Suchen

Gesponsert

Security Awareness Training Die menschliche Firewall muss trainiert werden

Durch den allgegenwärtigen Wettbewerbsdruck über alle Branchen hinweg spielt der Faktor Zeit eine wichtige Rolle. Das zentrale Element ist und bleibt jedoch der Mensch. Er steht im Mittelpunkt eines jeden Unternehmens. Doch genau das machen sich Cyberkriminelle mehr und mehr zu Nutze. Mit Social Engineering setzen sie die Faktoren Zeit und Druck ein, um nicht etwa Diamanten zu erzeugen, sondern Menschen zu Fehlern zu verleiten und leichtsinnig zu handeln.

Gesponsert von

Der Mensch ist Schwachstelle Nummer 1, aber es gibt einen Ausweg. Das menschliche Verhalten lässt sich zwar nicht perfekt steuern, aber schulen.
Der Mensch ist Schwachstelle Nummer 1, aber es gibt einen Ausweg. Das menschliche Verhalten lässt sich zwar nicht perfekt steuern, aber schulen.
(Bild: ivector@adobe.stock.com)

Die unternehmensinterne als auch externe Kommunikation erfolgt heute zunehmend digital via E-Mail, teilweise Social Media oder Chatbots. Laut einer im Jahr 2019 veröffentlichten Bitkom-Studie zum Thema „Digitalisierung der Wirtschaft“, gaben 65 Prozent der befragten Unternehmen ab 20 Mitarbeitern aus allen Branchen an, dass IT- und Internet-Organisationen in ihren Markt drängen.

Es gibt einige Möglichkeiten, um traditionelle Sicherheitsmaßnahmen zu umgehen. Der Mensch ist wie erwähnt Schwachstelle Nummer Eins. Wir verbringen immer mehr Zeit im Internet, vor allem auf den sozialen Plattformen. „LinkedIn beliebtestes Phishing-Ziel“, so lautet nur eine von zahlreichen Schlagzeilen zu den Aktivitäten der Cyber-Kriminellen. Der Mensch wird in beinahe jedem Social Engineering-Angriff auf Unternehmen als Einfallstor genutzt. Dabei spielen besonders fünf Methoden eine entscheidende, nicht unbedeutende Rolle zum Unglück der Organisationen: Phishing, Vishing, Smishing, Social Media Phishing und Deepfakes.

Das Beispiel aus dem Dezember 2019 zeigt auf, welche lebensbedrohenden Risiken durch Phishing entstehen können. Mit einem Ausfall der IT sind viele Leben durch die dann schlechtere gesundheitliche Versorgung gefährdet. Zum Nachteil vieler Krankenhäuser, denn gerade sie sind Ziel von vielen Attacken geworden. Die Absicht ist zumeist, Lösegelder zu erpressen. Neben dem wirtschaftlichen sind die Auswirkungen auf die Patienten enorm. Seit 2016 häufen sich die Krankenhäuser, die entweder vollständig auf einen analogen Betrieb oder sogar auf eine Notfallversorgung umstellen mussten. Weitere Beispiele von Stadtverwaltungen bis hin zur produzierenden Industrie verdeutlichen die Gefahr, die von Phishing ausgeht.

KnowBe4 hilft bei der Stärkung der menschlichen Firewall

Um zu verstehen, warum die Stärkung einer menschlichen Firewall so effektiv gegen die Social Engineering-Angriffe ist, ist es wichtig zu verstehen, warum diese Hacker-Technik überhaupt funktioniert. Eine große Portion Psychologie spielt bei einer erfolgreichen Phishing-Attacke die Hauptrolle. Die menschliche Psyche wird auf eine Probe gestellt und es zeigt sich dann auch wie verwurzelt das Thema IT-Sicherheit in der Unternehmenskultur ist.

