EMPLOYEE SECURITY INDEX (ESI®): die Security-Awareness-Kennzahl
Startseite » Awareness-Technologie » Employee Security Index
Was ist der Employee Security Index (ESI®)?

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Warum machen wir das?
Einzelne Phishing Simulation führen schnell in die Irre: Die Klickraten können sich von E-Mail zu E-Mail sehr unterscheiden – dies gilt vor allem, wenn interne Informationen eingesetzt werden. Abhängig vom Thema, Schreibstil, konkreten Sendezeitpunkt, Design oder Absender klicken die Mitarbeiter schnell oder eben nicht. Leicht kann man eine Phishing-Mail erstellen, auf die 80 Prozent der Mitarbeiter klicken oder eine auf die nur 2 Prozent hereinfallen. Damit ist jedoch noch keine Aussage möglich, wie gut die Mitarbeiter wirklich sind, sondern nur darüber, wie gut die Phishing-Mail gepasst hat. Um daher eine Aussage darüber treffen zu können, wie gut das Sicherheitsverhalten der Mitarbeiter wirklich ist, ist es notwendig, eine Vielzahl von unterschiedlichen Angrifsssimulationen durchzuführen. Nur so kann man einzelne „Glückstreffer“ herausfiltern. Die Ergebnisse von diesen vielen unterschiedlichen Angriffen wird entsprechend im ESI® zusammengefasst und in Form von Ampel-Signalfarben verdeutlicht.
Wie funktioniert der Employee Security Index (ESI®)?
Der ESI® macht auf wissenschaftlicher Basis Security-Awareness-Trainings messbar.
Standardisierung als Basis für Messbarkeit
Um Security Awareness messbar zu machen, ist eine realitätsnahe Simulation von Angriffen unabdingbar. Einzelne Angriffe sollten außerdem miteinander vergleichbar sein – nur so kann eine Messung über einen längeren Zeitraum Aufschluss über die Entwicklung der Security Awareness geben.
Um Social Engineering-Angriffe miteinander vergleichbar zu machen, nehmen wir eine Klassifizierung in verschiedene Kategorien vor. Ausschlaggebend ist dabei die Vorbereitungszeit, die ein Krimineller in die Vorbereitung und Durchführung eines Angriffsszenarios investieren muss.
Diese setzt sich z.B. aus der Informationsbeschaffung (OSINT), der technischen Vorbereitung, dem Kopieren von Designs (Clone Phishing), sowie der Bereithaltung der Infrastruktur zusammen. So lassen sich fünf Kategorien einteilen, welche jeweils einer Vorbereitungszeit von ca. 1, 3, 10, 20 und 40 Stunden entsprechen.
Vorgehensweise zur Ermittlung des ESI®
- Jedes Mitglied einer Mitarbeitergruppe erhält mehrere individuelle Spear Phishing E-Mails in verschiedenen Schwierigkeitsgraden
- Die Reaktion (das Sicherheitsverhalten) der Mitarbeiter wird gemessen
- Das Verhalten bzgl. der verschiedenen Schwierigkeitsgrade wird in Relation zu einer „vorbildlichen“ Testgruppe gesetzt, die einen ESI® von 90 zugewiesen bekommt
- Bei einem Sicherheitsverhalten mit einer doppelt so hohen Fehlerrate im Vergleich zu der „vorbildlichen“ Testgruppe wird ein ESI® von 80 erreicht, bei einer dreimal so hohen Fehlerrate ein ESI® von 70 und so weiter
Kritisches Durchschnittsniveau zeigt Handlungsbedarf
Eine Auswertung aus über 75.000 simulierten E-Mails geben einen aufschlussreichen Einblick in das Sicherheitsverhalten einzelner Fachbereiche, wie in der Abbildung links unternehmensübergreifend dargestellt.
Alle Testgruppen zeigen eine kritische Phishing Awareness, mit einem durchschnittlichen Employee Security Index von 46,2. Während die Abteilungen HR, IT und Finanzen unternehmensübergreifend überdurchschnittlich abschneiden, fallen am unteren Ende vor allem die Führungskräfte, Assistenzen und das C-Level auf.
Der ESI® in der Awareness Academy
Unser Whitepaper zum EMPLOYEE SECURITY INDEX
