Security Awareness zur Prävention von Cyberattacken

Cyberattacken auf Unternehmen werden immer professioneller und deren Methoden ausgefeilter. Angriffe sind jedoch häufig erst wegen der Unwissenheit und Unbekümmertheit der Anwender erfolgreich. Aus diesem Grund kann der technische und organisatorische Schutz noch so gut sein, er wird nicht vollends greifen, wenn der „Faktor Mensch“ unberücksichtigt bleibt. Angriffe durch sogenanntes „Social Engineering“ lassen sich folglich nur dann abwehren, wenn alle Mitarbeiter mitdenken und mitwirken.

Jeder Mitarbeiter muss sich bewusst sein, dass die Sicherheit der Unternehmensinformationen auch von seinem eigenen Verhalten abhängt. Das beginnt mit der Aufmerksamkeit beim Surfen im Internet oder beim Öffnen von Dateianhängen in E-Mails, also ganz alltäglichen Arbeitsvorgängen. Die gute Nachricht ist: Bereits kleine Veränderungen in der täglichen Routine können erheblich zum Schutz der unternehmensinternen Informationen beitragen. Die Sensibilisierung der Mitarbeiter für Informationssicherheit durch eine Security-Awareness-Kampagne stellt daher einen wichtigen Baustein in der Informationssicherheitsstrategie eines Unternehmens dar und findet sich unter anderem auch als Vorgabe im IT-Grundschutzkatalog des BSI und der ISO 27001 wieder.

IT-SICHERHEIT FÄNGT IN DEN KÖPFEN DER MITARBEITER AN

Um einen nachhaltigen Effekt und damit eine dauerhafte Risikominimierung zu bewirken, sollten Maßnahmen zur Mitarbeitersensibilisierung idealerweise kontinuierlich erfolgen. Mehrere kurze Awareness-Maßnahmen pro Jahr erzielen dabei in der Regel eine bessere Wirkung als eine einmalige umfassende Schulung. Verschiedene Bausteine können individuell zu einer langfristigen und abwechslungsreichen Security-Awareness-Kampagne zusammengestellt werden:

  •  Präsenzschulungen
  •  Online Meetings
  •  Computer-based Trainings
  •  Phishing-Akademie
  •  Begleitende Security-Awareness-Maßnahmen

PRÄSENZSCHULUNGEN

In Präsenzschulungen widmen sich die Teilnehmer dem Thema und können sich unmittelbar mit dem Referenten austauschen. Um einen besonders großen Effekt zu erzielen, ist die Durchführung von Präsenzschulungen für bestimmte Zielgruppen (IT-Experten, IT-User-Helpdesk, Management und Geschäftsführung) insbesondere zum Auftakt einer Security-Awareness-Kampagne besonders geeignet. Darüber hinaus sollten Präsenzschulungen durch weitere Maßnahmen wie z.B. Online Meetings, Computer-based Trainings oder eine Phishing-Simulation ergänzt und über einen längeren Zeitraum fortgeführt werden.

ONLINE MEETINGS

Online Meetings stellen eine gute Alternative oder auch Ergänzung zu Präsenzschulungen dar, da diese mit einem wesentlich geringeren organisatorischen Aufwand umgesetzt werden können. Bei einem Online Meeting wird die Security-Awareness-Schulung vom Referenten über eine Web-Conferencing-Plattform durchgeführt.

COMPUTER-BASED TRAINING

Mit einem Computer-based Training können Sie Ihren Mitarbeitern eine digitale Lernplattform zur Verfügung stellen, die jederzeit, überall und auf jedem Endgerät verfügbar ist. Die Inhalte können in verschiedenen Sprachen wahlweise für ein bereits im Unternehmen vorhandenes Learning Management System (LMS) oder aber als gehostete Lösung (Hosted LMS) bereitgestellt werden, die flexible Managementberichte und Dashboards bietet. Die Inhalte können an das Corporate Design angepasst werden, um die Identifikation der Anwender mit den Lerninhalten zu verbessern. Alle Lernmodule schließen mit einem kurzen Quiz ab und die Teilnehmer erhalten nach erfolgreichem Abschluss ein Zertifikat.

PHISHING-AKADEMIE

Im Rahmen der Phishing-Akademie erhalten Ihre Mitarbeiter Spear Phishing E-Mails in verschiedenen Schwierigkeitsgraden über einen Zeitraum von mehreren Monaten. Durch diese simulierten E-Mails werden Mitarbeiter genau wie bei einem echten Spear-Phishing-Angriff dazu verleitet, auf einen in der E-Mail enthaltenen Link zu klicken. Anders als bei einem realen Angriff gelangt der Mitarbeiter beim Klick auf den Link auf eine sichere Webseite. Auf dieser wird er über mögliche Gefahren, die er in diesem Moment eingegangen ist, aufgeklärt. Zudem werden unterstützende Lerninhalte vermittelt. So erlernen die Mitarbeiter praxisorientiert, wie sie Phishing E-Mails erkennen können. Jeder falsche Klick führt zu einem umgehenden Lernerfolg. Die Phishing-Akademie ist ein kontinuierliches und messbares Anti-Phishing-Training, bei dem Sie das Sicherheitsverhalten Ihrer Mitarbeiter kontinuierlich überprüfen und verbessern können.

BEGLEITENDE SECURITY-AWARENESS-MASSNAHMEN

Um die Wirkung noch zu erhöhen, kann eine Security-Awareness-Kampagne durch verschiedene begleitende Maßnahmen ergänzt werden:

  • Spear Phishing Assessment
  • Media Dropping
  • Standortbegehungen
  • Telephone Phishing (Vishing)