Aber es gibt Licht am Ende des Tunnels. Das menschliche Verhalten lässt sich zwar nicht perfekt steuern, aber schulen. Genau hier setzt KnowBe4 an. Durch Schulungsmaterial wie Serien im Netflix-Stil, Spiele, Comics, Plakate und viele andere Formate, soll der Mitarbeiter mit Spaß an das Thema Security Awareness herangeführt werden. Besonders die Trainings- und Kontrollmodule sind das Herzstück der KnowBe4-Plattform. Dabei können gezielt Test-Phishing-Mails an die eigenen Mitarbeiter gesendet werden. Danach wird über das eigene Reporting ermittelt, wie die Empfänger der Mail darauf reagierten. Wer sich verklickt hat, erhält eine Benachrichtigung und gleichzeitig aufgezeigt, welche sogenannten roten Flaggen er hätte beachten sollen. Der Lernfortschritt kann also problemlos dokumentiert werden. Eine Möglichkeit dies zu messen ist der Phish-Prone-Percentage (PPP). Er gibt an, wie viele Mitarbeiter eines Unternehmens wahrscheinlich auf einen Phishing- oder Social-Engineering-Betrug hereinfallen würden. Im Phishing Benchmarking Report 2020 wurde der durchschnittliche anfängliche Basis-PPP-Wert von 38 Prozent bei den teilnehmenden Unternehmen gemessen. Dies entspricht einem Anstieg von 8 Prozent gegenüber 2019 – und zwar über alle Branchen und Unternehmensgrößen hinweg.

Es gibt mehrere zusätzliche Funktionen, die dabei helfen, den Phishing-Erfolg zu mindern. Hierzu gehört ein „Phish-Alert-Button“, der als Plug-In in Outlook implementiert werden kann. Erkennt ein Benutzer eine echte Phishing-Mail in seinem Postfach, so wird diese über den genannten Button direkt zu KnowBe4 gesendet. Dies hilft besonders dabei, die Trainingsinhalte den aktuellsten Phishing-Betreffzeilen anzupassen.

PhishER hilft darüber hinaus die Reaktion auf Bedrohungen zu orchestrieren und das hohe Volumen potenziell bösartiger E-Mail-Nachrichten, die von Ihren Benutzern gemeldet werden, zu verwalten. Durch die automatische Priorisierung von E-Mails hilft PhishER dem InfoSec- und Sicherheitsbetriebsteam, den „Lärm“ im Posteingang zu vermeiden und schneller auf die gefährlichsten Bedrohungen zu reagieren. Darüber hinaus können Sicherheitsverantwortliche mit PhishER die Verwaltung der gemeldeten E-Mails, die keine Bedrohungen darstellen, automatisieren. In der Regel sind dies 90 Prozent. Eine Orchestrierung der Incident Response (IR) kann dann dem Sicherheitsteam sofortige Effizienzsteigerungen bringen, aber der Wert dieser Reduzierung der False Positives ist viel größer als das. Eine weitere Funktion ist das sogenannte Phish-RIP. Hiermit lassen sich verdächtige Mails direkt in Quarantäne setzen. Der Vorteil, welcher dadurch entsteht, ist, dass auch weitere Empfänger, die zum Unternehmen gehören nicht auf die E-Mail klicken können, bis sie von einem Administrator freigegeben wurde.

KnowBe4 unterstützt Unternehmen beim Aufbau und der Stärkung der menschlichen Firewall und kann darüber hinaus eine Sicherheitskultur in die Unternehmenskultur etablieren. Das Einfallstor Mitarbeiter wird dadurch geschlossen und teure Folgeschäden vom Unternehmen abgewendet. Mehr erfahren Sie bei KnowBe4.

Advertorial - Was ist das?

Über Advertorials bieten wir Unternehmen die Möglichkeit relevante Informationen für unsere Nutzer zu publizieren. Gemeinsam mit dem Unternehmen erarbeiten wir die Inhalte des Advertorials und legen dabei großen Wert auf die thematische Relevanz für unsere Zielgruppe. Die Inhalte des Advertorials spiegeln dabei aber nicht unbedingt die Meinung der Redaktion wider.