Keine Angst vor Phishing – Mit Trainings Security Awareness steigern

Autor: Luca Cremer | 4. Oktober 2022

11

Die Schlagzeilen über Hackerangriffe auf Unternehmen nehmen zu. Deshalb wird es für viele Firmen immer wichtiger, auch die Cybersecurity Awareness bei den Mitarbeitern zu erhöhen. Hierbei können spezielle Trainings zur Steigerung der Security Awareness unterstützen. 

Wo liegen die Schwierigkeiten beim Schaffen von Security Awareness?

Viele Mitarbeiter gehen davon aus, dass dieses Thema und die damit verbundenen Fähigkeiten und Verantwortungen nur für die Chief Information Security Officers (CISO) oder die Verantwortlichen in der IT von Bedeutung sind. Folglich kennen sie Richtlinien nicht und erkennen Anzeichen von Bedrohungen zu spät oder gar nicht. Daraus können ernsthafte Sicherheitsbedrohungen resultieren. Diese Lücken in der Sicherheit müssen daher zügig und oft unter viel Stress von den CISOs und Co. geschlossen werden.

Aber: Durch ein umfangreiches Sicherheitsbewusstsein und Schulungen der Mitarbeitern können Gefahren und fahrlässiges Verhalten eingeschränkt werden.

Maßnahmen, um Security Awareness zu steigern

In unserem Artikel “Security Awareness erhöhen – Wie Sie Mitarbeiter und Kollegen schulen können” haben wir bereits Schulungen als Maßnahme zur Steigerung der Awareness vorgestellt. In diesem Artikel soll es um das Thema Trainings und Simulationen gehen.

Trainings und Simulationen zur Umsetzung von Security Awareness

Trainings und Simulationen fokussieren sich auf die praktische Anwendung. Hier sollen das vorher erworbene Wissen und die damit verbundenen Fähigkeiten in die Praxis umgesetzt werden.

Um Trainings so effektiv wie möglich zu gestalten, sind vor allem kreative Ideen gefragt. Hier sollten die Verantwortlichen sich damit beschäftigen, wie die möglichen Szenarien und die damit verbundenen Probleme am besten an die Teilnehmer vermittelt werden. Wichtig ist hierbei, dass die Übungen zu den Szenarien des Publikums passen. Bei der Planung der Trainings sollte des Weiteren darauf geachtet werden, dass interaktive Phasen eingebaut werden: Je mehr Interaktivität, desto besser das Training. Denn, um den größtmöglichen Nutzen aus den Simulations- und Trainingseinheiten für die Mitarbeiter zu generieren, sollten diese Abläufe interessant strukturiert sein und vor allem Spaß machen.

Schulung IT-Security im Alltag (E-Learning)

Dies ist eine auf Anwenderinnen und Anwender außerhalb der IT-Abteilung zugeschnittene Fortbildung zu IT-Security im Alltag. In kurzen und verständlichen Units können die Teilnehmenden sich das notwendige Wissen aneignen, mit dem Kursmaterial auf Wunsch vertiefen und so ganz ohne IT-Ausbildung entscheidend zur IT-Sicherheit beitragen.
Diesen Kurs liefern wir über unsere Partner-Platform Lecturio aus.

Schulung ansehen

Gamification als Ansatz für nachhaltiges Lernen

Ein Beispiel: Phishing-Simulationen. Sollte ein Mitarbeiter während der Simulation auf den unerwünschten Anhang klicken, reicht es nicht, eine Meldung zu schalten, die den Mitarbeiter ermahnt. Das bringt wenig Lerneffekt und führt im schlechtesten Fall dazu, dass die Mitarbeiter das Interesse an den Trainings verlieren und Fehler im Arbeitsalltag nicht melden. Um dieses Szenario interessant zu gestalten, können Tools genutzt werden. Diese simulieren anhand bestimmter Daten und Parameter Phishing-Mails.

Bei dem Tool kann es sich beispielsweise um einen Gamification-Charakter handeln, der in die Simulation eingebaut wird. Gamification bezeichnet die Anwendung eines spiel­typischen Elementes in einer spielfremden Umgebung. Die Mails nehmen mit zunehmender Zeit an Schwere zu, sodass es immer komplizierter wird, die Phishing-Mails herauszufiltern. Den Mitarbeitern werden beim fehlerhaften Klick auf eine Mail, Indizien aufgezeigt, anhand derer sich erkennen lässt, dass es sich um eine Phishing-Mail handelt. Die interaktive Lernmethode erzeugt bei den Teilnehmern häufig Ehrgeiz, die Sicherheitsbedrohungen immer weiter zu erkennen und herauszufiltern.

