Wussten Sie, dass die meisten Datenschutzverletzungen und Cyberangriffe auf menschliches Versagen oder mangelnde Aufmerksamkeit zurückzuführen sind?

Verizon und IBM berichten beide, dass etwa 30 % der E-Mail-Empfänger tatsächlich Phishing-Nachrichten öffnen. Unterdessen stellte der Datensicherheitsbericht 2016 von Forrester fest, dass ganze 41 % der Datenschutzverletzungen in diesem Jahr auf interne Vorfälle zurückzuführen waren, was es zur größten Quelle erfolgreicher Angriffe macht.

Die meisten internen Vorfälle sind unbeabsichtigt. Etwa 65 % der Angriffe werden dadurch verursacht, dass Benutzer ihre Anmeldedaten preisgeben oder blind Malware installieren. Einfach ausgedrückt: Diese Endbenutzer wissen es nicht besser. Das liegt daran, dass es ihnen nicht beigebracht wurde.

Diese schändlichen Ansätze funktionieren. „Laut 2017 Data Breach Investigations Report, und einer von 14 Nutzern gab zu, dass er dazu verleitet wurde, einem Link zu folgen oder einen Anhang zu öffnen, den er nicht hätte öffnen sollen“, sagte er. schrieb Michelle Drolet, Gründerin des Datendienstanbieters Towerwall in einem CSOonline Blog

Als MSP werden Sie gebeten, Computer zu schützen und aufzuräumen, wenn etwas schief geht. Ein RMM ermöglicht die Behebung und installiert Patches und Updates zum Schutz vor Angriffen. Trotz dieser Bemühungen öffnen Benutzer immer noch schädliche Nachrichten, klicken auf gefährliche Links und werden dazu verleitet, Anmeldedaten und Passwörter preiszugeben.

Die Antwort? Schulung zum Sicherheitsbewusstsein, die Sie als separaten Service anbieten oder in einen Sicherheitsdienst einbinden können, um ihn wesentlich robuster zu machen und einen Aufpreis zu verlangen.

Die Chancen stehen gut, dass die Mitarbeiter, die Ihr MSP leiten, sich gut mit Sicherheit auskennen. Wenn Ihre Kunden den gleichen Scharfsinn erlangen, können unzählige Verstöße und Angriffe vereitelt werden.

Auch wenn Sie über eine umfassende Sicherheitsabteilung verfügen, sind Ihre Technikprofis keine Lehrer. Anstatt Ihren eigenen Schulungsdienst für das Sicherheitsbewusstsein zu entwickeln, sollten Sie darüber nachdenken, mit einem Dritten zusammenzuarbeiten, sei es ein Softwareanbieter oder ein Beratungsunternehmen.

Webroot bietet beispielsweise ein Sicherheitsbewusstseinstraining

Forrester analysierte den Wert des Sicherheitsbewusstseins anhand eines ausführlichen Interviews mit einem KnowBe4-Kunden. Die Amortisation war beeindruckend. „Der befragte Kunde verzeichnete über einen Zeitraum von drei Jahren einen risikobereinigten Nutzen von 413.634 US-Dollar gegenüber Kosten von 182.125 US-Dollar, was zu einem Nettobarwert (NPV) von 231.509 US-Dollar führte“, heißt es in dem Bericht. „Reduzierung der Kosten für die Behebung von Verstößen (102.778 USD). Dieser Vorteil konzentriert sich auf die Reduzierung von Sicherheitsverletzungen aufgrund von Phishing-Angriffen auf Benutzer.“

Allerdings zahlen Geschäfte nicht aus wirtschaftlichen Gründen für Schulungen, sondern um Verstöße zu verhindern. „Die Reduzierung von Verstößen reduziert proportional den Zeit- und Arbeitsaufwand für Behebungsaufgaben wie das Reimaging von Workstations und die Serverwiederherstellung. Der Kunde betonte, dass diese Ereignisse von zweistelligen Zahlen jeden Monat vor der Einführung von KnowBe4 auf niedrige zweistellige, einstellige Zahlen und schließlich innerhalb eines Jahres nach der Einführung von KnowBe4 auf Null zurückgingen“, schlussfolgerten die Forscher.

Ein MSP, AGJ Systems & Networks macht laut einem Interview Fortschritte bei der Schulung. a>mit TechTarget. „Die Schulung Ihrer Mitarbeiter ist eine der allerersten Verteidigungslinien“, sagte Ryan Giles, CEO von AGJ.

AGJ hat Schulungen in seinen MSP-Sicherheitsdienst integriert und geht zum Training vor Ort. Außerdem wird alle zwei Wochen eine E-Mail mit Trainingstipps verschickt.

Ein weiterer Dritter,Security Mentor, bietet Sicherheitsbewusstseinsschulungen an, die er über MSPs verkaufen möchte, sagte Marie White, CEO und Präsidentin. „Wir prüfen Beziehungen mit mehreren MSPs, die unsere Schulung in ihr Kernangebot aufnehmen möchten“, sagte White gegenüber TechTarget.

Trainingstipps

Experten schlagen vor, dass Sie für die Schulung mehrere Ansätze nutzen. Vor Ort ist ideal, aber auch online funktioniert es, ebenso wie E-Mail-Listen und die Weiterleitung von Kunden auf Websites mit wichtigen Ressourcen.

Verfolgen und testen Sie Ihr Training. Hier möchten Sie sicherstellen, dass die Kunden die Arbeit tatsächlich abgeschlossen haben, und dann die Wirksamkeit testen, indem Sie Verstöße, Angriffe, Einbrüche und Vorfälle verfolgen. Sie können den Schülern auch Quizfragen zusenden, um zu messen, was sie gelernt haben und was Sie noch zu unterrichten haben.

Hier sind einige Themen, die behandelt werden sollten:

• Phishing
• soziale Entwicklung
• Abwehr von Malware
• Passwortpraktiken
• Verwendung tragbarer Geräte
• physische Zugangsprobleme wie die Pflege von Schlüsselkarten
• die Verwendung von Verschlüsselung
• wie man eine Datenpanne vermeidet und behebt