Awareness Trainings: Damit bereichern Sie Mitarbeiter und Unternehmen
#awarenesstraining #cyberbedrohung #phishing #spearsphishing #ceofraud
Die Bedrohungslage: Mehr Angriffe, mehr Einfallstore
Immer mehr Firmen werden Opfer von Cyberattacken. Allein im Jahr 2019 hat das BSI in seinem Lagebericht eine weitere Zunahme von Angriffen vermerkt. Das BSI analysiert die Gefahren des ganzen Jahres und gibt an, dass 800 Millionen Schadprogramme im Umlauf sind. Das Erschreckende ist jedoch, dass täglich 390.000 neue Malware-Varianten entstehen. Daher ist der technische Aufwand zum Schutze des eigenen Netzwerkes enorm. Es werden Firewalls, Antiviren-Programme, Sandboxen und natürlich Spam-Filter eingerichtet.
Dennoch finden die Angreifer auf den unterschiedlichsten Wegen ihren Zugriff in das System der oft mittelständischen Unternehmen. Dabei wählt ein Angreifer oft den Angriffsvektor E-Mail, wie zum Beispiel bei der weit verbreiteten Schadsoftware „Emotet“. Diese Angriffe unterlaufen geschickt die technischen Maßnahmen und so landet früher oder später eine E-Mail im Postfach der Mitarbeiter – getarnt als Rechnung oder Infomail mit einem Link zu den vermeintlich wichtigen Unterlagen.
Was entscheidet, ist der Mensch
Genau das ist der Punkt, an dem sämtliche Technik-Investitionen an Bedeutung verlieren und nur noch ein Klick zwischen einem Problem für das Unternehmen und einer weiteren E-Mail im Papierkorb entscheidet. Diese Situation ereignet sich jeden Tag in unzähligen Unternehmen. Fast alle Mitarbeiter bis hin zur Geschäftsleitung erhalten über den Tag verteilt E-Mails, um mit Partnern und Kunden in Kontakt zu bleiben. Auch Zulieferer schicken wichtige Informationen und Rechnungen auf digitalem Weg. Bewerbungen erreichen das Unternehmen heutzutage online.
Das hat zur Folge, dass die Unterlagen in den unterschiedlichsten Dateiformaten im E-Mail-Postfach landen. Sowohl Microsoft Office-Dokumente oder PDF-Dateien, aber auch gerne mal Links zu einer persönlichen Vorstellungsseite sind fester Bestandteil eingehender Bewerbungen. Immer wieder müssen Mitarbeiter auch online recherchieren, ob bei Preisvergleichen oder um eine Dienstreise zu planen.
Die Arbeitswelt ist vernetzt und digitalisiert. Damit einher geht auch die Verlagerung ins Homeoffice und die Cloud. Immer mehr Firmen bieten ihren Mitarbeitern das Homeoffice für mindestens einen Wochentag an. Dienste werden aus Kostengründen und für eine bessere Skalierung der eigenen Arbeit in die Cloudinfrastruktur verlegt. Das alles führt dazu, dass sich Mitarbeiter von verschiedenen Netzwerken und Orten anmelden müssen und ihre Benutzerinformationen auf wechselnden Login-Seiten eingeben. Die Entscheidung, ob die Seite, auf der man gerade nach seinem Passwort gefragt wird, auch wirklich die des Unternehmens ist, liegt wieder bei einem Menschen.
Darum sind Awareness Trainings gefragt
Befindet sich ein Mitarbeiter sich in der Situation, darüber zu entscheiden ob eine E-Mail oder Webseite eine Gefahr darstellt oder nicht, so muss er sich meist auf seine eigenen Erfahrungen stützen. Dazu tritt er ohne Awareness Training mit einer Wissenslücke an, die potenziell verheerend für ein Unternehmen ausfallen kann. Damit diese Sicherheitslücke geschlossen werden kann, ist es notwendig, das nötige Wissen zu vermitteln, um die Threats zu erkennen. Allein die Kenntnis darum, welche Angriffsformen es überhaupt gibt, verringert bereits die Gefahren. Ein geschulter Mitarbeiter kennt die Indikatoren einer Phishing-E-Mail und kann gezielt danach suchen. Er wird auch in die Lage versetzt, selbständig zu prüfen und zu validieren. Zusätzlich nimmt es dem Mitarbeiter die Angst davor, falsche Entscheidungen zu treffen. So reduziert ein Awareness Training nachhaltig die Gefahr durch Cyberangriffe.
Awareness schüren: Präsenzschulung oder Online
Der Schulungsansatz, das Bewusstsein für die Vielfalt von Cybergefahren zu steigern und die Bedrohungen zu verstehen, ist sowohl in einer Präsenzschulung als auch über eine Online Schulung wie durch ein Lernmanagementsystem (LMS) gut möglich. Beide Methoden lassen sich auch hervorragend kombinieren.
Vorausgehend ist eine Grundschulung in Form einer Präsenzschulung, die alle Basisinhalte vermittelt und den Teilnehmern eine Möglichkeit gibt, Fragen direkt an den Dozenten zu richten. Damit das Wissen dann auch angesichts variabler Cyberangriffe aktuell bleibt, ist eine stetige Auffrischung und eine an die aktuelle Bedrohungslage angepasste Online Schulung von Vorteil.
Dabei muss das Training nicht nüchtern und trocken sein: Der Dozent kann beispielsweise live einen spannenden Blick hinter die Kulissen eines Hackerangriffs gewähren. Die Mitarbeiter können sich direkt zum Beispiel auf eine präparierte Seite einloggen und zusehen, wie ein echter Hacker agieren würde. Ein Vorteil sind auch personalisierte und auf das jeweilige Unternehmen angepasste Szenarien, um den Mitarbeiter direkt für die im unternehmenseigenen Umfeld auftretenden Szenarien zu sensibilisieren. Oft sind es zudem branchenspezifische Vorgaben oder örtlich und baulich bedingte Einschränkungen, die mit in ein solches Training übernommen werden können.
Awareness Trainings für jedermann: Wissen ist Macht
Das Training sollte natürlich an die Zielgruppe angepasst sein; jedoch ist es für jeden Mitarbeiter bis zur Geschäftsleitung vorteilhaft, ein solches Bewusstseinstraining einmal durchlaufen zu haben. Oft werden in sogenannten „Spear-Phishing“ Kampagnen ganz bestimmte Gruppen ins Visier der Angreifer genommen. Hier werden auch immer wieder hochrangige Mitarbeiter und die Geschäftsleitung erst ausspioniert und ihre Gewohnheiten in der digitalen Welt erfasst, etwa für den sogenannten CEO-Fraud. Es erfolgt ein gezieltes, also persönliches Anschreiben mit einem schädlichen Anhang oder Link, das scheinbar nichts Böses vermuten lässt – und schließlich das gesamte Unternehmen lahmlegt. Auf diese Szenarien sollte jeder im Unternehmen vorbereitet sein.
- Zusätzliche Informationen zur Sensibilisierung Ihrer Mitarbeiter finden Sie in unserem Whitepaper „Mitarbeiter Awareness – Achtung Phishing-Attacke: Mitarbeiter im täglichen Umgang mit E-Mails sensibilisieren“