Der ESI® ist eine Security-Awareness-Kennzahl und macht das IT-Sicherheitsbewusstsein Ihrer Mitarbeiter messbar. Er wurde wissenschaftlich entwickelt und bietet durch seine Standardisierung eine hohe Vergleichbarkeit und Reliabilität.
Der Employee Security Index basiert auf einem standardisierten Framework, das verschiedene Angreifertypen berücksichtigt, indem es viele verschiedene Angriffe mit unterschiedlichen Vorbereitungszeit simuliert. Bei unseren Kunden werden dazu vollautomatisiert hunderte unterschiedliche Angriffe in verschiedenen Schwierigkeitsgraden erstellt und versendet (patentiert).
Klassifizierung von Angriffen als Grundlage für standartisierte Messmethoden
Um Security Awareness messbar zu machen, ist eine realitätsnahe Simulation von Angriffen unabdingbar. Einzelne Angriffe sollten außerdem miteinander vergleichbar sein - nur so kann eine Messung über einen längeren Zeitraum Aufschluss über die Entwicklung der Security Awareness geben.
Um Social Engineering-Angriffe miteinander vergleichbar zu machen, nehmen wir eine Klassifizierung in verschiedenen Kategorien vor. Ausschlaggebend ist dabei die bearbeitungszeit, die ein Krimineller in die Vorbereitung und Durchführung eines Angriffsszenarios investieren muss.
Diese setzt sich z.B. aus der Informationsbeschaffung (OSINT), der technischen Vorbereitung, dem Kopieren von Design (Clone Phishing), sowie der Bereithaltung der Infrastruktur zusammen. So lassen sich fünf kategorien einteilen.
Ermittlung des ESI®
Jedes Mitglied einer Mitarbeitergruppe erhält mehrere individuelle Spear Phishing-E-Mails in verschiedenen Schwierigkeitsgraden. Die Reaktion (das Sicherheitsverhalten) der Mitarbeiter wird gemessen.
Das Verhalten bzgl. der verschiedenen Schwierigkeitsgrade wird in Relation zu einer "vorbildlichen" Testgruppe gesetzt, die einen ESI®von 90 zugewiesen bekommt.
Bei einem Sicherheitsverhalten mit einer doppelt so hohen Fehlerrate im Vergleich zu der "vorbildlichen" Testgruppe wird ein ESI®von 80 erreicht, bei einer dreimal so hohen Fehlerrate ein ESI®von 70 und so weiter.
Eine Auswertung aus über 500.000 simulierten E-Mails geben einen aufschlussreichen Einblick in das Sicherheitsverhalten einzelner Fachbereiche, wie in der Abbildung oben unternehmensübergreifend dargestellt.
Alle Testgruppen zeigen eine kritische Phishing Awareness, mit einem durchschnittlichen Employee Security Index von 46,2. Während die Abteilungen HR, IT und Finanzen unternehmensübergreifend überdurchschnittlich abschneiden, fallen am unteren Ende vor allem die Führungskräfte, Assistenten und C-Level.
Kontrollinstrument als Entscheidungsgrundlage für weitere Security Awareness Maßnahmen
Der ESI®stellt damit ein Kontrollinstrument dar, mit welchem die Security Awareness in Unternehmen kontinuerlich überwacht werden kann. Die Effektivität einzelner Schulungsmaßnahmen kann überprüft und konkreter Bedarf festgestellt werden.
Die Kommunikation sowohl mit dem Management als auch mit der Belegschaft wird durch eine greifbare Kennzahl erleichtert: Eine quantitative Analyse der Security Awareness bietet einen direkten Vergleich mit anderen Unternehmen ähnlicher Branchen und kann so als Entscheidungsgrundlage für weitere Investitionen genutzt werden.