Viele Menschen denken: „Mit einem sicheren IT-System kann meinem Unternehmen nichts passieren: Ich werde nie gehacked.“ Dabei kann es jeden treffen, insbesondere Unternehmen. Denn selbst unter größtem Aufgebot an IT-Sicherheitsmaßnahmen wird oft unterschätzt, dass es die Menschen sind, die als Einfallstor für Cyber-Angriffe dienen.
Dabei ist das Bewusstsein der Mitarbeitenden um potenzielle Angriffstechniken von Cyberkriminellen von entscheidender Bedeutung.
In diesem Blogbeitrag erfahren Sie:
- Warum Security Awareness so wichtig ist.
- Was das Sicherheitstraining enthält.
- Wie Sie zur Security Awareness motivieren.
Warum ist Security Awareness so bedeutend?
Mit den fortschreitenden Technologien setzen auch Cyberkriminelle immer ausgeklügeltere Strategien ein, um an sensible Daten zu gelangen. Oft erhalten die Kriminellen Zugang zu vertraulichen Unternehmensdaten, indem Ihnen Mitarbeitende ins Netz gehen.
Ziele von Cyber-Attacken sind:
- Industriespionage
- Produktionsausfälle
- Sabotage
- Lösegeld-Erpressung
- Missbrauch von Kontodaten
Social Engineering
Social Engineering ist eine beliebte Vorgehensweise, um Opfer psychisch dahingehend zu manipulieren, dass sie Daten preisgeben. Dabei sind sie überzeugt, das Richtige zu tun. Das verwundert auch nicht, da die Cyberopfer gezielt ausgenutzt werden hinsichtlich Hilfsbereitschaft, Angst, Vertrauen und Respekt vor Autoritäten. 90 Prozent der Cyber-Attacken basieren auf Social Engineering.
Methoden zum Social Engineering:
- Phishing: Cyber-Angreifer versenden gefälschte Mails. Darin sind Links enthalten, die zu manipulierten Websites führen und auf die Eingabe von Kontodaten abzielen, oder auch z. B. über das Klicken auf den Mailanhang Schadcode herunterladen. Die digitale Attacke geschieht in der Hoffnung, Bank-, Zugangs-, Geburtsdaten und PINs zu ergattern.
- CEO-Betrug: Bei dieser Betrugsmasche werden Angestellte mit Entscheidungsbefugnis manipuliert, um im vermeintlichen Auftrag des Chefs Geldtransfers zu tätigen.
- Pretexting: Durch Vorwände wird das Vertrauen der Opfer gewonnen. Das geschieht über gefälschte Mails und -Anrufe, die angeblich von autoritären Einrichtungen stammen,wie z. B. Polizei, Bank, Versicherung oder Behörde. Im Fokus steht der Diebstahl von sensiblen Informationen.
Inhalte (m)eines Sicherheitstrainings
Im Rahmen einer Security Awareness werden die Mitarbeitenden über die drohenden Risiken und Angriffstechniken bezüglich IT-System und Datenaustausch auf den neuesten Stand gebracht. Nachweislich sinkt das Risiko bei einem vorherrschenden starken Sicherheitsbewusstsein.
Das IT-Training zur Sicherheit enthält meist die folgenden Aspekte:
- Ransomware,
- E-Mails,
- Phishing,
- Informationspflicht,
- Datenspeicher,
- Phishing,
- Passwortsicherheit,
- Zugriffskontrolle,
- Datenträger,
- Soziale Netzwerke,
- Mobile Geräte,
- Homeoffice und Remote Work
Schulungen- und Awareness Trainings 2022/2023
Online Training
Online Trainings sind individuelle Schulungen für Ihre Beschäftigten. Sie können sich aus über 200 Inhalten ein passendes Thema heraussuchen, zu dem ich dann referiere. Der zeitliche Rahmen ist unterschiedlich und abhängig vom Schulungsthema. Üblicherweise kann man von ca. 90 Minuten ausgehen. Die Mindestteilnehmerzahl liegt bei 5 Personen. Es sind überwiegend Teilnehmerdokumente (Handouts) mit weiterführende Informationen enthalten. Jede Teilnehmer:in erhält eine Teilnahmebescheinigung. Das Training ist so geplant, dass es Zeit für Fragen gibt.
Online Workshops
Online Workshops laden die Teilnehmer:innen zum aktiven Mitmachen ein. Dieses Format eignet sich z.B. für die Beschulung von Fachabteilungen, oder bestimmten Rollen, wie z.B. Auszubildenden. Der Workshop hat einen zeitlichen Rahmen von 120-240 Minuten und eignet sich für einen Personenkreis bis 15 Teilnehmer. Es gibt auch eine kurze Pause. Im Fokus steht, dass die Teilnehmer:innen anhand von echten Fällen bestimmte datenschutzrelevante Sachverhalte erkennen und behandeln können. Dazu gehören zum Beispiel die Informationspflichten der DSGVO.
Vor-Ort Beschulung
Die Vor-Ort-Schulungen haben meistens einen Workshop-Charakter und laden die Teilnehmer:innen zum Hinterfragen bestimmer Sachverhalte ein. Für gewöhnlich wird anhand einer Fallstudie ein bestimmtes Arbeitsergebnis erarbeitet und im Team ausgewertet. Der Vorteil von Vor-Ort-Beschulungen ist ganz klar die persönliche Interaktion. Auch der Spaß kommt nicht zu kurz. Die Erfahrung zeigt, mit einem Lachen im Gesicht, lernt es sich einfach besser.
Motivation für (mehr) Security Awareness
Neben dem Erkennen von Gefahren kommt es vor allem auch darauf an, richtig zu handeln und einen (möglichen) Angriff zu melden.
Damit die Trainingseinlage auch auf fruchtbaren Boden fällt, ist es essenziell, dass Sie als Geschäftsführer die Mitarbeitenden wertschätzen und dies auch zum Ausdruck bringen. Außerdem gehen Sie mit gutem Beispiel voran, wenn Sie Ihren Angestellten die Brisanz der Security Awareness näherbringen.
Schließlich kann ein Cyberangriff für mehrere Wochen lahmlegen, in denen nicht mehr mit Kundschaft und GeschäftspartnerInnen vom Unternehmen aus kommuniziert werden kann. Von den Unkosten und möglichen Gerichtsverfahren wegen möglichen Datenschutzverstößen ganz zu schweigen.
Fazit
Kaum ein Unternehmen kann es sich heute leisten, nicht in die Sensibilisierung und Schulung zugunsten der Informationssicherheit zu investieren. Die Gefahr der menschlichen Sicherheitslücke wird noch immer massiv unterschätzt. Doch wenn es früher oder später zum kriminellen Übergriff kommt, zeigt sich, ob ein Unternehmen in seine Resilienz, insbesondere in die Security Awareness, investiert hat. In diesem Fall kann schnellstmöglich auf den digitalen Angriff reagiert und der Schaden begrenzt werden, wohingegen der Schaden bei Sorglosigkeit gnadenlos zu buche schlägt.