ herausfiltern. Die Ergebnisse von diesen vielen unterschiedlichen Angriffen wird entsprechend im ESI® zusammengefasst und in Form von Ampel-Signalfarben verdeutlicht.

Wie funktioniert der Employee Security Index (ESI®)?

Der ESI® macht auf wissenschaftlicher Basis Security-Awareness-Trainings messbar.

Standardisierung als Basis für Messbarkeit

Um Security Awareness messbar zu machen, ist eine realitätsnahe Simulation von Angriffen unabdingbar. Einzelne Angriffe sollten außerdem miteinander vergleichbar sein – nur so kann eine Messung über einen längeren Zeitraum Aufschluss über die Entwicklung der Security Awareness geben.

Um Social Engineering-Angriffe miteinander vergleichbar zu machen, nehmen wir eine Klassifizierung in verschiedene Kategorien vor. Ausschlaggebend ist dabei die Vorbereitungszeit, die ein Krimineller in die Vorbereitung und Durchführung eines Angriffsszenarios investieren muss.

Diese setzt sich z.B. aus der Informationsbeschaffung (OSINT), der technischen Vorbereitung, dem Kopieren von Designs (Clone Phishing), sowie der Bereithaltung der Infrastruktur zusammen. So lassen sich fünf Kategorien einteilen, welche jeweils einer Vorbereitungszeit von ca. 1, 3, 10, 20 und 40 Stunden entsprechen.
Die Tabelle zeigt den Aufwand von Spear-Phishing-Mails
Übersicht der Vorbereitungszeit für Phishing-Angriffsszenarien
ESI_Schaubild_hochformat_bg_white
Bewertung auf einen Blick: der ESI® arbeitet mit vier Kategorien

Vorgehensweise zur Ermittlung des ESI®

  • Jedes Mitglied einer Mitarbeitergruppe erhält mehrere individuelle Spear Phishing E-Mails in verschiedenen Schwierigkeitsgraden
  • Die Reaktion (das Sicherheitsverhalten) der Mitarbeiter wird gemessen
  • Das Verhalten bzgl. der verschiedenen Schwierigkeitsgrade wird in Relation zu einer „vorbildlichen“ Testgruppe gesetzt, die einen ESI® von 90 zugewiesen bekommt
  • Bei einem Sicherheitsverhalten mit einer doppelt so hohen Fehlerrate im Vergleich zu der „vorbildlichen“ Testgruppe wird ein ESI® von 80 erreicht, bei einer dreimal so hohen Fehlerrate ein ESI® von 70 und so weiter

Kritisches Durchschnittsniveau zeigt Handlungsbedarf

Eine Auswertung aus über 75.000 simulierten E-Mails gibt einen aufschlussreichen, unternehmensübergreifenden Einblick in das Sicherheitsverhalten einzelner Fachbereiche, wie in der Abbildung rechts dargestellt.

Alle Testgruppen zeigen eine kritische Phishing Awareness, mit einem durchschnittlichen Employee Security Index von 46,2. Während die Abteilungen HR, IT und Finanzen unternehmensübergreifend überdurchschnittlich abschneiden, fallen am unteren Ende vor allem der Vertrieb, die Assistenzen und das C-Level auf.

Grafik_ESI_Gruppenvergleich_bg_white#
Ermittlung des Employee Security Index im Rahmen einer vierwöchigen Phishing-Simulation für verschiedene Fachbereiche.
ESI_Schaubild_Projektverlauf_80_DE_weiss

Der ESI® in der Awareness Academy

Mithilfe von der Awareness Academy definieren Sie sich einen Ziel-ESI®, welchen wir gemeinsam mit Ihnen erreichen werden. Dabei setzen wir neben unserer Phishing-Simulation auch andere Security-Awareness-Maßnahmen ein, wie z.B. Kurzvideos, Präsenzschulungen und E-Learnings.

Der ESI® stellt damit ein Kontrollinstrument dar, mit welchem die Security Awareness in Unternehmen kontinuierlich überwacht werden kann. Die Effektivität einzelner Schulungsmaßnahmen kann überprüft und konkreter Bedarf festgestellt werden. Die anonymisierte Auswertung der Ergebnisse auf Gruppenbasis trägt dabei dem Mitarbeiterschutz zu. Die Kommunikation sowohl mit dem Management als auch mit der Belegschaft wird durch eine greifbare Kennzahl erleichtert: Eine quantitative Analyse der Security Awareness bietet einen direkten Vergleich mit anderen Unternehmen ähnlicher Branchen und kann so als Entscheidungsgrundlage für weitere Investitionen genutzt werden.