Mitarbeiter einbeziehen und kreativ werden

Häufig werden Trainings und Simulationen auf vorher durchgeführten Schulungen aufgebaut. Hier können Vorkenntnisse vermittelt werden und Erwartungen und Wünsche der Mitarbeiter an ein Training erfragt werden. Auch besteht die Möglichkeit einen Awareness-Check durchzuführen, um zu ermitteln, welche Punkte konkreter angesprochen und trainiert werden sollen.

Neben den Phishing-Simulationen gibt es noch weitere Szenarien, welche das Sicherheitsbewusstsein der Mitarbeiter stärken sollen. Hierzu gehören zum Beispiel das USB-Drop sowie Notfall-Übungen. Notfall-Übungen trainieren zum Beispiel die Durchführung von Recovery-Plänen, um auf den Ernstfall vorbereitet zu sein. Bei dem USB-Drop werden beispielsweise von einem IT-Sicherheitsbeauftragten USB-Sticks heimlich auf dem Unternehmensgelände verteilt. Mitarbeiter werden so auf die Probe gestellt, ob sie unbekannte USB-Sticks bei sich in den Firmenrechner einstecken. Simuliert wird ein USB-Drop-Angriffsfall.

All diese Maßnahmen dienen zu einem schnellen, rechtzeitigen und professionellen Umfang mit reellen Sicherheitsbedrohungen.

E-Book Fachartikel IT-Security

Zum Schmökern und zum Nachschlagen haben wir zahlreiche Fachbeiträge zum Thema Informationssicherheit und IT Security in diesem E-Book zusammengefasst.

Jetzt anfordern

Kundenbeispiel: Pentest inklusive Phishing-Simulation

Um einen Einblick in die praktische Umsetzung der Trainings und Simulationen zu geben, haben wir ein Kundenbeispiel mitgebracht. Bei dem Kunden handelt es sich um einen Konzern, der im Maschinenbau tätig ist.

Zu der Ausgangslage:

  • Eine technische Sicherheitsanalyse, auch Pentest genannt, war notwendig.
  • Bei dem Pentest wird ebenfalls die Schwachstelle „Mensch“ betrachtet.

Die Zielsetzung:

  • Der Kunde möchte Sicherheitslücken identifizieren, um passende Maßnahmen zu ergreifen.

Unsere Unterstützung:

  • Wir führten einen Pentest inkl. Phishing- Simulation in einzelnen Stichproben durch.

Die Feststellung:

  • Das Unternehmen nutzt die Domain „XXX.de“
  • Die Domain „XXX.group“ war nicht gesperrt und somit nutzbar. Das ist bei einer guten Phishing-Mail schwer zu unterscheiden.

Das Ergebnis:

  • Die Mitarbeiter-Awareness ist nach der Klarstellung gestiegen.
  • Die offene Domain ist mittlerweile gesperrt worden und somit eine Schwachstelle geschlossen.

Fazit

Security Awareness hilft Unternehmen dabei, sich vor Cyberattacken zu schützen. Deshalb ist es wichtig, ein umfangreiches Sicherheitsbewusstsein in den Köpfen der Mitarbeiter zu verankern. Unternehmen können Mitarbeiter auf verschiedene Art und Weise auf das Thema aufmerksam machen und sie daraufhin sensibilisieren. Neben theoretischen Schulungen können zum Beispiel praktische Trainings und Simulationen durchgeführt werden. Hier geht es vor allem um das Vermitteln von Wissen und Fähigkeiten und das Anwenden des neu gewonnenen Knowhows in der Praxis. Ziel ist es, Sicherheitsbedrohungen schneller zu erkennen und entgegenzuwirken sowie fahrlässige Fehler durch Unwissenheit zu vermeiden.

Sollten Sie das Gefühl haben, dass das Security Awareness in ihrem Unternehmen noch nicht umfangreich genug ist und Sie Unterstützung brauchen können, dieses zu verbessern, dann helfen wir gerne. Schreiben Sie uns eine Mail an info@rz10.de oder stellen Sie uns eine unverbindliche Anfrage: Anfrage stellen.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Luca Cremer

Autor

Luca Cremer

Fachbereichsleiter Security | Projektleiter | Security Consultant

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

Podcast

Warum Geld für Security ausgeben?

Wie kann ich die Security Awareness und Akzeptanz für Security-Maßnahmen steigern? Wie bekomme ich Geld für Security? Ich spreche darüber mit Luca Cremer.
#podcast
jetzt anhören
IT Security

Security Awareness erhöhen: Wie Sie Mitarbeiter schulen können

Security Awareness Schulung
Warum eine umfassende Security Awareness wichtig ist und wie Sie die ideale Security Awareness Schulung umsetzen.
#Informationssicherheit
Artikel lesen
IT Security

Mit technischen Lösungen Security Awareness steigern

Security Awareness ist wichtig, um gegen Cyber-Attacken gewappnet zu sein. Mit technischen Lösungen können Sie diese noch erweitern.
#Informationssicherheit, #story
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage