IT-Seal Logo Social Engineering Analysis Labs

Die Zukunft der Informationssicherheit
liegt nun in ihren Händen. Endlich.

Sicherheitsbewusstsein messbar machen: 
Der Employee Security Index (ESI®)

Autorin: Anjuli Franz, 20. Juni 2018
Lesezeit: 3 Minuten

Sicherheit ist eine schwierig zu messende Größe.
Gegen was, unter welchen Bedingungen und bis zu welchem Grad ist man sicher? Wie gut beherrscht die Belegschaft als „menschliche Firewall“ die digitale Selbstverteidigung? Vor allem IT-Sicherheitsverantwortliche stehen hier vor großen Herausforderungen, sowohl in der Absicherung des Unternehmens gegenüber Cyberangriffen als auch bei Investitionsentscheidungen. Der Return of Invest ist meist nur sehr unpräzise bestimmbar, was die Rechtfertigung von Budgetforderungen erschwert.

Benchmark basierend auf universitärer Forschung.
Für den Bereich Social Engineering- und Phishing-Awareness hat IT-Seal im akademischen Austausch einen Benchmark entwickelt und zum Patent angemeldet. Dieser bestimmt, welcher Zustand als „sicher“ gilt. Ein Unternehmen kann nun basierend auf dem Verhalten, welches seine Belegschaft gegenüber zielgerichteten Angriffen zeigt, konkret bewertet werden. Die Reaktion auf Social Engineering-Angriffe wird gemessen und die Ergebnisse anschließend mit dem als „sicher“ definierten Unternehmen verglichen. Dieses Konzept schafft Transparenz und Vergleichbarkeit.


Der Employee Security Index (ESI®) macht Sicherheit messbar.
Im Rahmen unserer Social Engineering-Simulationen haben wir dieses Konzept in eine Kennzahl gepackt, den Employee Security Index (ESI®). Dieser bildet schnell und verständlich ein Maß für die Mitarbeitersicherheit im Unternehmen ab. Das zuvor als "sicher" definierte Unternehmen erreicht auf der ESI®-Skala einen Wert von 90. Unser Kundenunternehmen kann nach Festlegen eines individuellen Ziel-ESI zum einen kontinuierlich den angestrebten Wert überprüfen. Zum anderen kann der ESI® auch für Untergruppen ermittelt werden. Wer ist sicherer, der Vertrieb oder die Personalabteilung, und wie steht die Geschäftsführung im Vergleich zur Buchhaltung da? Diese Informationen sind wertvoll, wenn es um weitere gezielte Maßnahmen wie Schulungen geht.

IT-Sicherheitsbewusstsein: Komplexität in einer Zahl.
Phishing kann von einfach erkennbaren Massen-E-Mails zu maßgeschneidertem Spear Phishing reichen. Daher erfolgt die konkrete Berechnung des ESI nicht lediglich durch das Messen und Vergleichen von Klickraten. In unserer Phishing Akademie und Security Awareness Standortbestimmung simulieren wir Angriffsszenarien verschiedener Schwierigkeitslevel. Die resultierenden Klickraten werden unterschiedlich gewertet, um den herrschenden Sicherheitsstandard möglichst genau abzubilden. Zeitlicher Verlauf, Gruppenergebnisse, Zielsetzungen und Handlungsempfehlungen können alle durch den ESI dargestellt werden - über die API auch direkt im SOC (Security Operations Center) unserer Kunden. Somit wird das komplexe Thema des menschlichen Sicherheitsbewusstseins auf einer Skala von 1 bis 100 messbar. Und kommunizierbar: Über einen gemeinsam erreichten Wert von 87 freuen sich sowohl die Geschäftsführung als auch die Mitarbeiter.

Was zeichnet uns aus:

Umfassende & standardisierte Analyse
Identifizierung & Quantifizierung 
der Sicherheitsprobleme
Made in Security Valley Darmstadt
Wissenschaftlich validiertes Konzept

Bleiben Sie in Kontakt:
Abonnieren Sie unsere Social Media Kanäle