Keine Angst vor Phishing – Mit Trainings Security Awareness steigern
Autor: Luca Cremer | 4. Oktober 2022
Die Schlagzeilen über Hackerangriffe auf Unternehmen nehmen zu. Deshalb wird es für viele Firmen immer wichtiger, auch die Cybersecurity Awareness bei den Mitarbeitern zu erhöhen. Hierbei können spezielle Trainings zur Steigerung der Security Awareness unterstützen.
Wo liegen die Schwierigkeiten beim Schaffen von Security Awareness?
Viele Mitarbeiter gehen davon aus, dass dieses Thema und die damit verbundenen Fähigkeiten und Verantwortungen nur für die Chief Information Security Officers (CISO) oder die Verantwortlichen in der IT von Bedeutung sind. Folglich kennen sie Richtlinien nicht und erkennen Anzeichen von Bedrohungen zu spät oder gar nicht. Daraus können ernsthafte Sicherheitsbedrohungen resultieren. Diese Lücken in der Sicherheit müssen daher zügig und oft unter viel Stress von den CISOs und Co. geschlossen werden.
Aber: Durch ein umfangreiches Sicherheitsbewusstsein und Schulungen der Mitarbeitern können Gefahren und fahrlässiges Verhalten eingeschränkt werden.
Maßnahmen, um Security Awareness zu steigern
In unserem Artikel “Security Awareness erhöhen – Wie Sie Mitarbeiter und Kollegen schulen können” haben wir bereits Schulungen als Maßnahme zur Steigerung der Awareness vorgestellt. In diesem Artikel soll es um das Thema Trainings und Simulationen gehen.
Trainings und Simulationen zur Umsetzung von Security Awareness
Trainings und Simulationen fokussieren sich auf die praktische Anwendung. Hier sollen das vorher erworbene Wissen und die damit verbundenen Fähigkeiten in die Praxis umgesetzt werden.
Um Trainings so effektiv wie möglich zu gestalten, sind vor allem kreative Ideen gefragt. Hier sollten die Verantwortlichen sich damit beschäftigen, wie die möglichen Szenarien und die damit verbundenen Probleme am besten an die Teilnehmer vermittelt werden. Wichtig ist hierbei, dass die Übungen zu den Szenarien des Publikums passen. Bei der Planung der Trainings sollte des Weiteren darauf geachtet werden, dass interaktive Phasen eingebaut werden: Je mehr Interaktivität, desto besser das Training. Denn, um den größtmöglichen Nutzen aus den Simulations- und Trainingseinheiten für die Mitarbeiter zu generieren, sollten diese Abläufe interessant strukturiert sein und vor allem Spaß machen.
Dies ist eine auf Anwenderinnen und Anwender außerhalb der IT-Abteilung zugeschnittene Fortbildung zu IT-Security im Alltag. In kurzen und verständlichen Units können die Teilnehmenden sich das notwendige Wissen aneignen, mit dem Kursmaterial auf Wunsch vertiefen und so ganz ohne IT-Ausbildung entscheidend zur IT-Sicherheit beitragen.
Diesen Kurs liefern wir über unsere Partner-Platform Lecturio aus.
Gamification als Ansatz für nachhaltiges Lernen
Ein Beispiel: Phishing-Simulationen. Sollte ein Mitarbeiter während der Simulation auf den unerwünschten Anhang klicken, reicht es nicht, eine Meldung zu schalten, die den Mitarbeiter ermahnt. Das bringt wenig Lerneffekt und führt im schlechtesten Fall dazu, dass die Mitarbeiter das Interesse an den Trainings verlieren und Fehler im Arbeitsalltag nicht melden. Um dieses Szenario interessant zu gestalten, können Tools genutzt werden. Diese simulieren anhand bestimmter Daten und Parameter Phishing-Mails.
Bei dem Tool kann es sich beispielsweise um einen Gamification-Charakter handeln, der in die Simulation eingebaut wird. Gamification bezeichnet die Anwendung eines spieltypischen Elementes in einer spielfremden Umgebung. Die Mails nehmen mit zunehmender Zeit an Schwere zu, sodass es immer komplizierter wird, die Phishing-Mails herauszufiltern. Den Mitarbeitern werden beim fehlerhaften Klick auf eine Mail, Indizien aufgezeigt, anhand derer sich erkennen lässt, dass es sich um eine Phishing-Mail handelt. Die interaktive Lernmethode erzeugt bei den Teilnehmern häufig Ehrgeiz, die Sicherheitsbedrohungen immer weiter zu erkennen und herauszufiltern.
