:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security Awareness schaffen 5 Tipps für Security-Awareness-Trainings
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Ziel von Security-Awareness-Maßnahmen ist es, Mitarbeiter von Unternehmen bei der Abwehr von Cyber-Attacken zu unterstützen. Dies beinhaltet verschiedene Trainings- und Schulungsmaßnahmen, die darauf abzielen, die Anwender zu Themen rund um die Sicherheit der IT-Systeme zu sensibilisieren und Grundlagenwissen zu vermitteln.
Angreifer machen sich verstärkt die „Schwachstelle Mensch“ zunutze und zielen mit verschiedenen Manipulationstechniken darauf ab, Passwörter, Daten oder große Geldsummen zu erbeuten. Vor einigen Jahren noch waren die Angriffe der Cyberkriminellen ungezielt und unausgereift. Eine unspezifische Phishing-E-Mail, wie beispielsweise eine gefälschte Amazon-Rechnung, wurde mit einer generischen Ansprache an unzählige Empfänger versendet. Heutzutage machen sich die Angreifer jedoch eine Vielzahl von Informationen zunutze, die sie online über die Zielperson einsehen können. Diese Informationen gewinnen sie über soziale Medien wie XING, LinkedIn oder auch Facebook und können sie mit Leichtigkeit für gezielte Angriffe (Spear-Phishing) verwenden. Genau das macht diese Angriffe so schwer erkennbar.
Security Awareness: realitätsnah & regelmäßig schulen
Deshalb stellt sich die Frage, wie Anwender am besten auf gezielte und gut durchdachte Angriffe vorbereitet werden können. Häufig sind es im Alltag angewöhnte Automatismen, die zu gefährlichen Situationen führen. Zunächst einmal ist es daher wichtig zu verstehen, wie Anwender ihre Gewohnheiten dauerhaft ändern können. Philippa Lally und ihr Team vom University College London (Lally, van Jaarsveld, Potts & Wardle, 2010) zeigten, dass es ca. 20-66 Tage der Wiederholung benötigt, bis eine Gewohnheit automatisch abläuft, wobei komplexe Vorhaben mehr Zeit benötigen. Für die Teilnehmer wird es also erst nach einiger Zeit der Wiederholungen zum Alltag, E-Mails kritisch zu überprüfen und Auffälligkeiten festzustellen.
Mit welchen Methoden kann man Security Awareness trainieren?
Eine der klassischen Methoden zur Wissensvermittlung ist die Präsenzschulung, die den Vorteil hat, alle Teilnehmer direkt einbinden zu können. Klare Minuspunkte ergeben sich jedoch bei der Zeiteffizienz und der Skalierbarkeit. Weiterhin genügt die Frequentierung der Lerninhalte nicht, um eine Verhaltensänderung der Teilnehmer zu bewirken: Selbst bei einem packenden und informativem Training hat nach wenigen Wochen der Alltag wieder überhand gewonnen und die guten Vorsätze sind dahin.
Darüber hinaus bieten sich E-Learning-Module oder Webinare an, um für Grundwissen bei den Teilnehmern zu sorgen. Diese Maßnahme punktet deutlich bei der Skalierbarkeit und kann deshalb regelmäßig für einen „Stupser“ in die richtige Richtung bei den verschiedensten Themen sorgen. Jedoch erfährt das Unternehmen auch bei dieser Maßnahme nicht, wie die Mitarbeiter im Alltag mit Phishing-E-Mails umgehen – somit bleibt im Dunkeln, ob die durchgeführten Maßnahmen bereits ausreichen oder weitere Aktivitäten notwendig sind.
Die Möglichkeit der Phishing Simulation führt eine Wissensvermittlung und Verhaltensänderung der Teilnehmer herbei. Hierbei handelt es sich um regelmäßig wiederkehrende Herausforderungen im Arbeitsalltag und der Nutzung des „most teachable moments“. Zudem ermöglicht die Simulation die Messung der Awareness und ist somit ein Nachweis zur Wirksamkeit der Maßnahme und zum aktuellen Sicherheitsniveau. Der Nachteil, dass hier der Fokus nur auf Phishing-Angriffen liegt, kann ausgeglichen werden, indem diese Maßnahme mit Präsenzschulungen und/oder E-Learnings kombiniert wird.
Entscheidet man sich für Phishing-Simulationen als Trainingsmethode, ergeben sich 5 Must-haves, die für eine erfolgreiche Umsetzung zu beachten sind:
Die 5 Must-haves für Security Awareness Trainings
1. Realitätsnahe Simulationen durchführen: Spear-Phishing
Simulationen sollten für einen idealen Lerneffekt und einen sicheren Umgang so realitätsnah wie möglich umgesetzt werden. Simple Massen-E-Mails an alle zu versenden reicht heute nicht mehr aus: Wie es reale Angreifer tagtäglich tun, sollten die Angriffe auf ihr Unternehmen und einzelne Anwender zugeschnitten werden. Dazu können Informationen aus beruflichen und sozialen Netzwerken verwendet werden, um die Simulation realitätsnah zu personalisieren. Damit werden ständig aktuelle Angriffsvektoren und Maschen abgedeckt und die Teilnehmer werden in einem geschützten Rahmen optimal auf den Ernstfall vorbereitet.
