Human Risk Management & 
Cyber Awareness

Menschliches Fehlverhalten ist eine der häufigsten Ursachen von Sicherheitsvorfällen. Eine nachhaltige Sicherheitsstrategie setzt daher auf Verhaltensänderungen. Positive Verstärkung, transparente Kommunikation und klare Konsequenzen schaffen ein Umfeld, in dem sicheres Verhalten zur Norm wird.

Einmalige Schulungen reichen nicht aus. Effektive Awareness-Programme setzen auf kurze, regelmässige Lerneinheiten und praxisnahe Inhalte. Gamification-Ansätze und interaktive Tools machen Schulungen nicht nur effektiver, sondern auch motivierender. Ziel ist es, Sicherheit zu einem selbstverständlichen Teil des Arbeitsalltags zu machen.

Phishing ist nach wie vor eine der häufigsten und gefährlichsten Methoden, um Daten zu stehlen oder Systeme zu infiltrieren. Täuschend echte E-Mails oder manipulierte Links verleiten Mitarbeitende oft zu unbewussten Fehlern. Gezielte Schulungen und regelmässige Phishing-Simulationen helfen, das Bewusstsein zu schärfen und die Erkennungsrate zu erhöhen. Der Schlüssel liegt darin, nicht nur die technischen Abwehrmassnahmen zu verbessern, sondern auch das Verhalten der Mitarbeitenden zu schulen.

Die Cyber-Sicherheitskultur ist das Fundament einer widerstandsfähigen Organisation. Ohne eine gelebte Kultur, die Cybersicherheit als integralen Bestandteil der täglichen Arbeit versteht, bleiben technische Massnahmen wirkungslos. Ein zentraler Aspekt ist „Management und Führung“ – wenn die Leitung der Organisation Cyber-Sicherheit vorlebt, erkennen die Mitarbeiter deren Bedeutung und handeln entsprechend. Ebenso wichtig ist ein „faires und gerechtes“ Umfeld: Nur wenn sich Mitarbeitende sicher fühlen, Vorfälle oder Schwachstellen ohne Angst vor negativen Konsequenzen zu melden, kann sich die Organisation kontinuierlich verbessern. Eine starke Cyber-Sicherheitskultur bedeutet, Bedrohungen frühzeitig zu erkennen, Risiken zu minimieren und gemeinsam Verantwortung für den Schutz digitaler Werte zu übernehmen.

Cyberkriminelle nutzen zunehmend künstliche Intelligenz (KI), um täuschend echte Phishing-E-Mails zu erstellen, die herkömmliche Erkennungsmethoden umgehen. Dies stellt Organisationen vor die Herausforderung, ihre Schutzmassnahmen kontinuierlich zu verbessern. Eine effektive Lösung besteht darin, selbst auf KI-basierte Technologien zu setzen, um verdächtige E-Mails frühzeitig zu identifizieren. Moderne KI-Systeme analysieren zahlreiche Faktoren wie Absenderinformationen, Sprachmuster und versteckte Anomalien, die für das menschliche Auge schwer zu erkennen sind. Durch den Einsatz solcher Technologien können Mitarbeiter gezielt unterstützt und Sicherheitsrisiken minimiert werden. KI wird so zum unverzichtbaren Partner im Kampf gegen immer ausgefeiltere Cyber-Angriffe.

Nudges – gezielte Hinweise oder Erinnerungen – können Verhaltensänderungen subtil unterstützen. Beispiele sind Warnungen vor möglichen Risiken oder Empfehlungen für sichere Passwörter. Diese kleinen Impulse wirken präventiv und fördern sicherheitsbewusstes Verhalten, ohne zu überfordern.

Regulierungen wie die EU-Verordnung Digital Operational Resilience Act (DORA) setzen neue Standards für die Cybersicherheit. Organisationen sind gefordert, nicht nur Sicherheitsrisiken zu minimieren, sondern auch ihre Mitarbeitenden auf diese regulatorischen Anforderungen vorzubereiten. Solche Vorschriften sind jedoch nicht nur eine Verpflichtung, sondern bieten auch die Möglichkeit, die Sicherheitskultur in der Organisation zu stärken und langfristig Wettbewerbsvorteile zu erzielen.

Ein wesentlicher Vorteil unseres Ansatzes ist die signifikante Reduzierung von False Positives. Während viele herkömmliche Sicherheitsscanner eine Vielzahl an Schwachstellen melden, die in der Praxis nicht ausgenutzt werden können, überprüft unsere Plattform jede identifizierte Schwachstelle auf ihre tatsächliche Ausnutzbarkeit. Dies bedeutet, dass nur realistisch ausnutzbare Lücken in den Berichten erscheinen, wodurch die Anzahl der falschen Alarme drastisch gesenkt wird.

Unsere Lösung bietet zudem nachstellbare Beweise für jede Schwachstelle, die als kritisch eingestuft wird. Dadurch können IT-Teams genau nachvollziehen, wie eine Schwachstelle ausgenutzt werden könnte, und sich gezielt auf die tatsächlichen Risiken konzentrieren. Dies erhöht nicht nur die Effizienz der Sicherheitsbewertung, sondern reduziert auch den Aufwand für die Behebung unnötiger oder irrelevanter Lücken.

Durch die Eliminierung von False Positives sparen Unternehmen wertvolle Zeit und Ressourcen, die andernfalls für die Bearbeitung von nicht relevanten Schwachstellen aufgebracht würden. Stattdessen können die Teams ihre Anstrengungen auf die tatsächlichen Bedrohungen konzentrieren und die Sicherheitslage gezielt verbessern.