Mitarbeiter einbeziehen und kreativ werden
Häufig werden Trainings und Simulationen auf vorher durchgeführten Schulungen aufgebaut. Hier können Vorkenntnisse vermittelt werden und Erwartungen und Wünsche der Mitarbeiter an ein Training erfragt werden. Auch besteht die Möglichkeit einen Awareness-Check durchzuführen, um zu ermitteln, welche Punkte konkreter angesprochen und trainiert werden sollen.
Neben den Phishing-Simulationen gibt es noch weitere Szenarien, welche das Sicherheitsbewusstsein der Mitarbeiter stärken sollen. Hierzu gehören zum Beispiel das USB-Drop sowie Notfall-Übungen. Notfall-Übungen trainieren zum Beispiel die Durchführung von Recovery-Plänen, um auf den Ernstfall vorbereitet zu sein. Bei dem USB-Drop werden beispielsweise von einem IT-Sicherheitsbeauftragten USB-Sticks heimlich auf dem Unternehmensgelände verteilt. Mitarbeiter werden so auf die Probe gestellt, ob sie unbekannte USB-Sticks bei sich in den Firmenrechner einstecken. Simuliert wird ein USB-Drop-Angriffsfall.
All diese Maßnahmen dienen zu einem schnellen, rechtzeitigen und professionellen Umfang mit reellen Sicherheitsbedrohungen.
Kundenbeispiel: Pentest inklusive Phishing-Simulation
Um einen Einblick in die praktische Umsetzung der Trainings und Simulationen zu geben, haben wir ein Kundenbeispiel mitgebracht. Bei dem Kunden handelt es sich um einen Konzern, der im Maschinenbau tätig ist.
Zu der Ausgangslage:
- Eine technische Sicherheitsanalyse, auch Pentest genannt, war notwendig.
- Bei dem Pentest wird ebenfalls die Schwachstelle „Mensch“ betrachtet.
Die Zielsetzung:
- Der Kunde möchte Sicherheitslücken identifizieren, um passende Maßnahmen zu ergreifen.
Unsere Unterstützung:
- Wir führten einen Pentest inkl. Phishing- Simulation in einzelnen Stichproben durch.
Die Feststellung:
- Das Unternehmen nutzt die Domain „XXX.de“
- Die Domain „XXX.group“ war nicht gesperrt und somit nutzbar. Das ist bei einer guten Phishing-Mail schwer zu unterscheiden.
Das Ergebnis:
- Die Mitarbeiter-Awareness ist nach der Klarstellung gestiegen.
- Die offene Domain ist mittlerweile gesperrt worden und somit eine Schwachstelle geschlossen.
Fazit
Security Awareness hilft Unternehmen dabei, sich vor Cyberattacken zu schützen. Deshalb ist es wichtig, ein umfangreiches Sicherheitsbewusstsein in den Köpfen der Mitarbeiter zu verankern. Unternehmen können Mitarbeiter auf verschiedene Art und Weise auf das Thema aufmerksam machen und sie daraufhin sensibilisieren. Neben theoretischen Schulungen können zum Beispiel praktische Trainings und Simulationen durchgeführt werden. Hier geht es vor allem um das Vermitteln von Wissen und Fähigkeiten und das Anwenden des neu gewonnenen Knowhows in der Praxis. Ziel ist es, Sicherheitsbedrohungen schneller zu erkennen und entgegenzuwirken sowie fahrlässige Fehler durch Unwissenheit zu vermeiden.
Sollten Sie das Gefühl haben, dass das Security Awareness in ihrem Unternehmen noch nicht umfangreich genug ist und Sie Unterstützung brauchen können, dieses zu verbessern, dann helfen wir gerne. Schreiben Sie uns eine Mail an info@rz10.de oder stellen Sie uns eine unverbindliche Anfrage: Anfrage stellen.