Das Budget für IT-Sicherheit steht auf dem Prüfstand und das Management stellt die unangenehmste aller Fragen: «Bringen diese Awareness-Trainings eigentlich etwas?» Wer jetzt mit einer tiefen Klickrate oder hohen Abschlussquoten von E-Learning-Modulen argumentiert, liefert keinen Beweis für Sicherheit, sondern lediglich für absolvierte Fleissarbeit. In diesem Beitrag erfahren Sie, wie Sie den tatsächlichen Wert Ihres Awareness-Programms belegen und welche Metriken das Management wirklich überzeugen.
Warum traditionelle Metriken scheitern
Wenn die Geschäftsleitung nach dem Return on Investment (ROI) von Security Awareness fragt, greifen viele IT-Verantwortliche auf einfach zu erhebende «Aktivitätsmetriken» zurück. Wir präsentieren, dass 95% der Belegschaft das letzte Video-Training abgeschlossen haben und die Klickrate bei der letzten Phishing-Simulation gesunken ist.
Doch diese Zahlen beweisen nicht, dass das Programm das Risiko im Unternehmen senkt. Sie fokussieren sich auf isolierte Fehler, anstatt zu messen, wie sich Mitarbeitende im Ernstfall tatsächlich verhalten.
Die Schwächen der Klickrate
- Sie misst Fehler, keine Verteidigung: Die Klickrate beantwortet nur die Frage: «Wer ist in die Falle getappt?» Was Sie operativ aber wirklich wissen müssen, ist: «Wer erkennt die Bedrohung und meldet sie?»
- Sie ist leicht manipulierbar: Sie können die Klickrate künstlich tief halten, indem Sie simple, unrealistische Phishing-Mails versenden. Das lässt den KPI im Management-Report hervorragend aussehen, verbessert die reale Resilienz Ihres Unternehmens jedoch um exakt null Prozent.
- Angreifer interessieren sich nicht für Ihre Metriken: Echte Cyberkriminelle versenden keine Trainings-Vorlagen. Sie nutzen gefälschte Lieferantenrechnungen, CEO-Fraud oder Multi-Channel-Angriffe via Teams und WhatsApp.
Verhaltensmetriken
Sicherheit entsteht nicht, wenn Menschen Trainings absolvieren. Sicherheit entsteht, wenn Menschen ihr Verhalten ändern. Deshalb wechselt sich der Fokus von reinen Aktivitätsmetriken auf Verhaltensmetriken. Diese vier Indikatoren beweisen, dass Ihr Programm funktioniert:
1. Die Melderate (Reporting Rate): Vom Opfer zum Sensor
Wenn Sie nur Klicks messen, messen Sie den Moment, in dem Ihnen ein Mitarbeitender das Leben schwer macht. Die Melderate misst den Moment, in dem er Ihnen das Leben leichter macht. Ein erfolgreiches Programm zeichnet sich dadurch aus, dass die Belegschaft zu einem aktiven Sensor-Netzwerk wird.
- Höhere Melderate = Frühere Erkennung = Weniger Reaktionszeit für Angreifer = Geringerer finanzieller Schaden.
- Wenn nur eine einzige Person eine Phishing-Mail meldet, kann die IT diese aus allen anderen Postfächern entfernen, bevor ein Kollege überhaupt die Chance hat, darauf zu klicken.
2. Time to report: Wie schnell wird eine Nachricht gemeldet?
Die Melderate zeigt, ob Mitarbeitende reagieren. Die Time-to-Report zeigt, wie schnell sie es tun. Bei einem echten Angriff entscheidet die Geschwindigkeit. Der Unterschied zwischen einer Meldung in 2 Minuten und 20 Stunden bestimmt oft darüber, ob ein Angriff isoliert bleibt oder zu einem unternehmensweiten Vorfall wird.
