Cyberkriminelle nutzen zunehmend die "menschliche Schwachstelle" aus und zielen mit verschiedenen Manipulationstechniken darauf ab, Passwörter, Daten oder große Geldbeträge zu stehlen. Früher waren die Angriffe der Cyberkriminellen unzielgerichtet und unausgereift. Eine unspezifische Phishing-E-Mail, wie beispielsweise eine gefälschte Amazon-Rechnung, wurde mit einer allgemeinen Ansprache an zahlreiche Empfänger gesendet. Heutzutage nutzen Angreifer jedoch eine Vielzahl von Informationen, die sie online über ihre Zielgruppe sammeln können. Diese Informationen gewinnen sie aus sozialen Medien wie XING, LinkedIn oder Facebook und setzen sie leicht für gezielte Angriffe (Spear-Phishing) ein. Genau das macht diese Angriffe so schwer zu erkennen.
Unternehmen
5 Tipps für Security-Awareness-Trainings
Das Ziel von Security-Awareness-Maßnahmen ist es, Mitarbeiter von Unternehmen dabei zu unterstützen, sich gegen Cyberangriffe zu verteidigen. Dazu gehören verschiedene Schulungsmaßnahmen, die darauf abzielen, die Sensibilisierung der Benutzer für IT-Sicherheitsthemen zu erhöhen und Grundkenntnisse zu vermitteln.
© pixabay / MightyFineBros
Security Awareness: Realistisch und regelmäßig schulen
Daher stellt sich die Frage, wie Anwender am besten auf gezielte und gut durchdachte Angriffe vorbereitet werden können. Häufig sind es Gewohnheiten im Alltag, die zu gefährlichen Situationen führen. Daher ist es wichtig zu verstehen, wie Anwender langfristig ihre Gewohnheiten ändern können. Laut einer Studie von Philippa Lally und ihrem Team vom University College London aus dem Jahr 2010 benötigt es etwa 20-66 Tage der Wiederholung, bis eine Gewohnheit automatisch wird, wobei komplexere Gewohnheiten mehr Zeit benötigen. Daher wird es für die Teilnehmer erst nach einer gewissen Zeit zur Gewohnheit, E-Mails kritisch zu überprüfen und Auffälligkeiten zu erkennen.
Mit welchen Methoden kann man Security Awareness trainieren?
Eine klassische Methode zur Wissensvermittlung ist die Präsenzschulung. Diese ermöglicht es, alle Teilnehmer direkt einzubeziehen. Allerdings gibt es hier Nachteile hinsichtlich der Zeiteffizienz und der Skalierbarkeit. Außerdem reicht es nicht aus, die Lerninhalte nur einmal zu vermitteln, um das Verhalten der Teilnehmer zu ändern. Selbst ein spannendes und informatives Training verliert nach einigen Wochen an Wirkung, wenn der Alltag wieder überhandnimmt.
E-Learning-Module oder Webinare sind weitere Optionen, um Grundwissen bei den Teilnehmern zu vermitteln. Diese Methode kann gut skaliert werden und dient dazu, die Teilnehmer regelmäßig in die richtige Richtung zu lenken. Allerdings erfahren Unternehmen auf diese Weise nicht, wie Mitarbeiter im Alltag mit Phishing-E-Mails umgehen. Daher bleibt unklar, ob die durchgeführten Maßnahmen bereits ausreichend sind oder weitere Aktivitäten erforderlich sind.
Die Möglichkeit der Phishing-Simulation führt zu Wissensvermittlung und Verhaltensänderung bei den Teilnehmern. Hierbei handelt es sich um regelmäßige Herausforderungen im Arbeitsalltag und um die Nutzung des "besten Lehrmoments". Die Simulation ermöglicht auch die Messung der Awareness und dient als Nachweis für die Wirksamkeit der Maßnahme und das aktuelle Sicherheitsniveau. Der Nachteil, dass der Fokus hier nur auf Phishing-Angriffen liegt, kann durch Kombination mit Präsenzschulungen und/oder E-Learnings ausgeglichen werden.