2. Aussagekräftige Ergebnisse erzeugen
Klickraten allein sind keine gute Maßeinheit, um die Security Awareness einzuschätzen. Sie können sich von E-Mail zu E-Mail sehr unterscheiden – dies gilt vor allem, wenn interne Informationen eingesetzt werden. Leicht kann man eine Phishing-Mail erstellen, auf die 80 Prozent oder Eine auf die nur 2 Prozent klicken. Damit ist jedoch noch keine Aussage möglich, wie gut die Mitarbeiter wirklich sind sondern nur darüber, wie gut die Phishing-Mail vorbereitet war.
Daher sollte ein standardisiertes Messverfahren eingesetzt werden, bei dem viele unterschiedliche Phishing-Mails gesendet werden. So lässt sich die Security Awareness wirklich messen und bei Wiederholung Veränderungen nachweisen.
Das wissenschaftlich entwickelte Verfahren des Employee Security Indexes (ESI) kann hier helfen: Die Security Awareness der Teilnehmer kann dediziert ermittelt und mit Hilfe des ESI sichtbar gemacht werden. Diese Transparenz ermöglicht es, weitere Maßnahmen zielgerichtet für die unterschiedlich starken Gruppen zu planen und den Erfolg (Return on Security Invest - RoSI) von Trainingsmethoden zu überprüfen.
3. Anhaltenden Lerneffekt produzieren
Wie Philippa Lally (siehe oben) gezeigt hat, lernen Menschen nicht über Nacht: Antrainierte Verhaltensweisen zu ändern erfordert eine gewisse Hartnäckigkeit, Aus diesem Grund sollte ein automatisiertes Tool eingesetzt werden – durch skalierbare und anhaltende Trainings adaptieren alle Teilnehmer langfristig ein sicheres Verhalten.
Die Ergebnisse sprechen für sich: Unsere Kunden benötigen in der Regel mindestens 6 Monate um sicheres Verhalten Unternehmensweit zu erreichen.
4. Unternehmenskultur einbeziehen
Besonders wichtig ist es, die Akzeptanz bei den Mitarbeitern zu erreichen und ein gutes Gefühl zu geben. Unter allen Umständen sollte ein Gefühl der Überwachung vermieden werden – es darf nicht „die IT gegen die Mitarbeiter“ sondern „die IT für die Mitarbeiter“ heißen.
Daher sollte die Simulation vorher angekündigt werden und und den Mitarbeitern bewusst gemacht werden, dass IT-Sicherheit nicht von der Technik alleine geschaffen werden kann. Nur gemeinsam – Technik und Anwender – können aktuelle Angriffe abgewehrt werden. Jeder muss seinen Teil dazu beitragen.
Machen Sie darüber hinaus klar, dass es einen geschützten Rahmen gibt: Die Analysen sollten stets anonymisiert und gruppenbasiert stattfinden und keinen Rückschluss auf das Verhalten einzelner Personen zulassen. Die Mitarbeiter werden sich mit Freude beteiligen und das Thema Security Awareness in den Alltag, sowohl den beruflichen als auch privaten, aufnehmen.
5. Betriebs- bzw. Personalrat einbinden
Der Betriebs- oder Personalrat sollte frühzeitig informiert und seine Fragen eingebunden werden. Es ist seine Aufgabe, die Mitarbeiter zu schützen und daher nur natürlich, dass hier Fragen aufkommen.
Zum Umgang mit Betriebs- und Personalräten können wir folgende Punkte empfehlen:
- Fragen klären
- Frühzeitig und transparent kommunizieren gegenüber Gremien, wie z.B. BR, den Mitarbeitern und Vorgesetzten
- Den Trainingscharakter der Simulation in den Fokus rücken – auch der private Nutzen ist attraktiv
- Ergebnisse nur in anonymisierter Form kommunizieren
Wenn dies jedoch gut vorbereitet ist und die zuvor genannten Punkte respektiert wurden – vor allem den Mitarbeiterschutz durch Anonymisierung – haben wir sehr gute Erfahrungen gemacht. Die meisten Betriebsräte unterstützen die Maßnahme mit Freude, da sie den Mitarbeitern auch für das Privatleben wichtige Fähigkeiten vermittelt und dabei unterhaltsam bleibt.
Wenn Sie diese Tipps beachten, steht einer lehrreichen und erfolgreichen Simulation nichts mehr im Wege.
Über den Autor: David Kelm beschäftigt sich seit dem Jahr 2012 intensiv mit dem Thema Social Engineering und Mitarbeiter-Awareness. Seine Forschung an der TU-Darmstadt konzentrierte sich darauf, wie man das Sicherheitsniveau eines Unternehmens standardisiert messen kann. Nach verschiedenen Preisen und Förderungen mündete aus den Forschungsergebnissen 2016 die Gründung des Start-ups IT-Seal, das sich heute nicht nur auf das Messen sondern vor allem auch auf das effektive Trainieren von Mitarbeitern spezialisiert hat.
(ID:46384249)
:quality(80)/images.vogel.de/vogelonline/bdb/1947700/1947715/original.jpg "Gamification ist weitaus mehr als eine Spielerei. Richtig eingesetzt absolvieren die Beschäftigten gerne Schulungen und senken spielerisch und effektiv ihr Cyberrisiko. (dusanpetkovic1 - adobe.stock.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945800/1945861/original.jpg "Microsoft 365 ist für Unternehmen auf der ganzen Welt ein wichtiges Tool bei der Zusammenarbeit von entfernten, vermehrt die Cloud nutzenden Mitarbeitern. Aber wer sich auf die Zugänglichkeit von Microsoft 365 verlässt, muss auch darauf vorbereitet sein, dass Angreifer das Gleiche tun. (peshkov - stock.adobe.com)")