3. Die Miss Rate. Das unsichtbare Risiko
Wie bereits in unserem letzten Artikel beleuchtet, ignoriert die Klickrate eine massive Dunkelziffer: Die Mitarbeitenden, die weder klicken noch melden (Silent Failures). Die Miss Rate macht genau dieses Risiko sichtbar. Wenn Mitarbeitende verdächtige E-Mails regelmässig ignorieren, kann das ein grösseres Problem signalisieren. Bspw. wissen sie nicht, wie man meldet, oder haben Angst, einen Fehlalarm auszulösen. Sinkt die Miss Rate, ist das ein starkes Indiz dafür, dass Mitarbeitende aus ihrer passiven Rolle heraustreten und aktiv an der Abwehr teilnehmen.
4. Repeat Clicker Reduction: Konzentriertes Risiko minimieren
Risiko ist in Unternehmen selten gleichmässig verteilt. Meistens klickt der Grossteil der Belegschaft fast nie auf schädliche Links, während eine kleine Gruppe von «Wiederholungstätern» chronisch anfällig bleibt. Ein durchschnittlicher Klickraten-Wert über das gesamte Unternehmen hinweg verschleiert dieses konzentrierte Risiko. Ein reifes Awareness-Programm misst deshalb gezielt, ob die Zahl der Repeat Clickers über die Zeit abnimmt. Hier geht es nicht darum, Einzelne an den Pranger zu stellen, sondern gezielt dort zu unterstützen, wo das menschliche Risiko am grössten ist.
Lösungsansatz: Wie Sie die Metriken aktiv verbessern
Wenn Ihre Verhaltensmetriken stagnieren, liegt das selten daran, dass es den Mitarbeitenden "egal" ist. Oft trainiert das System sie unbewusst darauf, nicht zu handeln. So steuern Sie gegen:
- Melden muss einfach sein: Es darf einen offensichtlichen Melde-Button geben. Wenn Nutzer überlegen müssen, ob sie eine E-Mail an den Helpdesk weiterleiten, ein Ticket eröffnen oder die IT anrufen sollen, werden sie die Nachricht stattdessen einfach ignorieren (Miss Rate steigt).
- Belohnen statt bestrafen (Feedback-Loop): Wenn ein Nutzer eine Mail meldet und danach nie wieder etwas hört, stirbt das Verhalten aus. Erhält er hingegen ein sofortiges System-Feedback («Gut gemacht, das war ein Test!» oder «Danke, wir prüfen das!»), festigt sich die Gewohnheit.
- Falschmeldungen normalisieren: Die Angst, falschzuliegen, ist der grösste Feind der Melderate. Kommunizieren Sie klar: Lieber eine legitime Newsletter-Mail zu viel gemeldet, als eine Phishing-Mail zu wenig.
Fazit: Wenn die Belegschaft zum Frühwarnsystem wird
Wie beweisen Sie also, dass Security Awareness funktioniert? Indem Sie aufhören, das Programm als reine Compliance-Massnahme zu rechtfertigen. Führen Sie die Diskussion mit dem Management weg von Klickraten und Modul-Abschlüssen, hin zu messbarem Verhalten: Zeigen Sie auf, dass mehr Bedrohungen gemeldet werden, diese Meldungen schneller bei der IT eintreffen, weniger E-Mails ignoriert werden und konzentrierte Risiken bei Einzelpersonen sinken. Wenn das zur Norm in Ihrem Unternehmen wird, haben Sie nicht nur ein Training absolviert. Sie haben Ihre Belegschaft erfolgreich in ein aktives Frühwarnsystem verwandelt und damit das menschliche Risiko nachweislich und nachhaltig reduziert.
Physische Awareness?
Besuchen Sie unseren Awareness-Shop und werfen Sie einen Blick auf unsere erste Kollektion. Ob für Ihre Kampagne, Ihre Champions oder einfach zur Sichtbarmachung im Alltag. Unser Merch unterstützt Sie dabei, Awareness lebendig zu machen.
