Suchen

Trainingsplattform von KnowBe4 Monty Python und die Security Awareness

| Autor: Melanie Staudacher

IT-Sicherheit beginnt bei den Mitarbeitern. Bei KnowBe4 trainieren die Anwender ihre Security Awareness mit Inhalten, die auf ihre Präferenzen zugeschnitten sind und können verdächtige E-Mails per Knopfdruck schnell melden.

Firmen zum Thema

KnowBe4 kombiniert Security mit Psychologie und entwickelt somit eine Lernplattform für Security Awareness, die unter anderem mit lokalem Humor und Entertainment arbeitet.
KnowBe4 kombiniert Security mit Psychologie und entwickelt somit eine Lernplattform für Security Awareness, die unter anderem mit lokalem Humor und Entertainment arbeitet.
(Bild: Naz - stock.adobe.com)

Jelle Wieringa, Security Awareness Advocate bei KnowBe4, ist überzeugt, dass Security-Awareness-Trainings nicht langweilig sein müssen.
Jelle Wieringa, Security Awareness Advocate bei KnowBe4, ist überzeugt, dass Security-Awareness-Trainings nicht langweilig sein müssen.
(Bild: KnowBe4)

„Es gibt Millionen von Phishing E-Mails da draußen. Wir können nicht jede einzelne E-Mail in unser Training aufnehmen“, sagt Jelle Wieringa, Security Awareness Advocate bei KnowBe4. „Was wir aber tun können ist Anwendern beizubringen, woran sie eine echte Phishing-Mail erkennen.“ Bei dem amerikanischen Anbieter werden diese Merkmale als Red Flags bezeichnet, wie Wieringa erklärt. Mittels Videos, Präsentationen und Quiz, lernen die Anwender, auf welche Red Flags sie achten müssen, wenn sie eine E-Mail erhalten. Über simulierte Phishing-Attacken überprüft der Anbieter, ob die Nutzer das Gelernte auch anwenden können.

Security und Psychologie

Die Trainings-Mails basieren auf echten Phishing-Angriffen. Der einzige Unterschied ist, dass wenn der Anwender auf einen Link in der E-Mail klickt nicht auf eine bösartige Website gelangt. Stattdessen wird er auf eine Website von KnowBe4 weitergeleitet, auf der ihm erläutert wird, dass diese E-Mail eine Übung war und welche Red Flags er übersehen hat. Auf der Plattform erfahren Nutzer auch, welche Emotionen die Hacker mit welcher Art von E-Mail ansprechen möchten. So können sie lernen, bestimmte Muster zu erkennen.

Zudem hat KnowBe4 bereits vor sechs Jahren damit begonnen, auch kulturelle Aspekte in die Lernplattform zu integrieren. Dazu kooperiert das Unternehmen mit Psychologen und Kultur-Experten. Die Spezialisten arbeiten daran herauszufinden, mit welchen Inhalten Anwender aus verschiedenen Ländern am besten lernen. Wieringa berichtet, dass zum Beispiel in Großbritannien die Lernvideos sehr humoristisch aufbereitet sind: „In UK nutzen wir viel Humor im Stil von Monty Python. In Deutschland haben wir die Erfahrung gemacht, dass kurze, animierte Videos mit aktuellen Themen am besten funktionieren.“

The Inside Man

„Security Awareness muss Spaß machen, muss aufregend sein, muss frisch und neu sein. Andernfalls funktioniert das Training nicht“, erklärt Wieringa. Vor allem eine junge Zielgruppe könne nicht mehr nur mit Frontalschulungen belehrt werden. Deswegen hat das Unternehmen eine Drama-Serie produziert, in der die Zuschauer häppchenweise Inhalte zur Security Awareness konsumieren. In „The Inside Man“ zeigt KnowBe4 in 12 Episoden Best Practices mit einer Länge von jeweils fünf bis zehn Minuten unter anderem zu den Themen Social Engineering, Mobile App Security, Phishing, Clear Desk Policy und Passwortsicherheit. Dabei verfolgen die Zuschauer die Handlung der Protagonisten. „Unsere Kunden möchten die Serie sehen, weil sie unterhaltsam ist und nicht, weil sie müssen. Dadurch macht das Lernen Spaß“, sagt Wieringa.

Um eine gesunde Security Culture im Unternehmen zu etablieren, ist es laut Wieringa notwendig, den Status Quo der Security Awareness festzustellen. Dazu hat KnowBe4 das norwegische Unternehmen CLTRe übernommen, das sich genau darauf spezialisiert hat. Mittels eines kurzen Fragebogens wird der Reifegrad der Security Awareness von einzelnen Mitarbeitern oder gesamten Organisationen festgestellt, analysiert und kann danach verglichen werden.

Phishing Alert Button

Damit die Mitarbeiter es so einfach wie möglich haben, eine allfällige Attacke zu melden, hat KnowBe4 den „Phish Alert Button“ (PAB) entwickelt. Erhält ein Nutzer eine neue E-Mail im Posteingang und hält sie für verdächtig, klickt er auf den PAB. Das System ermittelt dann, ob die E-Mail eine Testnachricht von KnowBe4 ist oder nicht. Wenn ja, kontaktiert das Add-In den KnowBe4-Server, um die weiteren Aktionen in der Admin-Konsole aufzuzeichnen. Falls die Nachricht eine Phishing-Attacke ist, leitet der E-Mail-Client die Nachricht direkt an das Incident Response Team zur Analyse weiter. Der Mitarbeiter erhält sofortiges Feedback vom System, ob seine Reaktion richtig war.

Nutzer können die Schaltfläche sowie die Benutzerdialogfelder des Phish Alert individuell anpassen. Unterstützte Clients sind Outlook 2010, 2013, 2016 und Outlook für Office 365, Exchange 2013 und 2016, Outlook im Web, die Outlook Mobile App für iOS und Android sowie Chrome 54 und höher unter Linux, OS X und Windows.

(ID:46903092)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH