Wie das empowsec Mitarbeiter-Risiko-Scoring funktioniert

Klickraten aus einer einzelnen Phishing-Kampagne zeigen Ihnen, wie viele Personen an einem bestimmten Tag auf eine Täuschung hereingefallen sind. Sie sagen jedoch nichts darüber aus, welche Mitarbeitenden dauerhaft ein erhöhtes Risiko darstellen, ob eine Abteilung sich in die richtige Richtung entwickelt oder ob das letzte Auffrischungstraining Wirkung zeigt. Die Risiko-Scoring-Engine von empowsec wurde entwickelt, um genau diese schwierigeren Fragen zu beantworten. Jedes Phishing- und Schulungsereignis - ob eine Person auf einen simulierten Link geklickt, eine verdächtige E-Mail gemeldet oder ein Auffrischungstraining abgeschlossen hat - fließt in einen dynamischen, zeitgewichteten Score ein, der das aktuelle Verhalten widerspiegelt und nicht nur einen Schnappschuss einer einzelnen Kampagne.
Dieser Artikel erläutert genau, wie die Scoring-Engine funktioniert, welche Ereignisse sie verfolgt, wie der Zeitabfall den Score beeinflusst und wie individuelle Scores aggregiert werden, um Teamleitern und Administratoren ein unternehmensweites Risikobild zu geben.
Gewichtete Ereignisse: Was den Score erhöht und senkt
Im Kern der Risiko-Scoring-Engine steht eine Reihe von Ereignissen, denen jeweils ein Basispunktwert zugeordnet ist, der widerspiegelt, wie stark dieses Verhalten die Sicherheitslage insgesamt beeinflusst. Ereignisse werden in negative Ereignisse, die den Risiko-Score erhöhen, und positive Ereignisse, die ihn senken, unterteilt.
Negative Ereignisse und ihre Basispunktwerte sind wie folgt: Das Klicken auf einen simulierten Phishing-Link fügt 20 Basispunkte hinzu und hat eine Halbwertszeit von etwa einem Jahr. Das Eingeben von Anmeldedaten auf einer simulierten Phishing-Landing-Page fügt 30 Basispunkte hinzu. Das Antworten auf eine simulierte Phishing-E-Mail fügt 25 Basispunkte hinzu. Das Öffnen einer Phishing-E-Mail ohne Klick fügt 1 Basispunkt hinzu. Überfällige Schulungen fügen 3 Basispunkte pro ausstehende Woche hinzu. Das Nicht-Bestehen eines Quiz fügt 8 Basispunkte hinzu.
Positive Ereignisse und ihre Basispunktwerte sind wie folgt: Das Melden einer echten Phishing-E-Mail reduziert den Score um 8 Punkte. Das Melden einer empowsec-Simulation reduziert ihn um 5 Punkte. Das Melden einer Spam-E-Mail reduziert ihn um 3 Punkte. Das fristgerechte Abschließen einer zugewiesenen Schulung reduziert ihn um 4 Punkte. Das Abschließen eines Auffrischungstrainings reduziert ihn um 6 Punkte. Das Bestehen eines Quiz im ersten Versuch reduziert ihn um 3 Punkte.
Diese spezifischen Werte sind nicht willkürlich. Das Eingeben von Anmeldedaten hat die höchste negative Gewichtung, da es das vollständigste Versagen des Phishing-Bewusstseins darstellt - die Person hat nicht nur auf den Link geklickt, sondern aktiv Informationen preisgegeben. Das Klicken auf den Link hat eine geringere, aber immer noch erhebliche Gewichtung, da es Anfälligkeit für den Köder demonstriert, auch wenn keine Anmeldedaten eingegeben wurden. Das Melden einer echten Phishing-E-Mail hat die höchste positive Gewichtung, da dieses Verhalten die Organisation aktiv vor einer echten Bedrohung schützt.
