Sicherheit ist eine schwierig zu messende Größe.
Gegen was, unter welchen Bedingungen und bis zu welchem Grad ist man sicher? Wie gut beherrscht die Belegschaft als „menschliche Firewall“ die digitale Selbstverteidigung? Vor allem IT-Sicherheitsverantwortliche stehen hier vor großen Herausforderungen, sowohl in der Absicherung des Unternehmens gegenüber Cyberangriffen als auch bei Investitionsentscheidungen. Der Return of Invest ist meist nur sehr unpräzise bestimmbar, was die Rechtfertigung von Budgetforderungen erschwert.
Awareness-Benchmark basierend auf universitärer Forschung.
Für den Bereich Social Engineering- und Phishing-Awareness hat IT-Seal im akademischen Austausch einen Benchmark entwickelt und zum Patent angemeldet. Dieser bestimmt, welcher Zustand als „sicher“ gilt. Ein Unternehmen kann nun basierend auf dem Verhalten, welches seine Belegschaft gegenüber zielgerichteten Angriffen zeigt, konkret bewertet werden. Die Reaktion auf Social Engineering-Angriffe wird gemessen und die Ergebnisse anschließend mit dem als „sicher“ definierten Unternehmen verglichen. Dieses Konzept schafft Transparenz und Vergleichbarkeit.
Der Employee Security Index (ESI®) macht Sicherheit messbar.
Im Rahmen unserer Social Engineering-Simulationen haben wir dieses Konzept in eine Kennzahl gepackt, den Employee Security Index (ESI®). Dieser bildet schnell und verständlich ein Maß für die Mitarbeitersicherheit im Unternehmen ab. Basierend auf dem aktuellen Stand der Forschung und unserer Erfahrung mit Phishing-Simulationen in Unternehmen verschiedenster Branchen haben wir Toleranzwerte für das Verhalten von Mitarbeitern gegenüber Social Engineering-Angriffen abgeleitet. Der Toleranzwert ist dabei jeweils abhängig von der Vorbereitungszeit, die ein Angreifer für den entsprechenden Angriff aufwenden muss.
An der Schnittstelle zwischen absoluter Sicherheit und Realisierbarkeit erreicht ein als „sicher“ definiertes Unternehmen auf einer Skala von 0-100 einen ESI® von 90. Unser Kundenunternehmen kann nach Festlegen eines individuellen Ziel-ESI zum einen kontinuierlich den angestrebten Wert überprüfen. Zum anderen kann der ESI® auch für Untergruppen ermittelt werden. Wer ist sicherer, der Vertrieb oder die Personalabteilung, und wie steht die Geschäftsführung im Vergleich zur Buchhaltung da? Diese Informationen sind wertvoll, wenn es um weitere gezielte Maßnahmen wie Schulungen geht.
IT-Sicherheitsbewusstsein: Komplexität in einer Zahl.
Phishing kann von einfach erkennbaren Massen-E-Mails zu maßgeschneidertem Spear Phishing reichen. Daher erfolgt die konkrete Berechnung des ESI nicht lediglich durch das Messen und Vergleichen von Klickraten. In unserer Awareness Academy simulieren wir Angriffsszenarien verschiedener Schwierigkeitslevel. Die resultierenden Klickraten werden unterschiedlich gewertet, um den herrschenden Sicherheitsstandard möglichst genau abzubilden. Zeitlicher Verlauf, Gruppenergebnisse, Zielsetzungen und Handlungsempfehlungen können alle durch den ESI dargestellt werden – über die API auch direkt im SOC (Security Operations Center) unserer Kunden. Somit wird das komplexe Thema des menschlichen Sicherheitsbewusstseins auf einer Skala von 1 bis 100 messbar. Und kommunizierbar: Über einen gemeinsam erreichten Wert von 87 freuen sich sowohl die Geschäftsführung als auch die Mitarbeiter.
