Laut einer aktuellen Studie von MetaCompliance verlieren klassische Security-Awareness-Programme an Wirkung. Viele CISOs in Europa sehen das menschliche Verhalten weiterhin als größte Schwachstelle der Cybersicherheit. Denn trotz regelmäßiger Schulungen gelingt es Unternehmen scheinbar nicht ein nachhaltiges Sicherheitsbewusstsein zu etablieren. Im Human Cyber Risk Management wird deshalb ein stärkerer verhaltensbasierter Ansatz erforderlich.
Viele CISOs in Europa halten klassische Security-Schulungen offenbar nicht mehr für ausreichend, um Cyberrisiken wirksam zu reduzieren. Das geht aus einer aktuellen Studie von MetaCompliance hervor, für die 200 CISOs aus Deutschland, Frankreich, Schweden und dem Vereinigten Königreich befragt wurden.
Demnach sehen 78 Prozent der Befragten dringenden Überarbeitungsbedarf bei ihren bisherigen Schulungsansätzen. Gleichzeitig betrachten 68 Prozent der Unternehmen die eigenen Mitarbeitenden weiterhin als größtes Sicherheitsrisiko.
MetaCompliance, Anbieter für Human Cyber Risk Management, sieht darin ein deutliches Signal dafür, dass menschliches Verhalten nach wie vor eine zentrale Schwachstelle in der Cybersicherheit bleibt.
Schulungen greifen laut CISOs zu kurz
Nach Einschätzung vieler Befragter liegt das Problem nicht allein in fehlenden Trainingsmaßnahmen, sondern in der grundsätzlichen Herangehensweise.
81 Prozent der CISOs sind überzeugt, dass klassische Security-Awareness-Programme scheitern, da sie Cyberrisiken durch menschliche Fehler lediglich als Schulungsthema behandeln – nicht aber als unternehmensweite Aufgabe des Risikomanagements.
Die Studie belegt zudem, dass Unternehmen ferner erhebliche Ressourcen in Awareness-Maßnahmen investieren. Im Durchschnitt fließen laut MetaCompliance rund 15 Prozent des jährlichen Sicherheitsbudgets in entsprechende Trainingsprogramme. Zudem bieten 79 Prozent der Unternehmen mindestens alle zwei Wochen Schulungen an.
Fehlende Verankerung im Arbeitsalltag
Trotz dieser Investitionen bleibt die Wirksamkeit vieler Programme begrenzt. Ein Viertel der befragten Organisationen gibt an, Schwierigkeiten zu haben, überhaupt die Aufmerksamkeit der Mitarbeitenden zu gewinnen.
Weitere 24 Prozent schaffen es laut Studie nicht, ein sicherheitsbewusstes Verhalten dauerhaft im Arbeitsalltag zu etablieren. Ebenso berichten viele Unternehmen von Problemen, abteilungsübergreifend ein gemeinsames Sicherheitsverständnis zu schaffen.
Damit deutet die Untersuchung darauf hin, dass Sicherheitsrisiken nicht ausschließlich durch mangelndes Wissen entstehen, sondern auch durch organisatorische und kulturelle Faktoren innerhalb der Unternehmen.
Verhaltensbasierte Sicherheitsstrategien gewinnen an Bedeutung
Parallel dazu zeichnet sich laut MetaCompliance ein Wandel hin zu stärker verhaltensorientierten Sicherheitsansätzen ab. 79 Prozent der befragten CISOs beschäftigen sich bereits mit Konzepten des Human Cyber Risk Managements.
Dabei geht es darum, Sicherheitsverhalten kontinuierlich zu analysieren und Awareness-Maßnahmen stärker an tatsächlichen Verhaltensmustern auszurichten.
Nach Einschätzung des Unternehmens schreitet dieser Wandel jedoch langsamer voran als die zunehmende Bedrohungslage im Cyberumfeld.
Menschliches Verhalten bleibt kritischer Faktor
Die Studienergebnisse verdeutlichen laut MetaCompliance, dass Unternehmen menschliche Risiken künftig stärker als strategischen Bestandteil ihrer Sicherheitsarchitektur betrachten müssen.
Denn trotz regelmäßiger Trainings und hoher Investitionen bleibt menschliches Fehlverhalten für viele CISOs die zentrale Herausforderung der Cybersicherheit.
Weitere Informationen zur MetaCompliance GmbH finden Sie hier.
