Security Awareness Report des SANS Institut Mit Strategie und KI zu wirksamer Security Awareness

80 Prozent der Unternehmen sehen Social Engineering als größte Cyber­gefahr. Laut SANS-Report braucht es nachhaltige Awareness-Programme, mehr Bewusstsein für die Bedeutung menschlichen Verhaltens und den Einsatz von KI, um das Risiko wirksam zu senken.

Laut der zehnten Ausgabe des „Security Awareness Reports: Embedding a Strong Security Culture“ des SANS Institute sehen 80 Prozent der Unternehmen Social Engineering als das größte Risiko. Die Ergebnisse des Reports basieren auf Umfrage von mehr als 2.700 Security-Awareness-Praktikern aus über 70 Ländern.

Security Awareness Trainings

KI soll das Lernen personalisieren

Risiken und Herausforderungen

Innerhalb des Social Engineerings sorgen sich die Befragten am meisten vor Phishing, Smishing – SMS-basiertem Phishing – und Vishing – Phishig beim Gespräch über das Telefon. Die Zu­nah­me von sensiblen Daten sowie der Umgang damit steht bei den Befragten auf Platz zwei der größten Risiken für ihr Unternehmen. Es folgen schwache Passwörter sowie unzureichende Authentifizierung auf Platz drei. Außerdem nannten die Befragten folgende Herausforderungen:

• 1. Social Engineering

• 2. Umgang mit sensiblen Daten

• 3. schwache Passwörter und unzureichende Authentifizierung

• 4. falsche Verwendung von KI

• 5. Fehler beim Aufspüren und Berichten von Sicherheitsvorfällen

• 6. Cloud-Fehlkonfigurationen oder unsicherer Einsatz der Cloud

• 7. unbeabsichtigte Fehler, wie fehlgeleitete E-Mails

• 8. soziale Medien und Netzwerke sowie das übermäßige Teilen von Informationen darin

• 9. böswillige Insider

Empfehlung der Redaktion

In Folge 82 des Security-Insider Podcasts hat unsere Redaktion mit Professor Angela Sasse von der Ruhr-Universität Bochum gesprochen. Prof. Sasse forscht und lehrt dort zu menschlichem Verhalten in der Cybersicherheit. Mit ihr haben wir darüber gesprochen, wie CISOs ihre Kollegen und Mitarbeitenden dabei unterstützen können, unsichere Verhaltensweisen gegen sichere Routinen einzutauschen. Reinhören lohnt sich!

Aus diesen Ergebnissen schließen die Studienautoren, dass gezieltes, verhaltensorientiertes Training für Mitarbeitende geschäftskritisch ist. Doch was sind die Flaschenhälse in Unter­nehmen, die es erschweren, ein nachhaltiges Security-Awareness-Programm auf die Beine zu stellen? Auch hiernach hat das SANS Institute gefragt:

• 1. Mangel an Zeit

• 2. Mangel an Personal

• 3. Mangel an Budget

• 4. fehlende Zusammenarbeit mit anderen Abteilungen

• 5. fehlendes Engagement der Belegschaft

• 6. fehlende Unterstützung durch Führungsebene

• 7. fehlende Skills und Wachwissen der Programmleiter

• 8. unklare Priorisierung der Programmthemen

Gerade wenn es um den Mangel an Budget und Zeit geht sowie um fehlendes Wissen sowie Probleme bei der Priorisierung empfiehlt das Institut den Einsatz von Generativer KI, um Security-Teams zu entlasten und die Wirkung ihrer Arbeit zu skalieren.

Forrester und Google

Unternehmen kämpfen mit fehlenden Threat-Analysten

Wie wird Security Awareness erfolgreich?

Dem SANS Institute zufolge zeigte sich schon zum sechsten Mal, dass größere Security-Awareness-Teams betreiben reifere Programme zur Sensiblisierung der Mitarbeitenden betreiben. Laut der Studie reichen 2,8 Vollzeitkräfte im Durchschnitt aus, damit ein Unter­nehmen regelmäßig und nachhaltig das Verhalten der Mitarbeitenden in Bezug auf Cyber­sicher­heit beeinflussen kann. Um aber noch weiterzugehen und das Sicherheits­bewusst­sein in der gesamten Unternehmenskultur zu festigen, brauche es mindestens vier oder mehr Voll­zeit­kräfte im Awareness-Team. Dabei gilt: Langfristige Stabilität ist entscheidend. Je länger ein Programm etabliert ist, desto wahrscheinlicher verbessert es Prozesse, stärkt Partnerschaften und bindet Mitarbeiter aktiv ein, um menschliches Risiko zu senken.

Raus aus dem IT-Hamsterrad!

IT-Automatisierung mit KI entlastet Security-Teams

Sechs Empfehlungen haben die Studienautoren aus den Ergebnissen abgeleitet:

• Sprache von Risiko und Kultur nutzen: Statt Awareness nur als Compliance zu verkaufen, sollte sie klar mit Risikomanagement und Sicherheitskultur verknüpft werden, um Führungskräfte zu überzeugen.

• Investitionslücke aufzeigen: Verantwortliche sollten verdeutlichen, dass meist massiv in Technik, aber kaum in den „Faktor Mensch“ investiert wird. Empfohlen wird ein Verhältnis von etwa 10:1 von Technik zu Mensch.

• KI einsetzen: Generative KI kann wie ein „virtueller Praktikant“ helfen: beim Erstellen von Awareness-Inhalten, wie E-Mails und Kampagnen, bei Analysen oder zur Ideenfindung. So gewinnen Teams Zeit, auch wenn Stellen fehlen.

• Partnerschaften entwickeln: Mit der Personalabteilung, dem Marketing und Business Operations zusammenarbeiten, um Kulturaufbau, Engagement und Datenanalysen zu stärken.

• Regelmäßige Kommunikation mit Leadership: Jeden Monat Kennzahlen und Erfolgs­ge­schichten sammeln und an die Führung berichten, um dauerhafte Unterstützung zu sichern.

• Mit Sicherheitsteams kooperieren: Etwa mit Security Operations Center (SOC) oder Incident Response, um deren „Human Risk“-Herausforderungen zu verstehen und zu adressieren.

Cybersecurity Hiring Trends

Stellenbesetzung dauert in Deutschland besonders lange

(ID:50517712)