Die Ziel-ESI® Sicherheitsgarantie von IT-Seal

Wussten Sie schon, dass Ihnen IT-Seal – als einziger Anbieter am Markt! – eine Garantie auf die Erreichung des angestrebten Sicherheitsniveaus gibt?

  • Zu Beginn des Trainings geben Sie mit dem Ziel-ESI® das gewünschte Sicherheitsniveau vor.
  • Wir kümmern uns im Full-Service darum, dass dieses innerhalb von 12 Monaten garantiert erreicht wird.
  • Sollte dem nicht so sein, trainieren wir Ihre Mitarbeiter:innen „unentgeltlich“ weiter, bis der Ziel-ESI® und damit das angestrebte Sicherheitsniveau erreicht ist!

Wir liefern, was wir versprechen!

Unser Whitepaper zum EMPLOYEE SECURITY INDEX (ESI®)

Das Whitepaper zu unserem eigens entwickelten Employee Security Index (ESI®) informiert Sie wissenschaftlich und sachlich über die Vorteile unseres Benchmarks.
Whitepaper kostenlos anfordern

Unser Whitepaper zum EMPLOYEE SECURITY INDEX

Unser Whitepaper über den Employee Security Index
Das Whitepaper zu unserem eigens entwickelten Employee Security Index (ESI®) informiert Sie wissenschaftlich und sachlich über die Vorteile unseres Benchmarks.
WHITEPAPER ANFORDERN
Unser Whitepaper über den Employee Security Index

Unser Whitepaper zum EMPLOYEE SECURITY INDEX

Das Whitepaper zu unserem eigens entwickelten Employee Security Index (ESI®) informiert Sie wissenschaftlich und sachlich über die Vorteile unseres Benchmarks.
WHITEPAPER ANFORDERN

Jetzt zur kostenlosen Demo anmelden!

Testen Sie Ihre Security Awareness und lernen Sie folgende Bausteine der IT-Seal Awareness Academy unverbindlich kennen:

  • Spear-Phishing-Simulation
  • E-Learning-Angebot im Security Hub
  • Demo-Projekt im Awareness Manager
  • Schritt 1: Melden Sie sich mit Ihrer geschäftlichen E-Mail-Adresse an.

 

  • Schritt 2: Sie erhalten eine Bestätigungs-Mail, mit der Sie Ihre Anmeldung bestätigen.

 

  • Schritt 3: Nach Bestätigung Ihrer Anmeldung erhalten Sie sofort Ihren zweiwöchigen Test-Zugang zu unseren E-Learnings im Security Hub und zu einem Demo-Projekt im Awareness Manager.
  •  
  • Gleichzeitig startet die Phishing-Simulation und Sie erhalten innerhalb von zwei Tagen insgesamt 4 simulierte Phishing-E-Mails.

 

Zum Abschluss erhalten Sie Ihre persönliche Auswertung, der Sie entnehmen können, welche Phishing-Mails Sie erkannt haben und auf welche Sie reingefallen sind.

Klingt gut? Dann machen Sie den kostenfreien Test!

Ordern Sie jetzt einen kostenlosen Demo-Zugang, über den Sie folgende Bausteine der IT-Seal Awareness Academy unverbindlich testen können:

  • Spear-Phishing-Simulation
  • E-Learning-Angebot im Security Hub
  • Echtzeit-Monitoring im Awareness-Manager
Jetzt kostenfrei testen

Hilpertstr. 31 | 64295 Darmstadt | Telefon: +49 6151 86 27 000
Made with ♥ in Security Valley Darmstadt

MicrosoftTeams-image (10)
IT-Seal GmbH Phishing Simulation, Security Awareness Programm, Social Engineering Prävention hat 4,65 von 5 Sternen 78 Bewertungen auf ProvenExpert.com

Danke für Ihr Interesse an IT-Seal.

Bitte wählen Sie aus, welche Publikationen wir Ihnen per E-mail zukommen lassen dürfen:
Erfahrungen & Bewertungen zu IT-Seal GmbH
IT-Seal bietet IT-Security made in Germany.