Author : admin

Aktuelle Diskussionen über die Wirksamkeit von Cybersecurity-Awareness wurden durch medienwirksame Berichterstattung erneut angefacht. Besonders deutlich wird dies durch einen Artikel im Wall Street Journal, der sich auf die Studie „Understanding the Efficacy of Phishing Training in Practice“ stützt und die Frage aufwirft, ob Phishing-Simulationen und Awareness-Trainings tatsächlich zu einer relevanten Reduktion des Risikos führen.

Die Debatte an sich ist sinnvoll und notwendig. Die daraus gezogenen Schlussfolgerungen erfordern jedoch eine deutlich differenziertere Betrachtung.

Eine wachsende Zahl empirischer Untersuchungen zeigt, dass gut konzipierte Cybersecurity-Awareness-Programme das sicherheitsrelevante Verhalten im realen Umfeld messbar verbessern. Was dabei häufig nicht funktioniert, ist weniger Awareness an sich, sondern ein zu enges Verständnis davon, was Awareness bedeutet, wie sie organisatorisch verankert werden sollte und anhand welcher Kriterien ihr Erfolg bewertet wird.

Häufige mögliche Fehlentscheidungen auf Kundenseite bei der Umsetzung von Security-Awareness-Projekten

Es ist wie bei jedem anderen Projekt: Man hält es für zu einfach, hört nicht genau zu oder hört auf die falschen Experten, glaubt, man würde es schon meistern, oder glaubt, man könnte es alleine schaffen, man spricht nicht genug miteinander und die Ziele und Anforderungen sind nicht so klar, wie sie sein sollten. Wenn man dann mit einer derart unpassenden Einstellung beginnt und das Management den Zweck, den Wert und die Vorteile einer echten Sensibilisierung nicht erkennt, kann das Projekt einen sehr holprigen Start nehmen.

Phishing-E-Mails sind selbst für versierte Mitarbeiter immer schwieriger zu erkennen. In einer aktuellen Studie wurden verschiedene große Sprachmodelle (LLMs) auf ihre Fähigkeit getestet, bösartige Inhalte in E-Mails zu erkennen, wobei sehr unterschiedliche Ergebnisse festgestellt wurden.

Ein herausragendes Produkt war Claude 3.5 Sonnet, das bei einer niedrigen Falsch-Positiv-Raten über 90 % erreichte und sogar verdächtige E-Mails markierte, die ein geübter Mitarbeiter übersehen hat. Als das Produkt Verdachtsfälle bewerten sollte, klassifizierte es alle Phishing-E-Mails korrekt und vermied gleichzeitig Fehlalarme bei legitimen Nachrichten. Allerdings hatte es mit regulären Phishing-Mails Schwierigkeiten und erreichte in dieser Kategorie nur eine True-Positive-Rate von 81%…

Unternehmensgründer werben um Investoren, um Finanzmittel und andere Unterstützung für ihre Geschäftsidee zu erhalten. Beim sog. „Reverse Pitching“ wird der Spieß umgedreht: Die Investoren und Kapitalgeber bewerben sich bei einem Start-up-Unternehmern, um in dem Unternehmen investieren zu dürfen.

Ist das eine gute Idee? Ja und Nein. ☺

In den letzten 15 Jahren habe ich Hunderte von Gesprächen mit Investoren geführt – und doch habe ich nie wirklich darüber nachgedacht, wie es wäre, wenn ein Investor mir sein Konzept vorstellen müsste und nicht umgekehrt.

Worauf würde ich achten?

Bedeutet das umgekehrt, dass man, sobald man die Produkt-Markt-Anpassung umgesetzt hat, sofort mit der Skalierung beginnen kann und sicher erfolgreich sein wird? Ich würde sagen: vielleicht, wahrscheinlich nicht.

Ja, 9 von 10 Start-ups scheitern. Und ja, die meisten von ihnen sind wahrscheinlich gescheitert, weil sie etwas angeboten haben, das der Markt nicht wirklich wollte. Aber ich habe einige Vorbehalte, dass die übrigen erfolgreich werden, weil der PMF (steht für Product Market Fit) erreicht wurde.

In den Anfängen wurde die Bedeutung von Cybersicherheits-Schulungen noch nicht vollständig verstanden. Die meisten Unternehmen versuchten jedoch, ihre Mitarbeiter durch Schulungen zu sensibilisieren, und es wurden zu Schulungszwecken die ersten Phishing-Kampagnen durchgeführt. Compliance spielte damals noch keine so große Rolle.

Ein Unternehmen existiert, weil die Mitarbeiter daran glauben, dass es einen Weg gibt, die Kunden glauben, dass es ein Problem löst, und die Investoren glauben, dass es etwas wert ist. 😉