Exponentieller Zeitabfall: Warum aktuelles Verhalten mehr zählt
Ein statisches Punktesystem würde Risiken unbegrenzt ansammeln. Eine Person, die vor drei Jahren auf einen Phishing-Link geklickt hat, würde dieses Ereignis mit vollem Gewicht tragen, auch wenn sie seitdem ein Dutzend echte Phishing-E-Mails gemeldet und jedes Quiz im ersten Versuch bestanden hat. Das ist kein genaues Bild des aktuellen Risikos. empowsec löst dieses Problem mit exponentiellem Zeitabfall, der auf jedes Ereignis angewendet wird: Der Einfluss eines Ereignisses nimmt mit der Zeit gemäß einer Halbwertszeit ab.
Das Konzept der Halbwertszeit stammt aus der Physik: Ein Wert mit einer Halbwertszeit von einem Jahr ist nach einem Jahr nur noch halb so viel wert, nach zwei Jahren nur noch ein Viertel und so weiter. In der Risiko-Scoring-Engine haben negative Ereignisse wie das Klicken auf einen Phishing-Link eine Halbwertszeit von etwa einem Jahr. Das bedeutet, dass der 20-Punkte-Einfluss eines Phishing-Klicks von vor zwölf Monaten nur noch etwa 10 Punkte zum aktuellen Score beiträgt. Nach zwei Jahren sind es etwa 5 Punkte. Das Ereignis verschwindet nicht aus dem Protokoll, aber sein Einfluss auf den Score verblasst natürlich, es sei denn, das Verhalten tritt erneut auf.
Positive Ereignisse wie das Melden einer Simulation oder das fristgerechte Abschließen einer Schulung haben eine kürzere Halbwertszeit von etwa sechs Monaten. Das mag kontraintuitiv erscheinen, spiegelt aber eine fundierte Schulungsphilosophie wider. Sicherheitskompetenzen müssen regelmäßig geübt werden, um auf dem neuesten Stand zu bleiben. Eine Person, die vor zwei Jahren ein Schulungsmodul abgeschlossen hat, demonstriert keine aktuelle Kompetenz, sondern vergangene Kompetenz. Der schnellere Abfall positiver Ereignisse bedeutet, dass der Score natürlich steigt, wenn eine Person längere Zeit keine positiven Sicherheitsverhaltensweisen zeigt - genau das Signal, das eine neue Schulungszuweisung oder eine Erinnerung auslösen sollte.
Zusammen schaffen die beiden Halbwertszeiten ein Scoring-System, das das aktuelle Risiko kontinuierlich neu bewertet, anstatt einfach die Geschichte anzuhäufen. Eine Person, die schwierige Monate hatte, sich dann aber konsequent verbessert hat, wird sehen, wie ihr Score mit der Zeit sinkt. Eine Person, die ohne Phishing-Interaktion oder Schulungsabschluss im Leerlauf ist, wird sehen, wie ihre Beiträge aus positiven Ereignissen verfallen und ihr Score erhöht bleibt, bis sie wieder aktives Engagement zeigt.
Aggregierte Scores: Von Personen zu Abteilungen zum Unternehmen
Individuelle Risiko-Scores sind wertvoll, um festzustellen, welche Mitarbeitenden die meiste Unterstützung benötigen. Die Risiko-Scoring-Engine bleibt jedoch nicht auf der individuellen Ebene stehen. Scores werden auf Abteilungsebene und dann auf Unternehmensebene aggregiert, sodass Teamleiter, Abteilungsmanager und Führungskräfte ein Risikobild erhalten, das ihrem organisatorischen Umfang entspricht.
Ein Abteilungs-Risiko-Score aggregiert die individuellen Scores aller Mitarbeitenden dieser Abteilung und gibt einem Manager Einblick, welche Teams gut abschneiden und welche ein erhöhtes kollektives Risiko tragen. Ein Finance-Team, das gerade eine gezielte Phishing-Kampagne und ein Schulungsmodul abgeschlossen hat, sollte einen niedrigeren aggregierten Score aufweisen als ein neu eingestelltes Vertriebsteam, das noch keine erste Zuweisung abgeschlossen hat.