Wenn Sie sich für Phishing-Simulationen als Trainingsmethode entscheiden, gibt es 5 wichtige Punkte, die Sie beachten sollten:
Die 5 Must-haves für Security Awareness Trainings
- Realistische Simulationen durchführen: Spear-Phishing
Simulationen sollten so realistisch wie möglich sein, um einen optimalen Lerneffekt und sicheren Umgang zu gewährleisten. Einfache Massen-E-Mails reichen heute nicht mehr aus. Die Angriffe sollten so gestaltet sein, wie es reale Angreifer täglich tun: zugeschnitten auf das Unternehmen und die individuellen Benutzer. Informationen aus beruflichen und sozialen Netzwerken können genutzt werden, um die Simulation personalisiert und realitätsnah zu gestalten. Dadurch werden aktuelle Angriffsmethoden abgedeckt und die Teilnehmer optimal auf den Ernstfall vorbereitet.
- Aussagekräftige Ergebnisse erzielen
Klickraten allein sind kein guter Maßstab zur Bewertung der Security Awareness. Diese können von E-Mail zu E-Mail stark variieren, insbesondere wenn interne Informationen verwendet werden. Daher ist es wichtig, ein standardisiertes Messverfahren einzusetzen, bei dem verschiedene Phishing-E-Mails gesendet werden. Dadurch kann die Security Awareness tatsächlich gemessen und Veränderungen über die Zeit nachgewiesen werden.
- Nachhaltigen Lerneffekt erzielen
Die Änderung von Verhaltensweisen erfordert Beharrlichkeit. Ein automatisiertes Tool sollte eingesetzt werden, um langfristig ein sicheres Verhalten bei allen Teilnehmern zu fördern. Die Ergebnisse sprechen für sich: Unsere Kunden benötigen in der Regel mindestens 6 Monate, um sicheres Verhalten unternehmensweit zu etablieren.
- Unternehmenskultur berücksichtigen
Die Akzeptanz der Mitarbeiter zu gewinnen und ein positives Gefühl zu vermitteln ist besonders wichtig. Ein Gefühl der Überwachung sollte vermieden werden. Es sollte nicht "die IT gegen die Mitarbeiter" heißen, sondern "die IT für die Mitarbeiter".
Daher sollte die Simulation im Voraus angekündigt werden und den Mitarbeitern bewusst gemacht werden, dass IT-Sicherheit nicht allein von der Technik geschaffen werden kann. Nur gemeinsam, Technik und Benutzer, können aktuelle Angriffe abgewehrt werden. Jeder muss seinen Beitrag leisten.
Klarzustellen ist auch, dass es einen geschützten Rahmen gibt: Die Analysen sollten anonymisiert und gruppenbasiert durchgeführt werden und dürfen keine Rückschlüsse auf das Verhalten einzelner Personen zulassen. Die Mitarbeiter werden gerne teilnehmen und das Thema Security Awareness sowohl im beruflichen als auch im privaten Alltag aufnehmen.
- Betriebs- oder Personalrat einbeziehen
Der Betriebs- oder Personalrat sollte frühzeitig informiert und in den Prozess eingebunden werden. Es ist ihre Aufgabe, die Mitarbeiter zu schützen, daher ist es natürlich, dass hier Fragen auftreten.
Bezüglich des Umgangs mit Betriebs- und Personalräten empfehlen wir:
Klärung von Fragen Frühzeitige und transparente Kommunikation mit Gremien wie dem Betriebsrat, den Mitarbeitern und Vorgesetzten Die Trainingsaspekte der Simulation in den Vordergrund stellen – auch der persönliche Nutzen ist ansprechend Ergebnisse nur in anonymer Form kommunizieren Wenn dies gut vorbereitet ist und die oben genannten Punkte berücksichtigt werden - insbesondere der Schutz der Mitarbeiter durch Anonymisierung - haben wir sehr gute Erfahrungen gemacht. Die meisten Betriebsräte unterstützen die Maßnahme gerne, da sie den Mitarbeitern wichtige Fähigkeiten vermittelt, die sowohl im beruflichen als auch im privaten Leben von Bedeutung sind und dabei unterhaltsam bleiben.
Wenn Sie diese Tipps befolgen, steht einer lehrreichen und erfolgreichen Simulation nichts mehr im Weg.