EMPLOYEE SECURITY INDEX (ESI®): die Security-Awareness-Kennzahl

Awareness-Lösungen // EMPLOYEE SECURITY INDEX (ESI®)

Was ist der Employee Security Index (ESI®)?

Der ESI® ist eine IT-Security-Kennzahl und macht das IT-Sicherheitsbewusstsein Ihrer Mitarbeiter messbar. Er wurde wissenschaftlich entwickelt und bietet durch seine Standardisierung eine hohe Vergleichbarkeit und Reliabilität.

Gegen was, unter welchen Bedingungen und bis zu welchem Grad ist man sicher? Diese Frage bringt große Herausforderungen mit sich, wenn es um die Absicherung des Unternehmens und Investitionsentscheidungen geht. Für den Bereich Social Engineering- und Phishing-Awareness hat IT-Seal einen Benchmark, den „Employee Security Index“ (ESI®), entwickelt.

Basierend auf dem aktuellen Stand der Forschung und unserer Erfahrung mit Phishing-Simulationen in Unternehmen verschiedenster Branchen haben wir Toleranzwerte für das Verhalten von Mitarbeitern gegenüber Social Engineering-Angriffen abgeleitet. Der Toleranzwert ist dabei jeweils abhängig von der Vorbereitungszeit, die ein Angreifer für den entsprechenden Angriff aufwenden muss.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Unser Video erklärt Ihnen den ESI® in zwei Minuten

Wie funktioniert der Employee Security Index (ESI®)?

Der ESI® macht auf wissenschaftlicher Basis Security-Awareness-Trainings messbar.

Standardisierung als Basis für Messbarkeit

Um Security Awareness messbar zu machen, ist eine realitätsnahe Simulation von Angriffen unabdingbar. Einzelne Angriffe sollten außerdem miteinander vergleichbar sein – nur so kann eine Messung über einen längeren Zeitraum Aufschluss über die Entwicklung der Security Awareness geben.

Um Social Engineering-Angriffe miteinander vergleichbar zu machen, nehmen wir eine Klassifizierung in verschiedene Kategorien vor. Ausschlaggebend ist dabei die Vorbereitungszeit, die ein Krimineller in die Vorbereitung und Durchführung eines Angriffsszenarios investieren muss.

Diese setzt sich z.B. aus der Informationsbeschaffung (OSINT), der technischen Vorbereitung, dem Kopieren von Designs (Clone Phishing), sowie der Bereithaltung der Infrastruktur zusammen. So lassen sich fünf Kategorien einteilen, welche jeweils einer Vorbereitungszeit von ca. 1, 4, 10, 20 und 40 Stunden entsprechen.

Die Tabelle zeigt den Aufwand von Spear-Phishing-Mails
Übersicht der Vorbereitungszeit für Phishing-Angriffsszenarien
Der ESI® kategorisiert die Security Awareness.
Bewertung auf einen Blick: der ESI® arbeitet mit vier Kategorien

Vorgehensweise zur Ermittlung des ESI®

  • Jedes Mitglied einer Mitarbeitergruppe erhält mehrere individuelle Spear Phishing E-Mails in verschiedenen Schwierigkeitsgraden

  • Die Reaktion (das Sicherheitsverhalten) der Mitarbeiter wird gemessen

  • Das Verhalten bzgl. der verschiedenen Schwierigkeitsgrade wird in Relation zu einer „vorbildlichen“ Testgruppe gesetzt, die einen ESI von 90 zugewiesen bekommt

  • Bei einem Sicherheitsverhalten mit einer doppelt so hohen Fehlerrate im Vergleich zu der „vorbildlichen“ Testgruppe wird ein ESI von 80 erreicht, bei einer dreimal so hohen Fehlerrate ein ESI von 70 und so weiter

Kritisches Durchschnittsniveau zeigt Handlungsbedarf

Eine Auswertung aus über 75.000 simulierten E-Mails geben einen aufschlussreichen Einblick in das Sicherheitsverhalten einzelner Fachbereiche, wie in der Abbildung links unternehmensübergreifend dargestellt.

Alle Testgruppen zeigen eine kritische Phishing Awareness, mit einem durchschnittlichen Employee Security Index von 46,2. Während die Abteilungen HR, IT und Finanzen unternehmensübergreifend überdurchschnittlich abschneiden, fallen am unteren Ende vor allem die Führungskräfte, Assistenzen und das C-Level auf.

Mithilfe des Employee Security Index ist das Security-Awareness-Niveau verschiedener Abteilungen dargestellt.
Ermittlung des Employee Security Index im Rahmen einer vierwöchigen Phishing-Simulation für verschiedene Fachbereiche.
Awareness-Maßnahmen messen mit dem ESI®
Sie definieren das Ziel-Niveau, wir kümmern uns um den Rest

Der ESI® im Awareness-Programm „Lifetime“

Mithilfe von „Lifetime“ definieren Sie sich einen Ziel-ESI®, welchen wir gemeinsam mit Ihnen erreichen werden. Dabei setzen wir neben unserer Phishing-Simulation auch andere Security-Awareness-Maßnahmen ein, wie z.B. Kurzvideos, Präsenzschulungen und E-Learnings.

Der ESI® stellt damit ein Kontrollinstrument dar, mit welchem die Security Awareness in Unternehmen kontinuierlich überwacht werden kann. Die Effektivität einzelner Schulungsmaßnahmen kann überprüft und konkreter Bedarf festgestellt werden. Die anonymisierte Auswertung der Ergebnisse auf Gruppenbasis trägt dabei dem Mitarbeiterschutz zu. Die Kommunikation sowohl mit dem Management als auch mit der Belegschaft wird durch eine greifbare Kennzahl erleichtert: Eine quantitative Analyse der Security Awareness bietet einen direkten Vergleich mit anderen Unternehmen ähnlicher Branchen und kann so als Entscheidungsgrundlage für weitere Investitionen genutzt werden.

Unser Whitepaper zum EMPLOYEE SECURITY INDEX

Unser Whitepaper über den Employee Security Index

Das Whitepaper zu unserem eigens entwickelten Employee Security Index (ESI®) informiert Sie wissenschaftlich und sachlich über die Vorteile unseres Benchmarks.

Informationssicherheit: interessiert an unseren Security-Awareness-Lösungen?

Wir freuen uns auf ein persönliches Gespräch!



Ich will in Kontakt bleiben und habe Interesse gelegentlich Updates von IT-Seal zu erhalten (zweitmonatlicher Newsletter).