Auf Unternehmensebene bietet die Aggregation der Führungsebene eine einzige Kennzahl, die die allgemeine Sicherheitslage der Organisation zu einem bestimmten Zeitpunkt erfasst. Wenn diese Zahl sinkt, wirkt das Sicherheitsbewusstseinsprogramm. Wenn sie steigt, ist das ein Signal zur Untersuchung: Gab es ein anspruchsvolles neues Phishing-Szenario? Hat das Onboarding nachgelassen? Hat eine Abteilung bei Verlängerungen den Anschluss verloren? Der Score auf Unternehmensebene verwandelt eine komplexe Sammlung individueller Verhaltensweisen in ein Managementsignal.
Wie der Score mit dem Rest von empowsec verbunden ist
Der Risiko-Score existiert nicht isoliert. Er ist das Ergebnis jeder anderen Funktion der Plattform, die ein Verhaltenssignal erzeugt: Phishing-Simulationskampagnen, Schulungszuweisungen, Quizergebnisse, Meldeereignisse aus dem Outlook- oder Gmail-Add-in und Schulungsabschlussrekorde fließen alle in den Score ein. Auf diese Weise ist der Risiko-Score eine Zusammenfassung des gesamten Sicherheitsbewusstseinsprogramms in Bezug auf eine bestimmte Person.
Diese Verbindung funktioniert auch in die andere Richtung. Wenn eine Person auf einen simulierten Phishing-Link klickt, kann empowsec automatisch ein Auffrischungstraining zuweisen. Das Abschließen dieses Trainings erzeugt ein positives Ereignis, das den Klick teilweise ausgleicht. Das spätere Melden einer Simulation erzeugt ein weiteres positives Ereignis. Der Score spiegelt diese Entwicklung wider: Eine Person, die geklickt, das Auffrischungstraining abgeschlossen und dann verbessertes Verhalten gezeigt hat, befindet sich auf einem grundlegend anderen Weg als eine Person, die geklickt hat und sich nie mit dem Auffrischungstraining befasst hat. Der Score erfasst diesen Unterschied auf eine Weise, die ein einfacher Klickraten-Bericht nicht kann.
Für Administratoren und Sicherheitsmanager bietet der Risiko-Score eine Grundlage zur Priorisierung, die über die Frage hinausgeht, welche Mitarbeitenden bei der letzten Kampagne am schlechtesten abgeschnitten haben. Er fragt, welche Mitarbeitenden das höchste aktuelle Risiko tragen - unter Berücksichtigung von allem, was sie getan und nicht getan haben. Das ist eine handlungsrelevantere Frage, und es ist die Frage, die die Risiko-Scoring-Engine von empowsec zu beantworten entwickelt wurde.
Was das für Ihr Team bedeutet
- Gewichtete Ereignisse weisen Punktwerte zu, die auf die tatsächlichen Auswirkungen jedes Verhaltens kalibriert sind - das Eingeben von Anmeldedaten (30 Punkte) zählt mehr als das Öffnen einer E-Mail (1 Punkt).
- Exponentieller Zeitabfall mit unterschiedlichen Halbwertszeiten für negative (~1 Jahr) und positive (~6 Monate) Ereignisse stellt sicher, dass der Score das aktuelle Risiko und nicht die angesammelte Geschichte widerspiegelt.
- Score-Aggregation von der Person über die Abteilung bis zum Unternehmen gibt jeder Organisationsebene eine ihrem Umfang angemessene Risikoansicht.
- Automatische Zuweisung von Auffrischungstrainings bei einem Phishing-Klick bedeutet, dass der Score direkt mit Korrekturmaßnahmen verbunden ist und nicht nur mit der Messung.
- Handlungsrelevante Priorisierung ermöglicht es Sicherheitsteams, begrenzte Schulungsressourcen dort einzusetzen, wo laufende Verhaltenssignale den größten aktuellen Bedarf anzeigen.


