Anzeige

Security Awareness

Letzte Woche war bekannt geworden, dass nun eine Reihe von deutschen Politikern Opfer von Phishing-E-Mails wurden. Die Drahtzieher werden in Russland vermutet und der Gruppe „Ghostwriter“ zugeordnet.

Die Politiker wurden wohl über ihre E-Mailadressen gephisht und nicht über das Netzwerk des Bundestags. Die ermittelnden Strafverfolgungsbehörden mutmaßen, dass die digitalen Identitäten der Politiker nun gefälscht werden sollen, um Fake News zu verbreiten. 

Der beste Schutz vor Phishing sind Security Awareness Trainings, die mit abwechslungsreichen Inhalten und simulierten Phishing-E-Mails den Teilnehmern Praxiswissen vermitteln. Es ist schwierig, das Verhalten eines Einzelnen zu ändern, ganz zu schweigen von der Veränderung der Security Culture einer ganzen Organisation. Dennoch ist es von entscheidender Bedeutung zu verstehen, wie man als Sicherheitsverantwortlicher individuelles Verhalten von Mitarbeitern als Teil der Veränderung der Unternehmenskultur zum positiven beeinflussen kann. Die folgenden Tipps helfen dabei ein erfolgreiches Training aufzusetzen:

Trainings sind das beste Mittel

Ein Teil des Problems besteht darin, dass die meisten Benutzer nicht verstehen, wie groß die Rolle ist, die Security Awareness Trainings im Kampf gegen Social Engineering und Phishing im Vergleich zu anderen Abwehrmaßnahmen einnehmen. Die Benutzer hören so viele Regeln und Empfehlungen, dass sie nicht mehr unterscheiden können, welche davon wichtig sind und welche nicht. Laut nahezu jeder Studie, die seit über einem Jahrzehnt zu Cyberkriminalität durchgeführt wurde, sind Social Engineering und Phishing für mehr Vorfälle in der IT-Sicherheit verantwortlich als jede andere Ursache. Das bedeutet, dass nichts anderes so wichtig ist, um das Cybersicherheitsrisiko zu reduzieren, wie die Konzentration auf die Bekämpfung von Social Engineering und Phishing.

Anreize setzen

Damit Mitarbeiter überhaupt an Schulungen teilnehmen, ist es hilfreich, Anreize zur Teilnahme zu schaffen. Anreize können beispielsweise positives Feedback, kleine Geschenke, Gutscheine, Geld und Prämien sein.

Interessante Schulungen

Die meisten Mitarbeiter haben genug von langweiligen, behäbigen Schulungen. Die Trainings zeigen die beste Wirkung, wenn die Teilnehmer sich dafür interessieren und auch verstehen, warum sie diese absolvieren müssen. Um dies zu gewährleisten, müssen sicherheitsrelevante Inhalte so vermittelt werden, dass Mitarbeiter Spaß dabei haben und sich motiviert fühlen.

Abwechslung

Es sollte sichergestellt werden, dass Sie die Schulungsinhalte in regelmäßigen Zeitabschnitten gewechselt und erneuert werden. Hierbei können verschiedene Ansätze ausprobiert und an die individuellen Bedürfnisse der Teilnehmer angepasst werden.

Zertifikate fördern Aufmerksamkeit

Es ist erstaunlich, was ein gedrucktes Leistungszertifikat bewirken kann, um die Aussichten von jemandem aufzuhellen. Viele Unternehmen zeichnen Mitarbeiter mit einem Zertifikat aus, wenn sie über einen längeren Zeitraum hinweg die Phishing-Tests stets erfolgreich bestehen. Es ist eine kleine, fast kostenlose Aktion, die große Wirkung entfalten kann.  Sie zeigt, dass die Leistung der Mitarbeiter von der Organisation anerkannt wird und motiviert den Einzelnen dazu, auch weiterhin gewissenhaft an den Schulungen teilzunehmen.

Fazit

Der aktuelle Fall um gephishte Politiker ist nur ein Beispiel für das, was aktuell auch vielen Unternehmen passiert, ihre Mitarbeiter sitzen im Home Office, außerhalb der gesicherten Netzwerke und werden mit Phishing-E-Mails regelrecht zugeschüttet. Diese E-Mails werden immer besser und nutzen aktuelle Themen, um durch Emotionen hervorgerufene Impuls-Klicks zu erzeugen. Ein Security Awareness Training hilft diese E-Mails zu erkennen und schult das richtige Verhalten darauf, so dass es im besten Fall aus dem FF angewendet wird.

Jelle Wieringa, Security Awareness Advocate
Jelle Wieringa
Security Awareness Advocate, KnowBe4

Artikel zu diesem Thema

Fake News
Mär 25, 2021

Junge Menschen kennen Fake News und Hassrede in Chats

Ob Fake News, Mobbing oder Hassrede – viele junge Menschen in Deutschland haben einer…
Phishing
Feb 03, 2021

LogoKit: Neues Tool für Hacker baut Phishing-Seiten in Echtzeit

Weltweit haben Lockdown-Maßnahmen dem Online-Handel in den vergangenen Monaten einen…
Security
Sep 08, 2020

Cybersecurity Awareness Plattform

Ab sofort ist die neue Version der Security Awareness Plattform 4.7.5 der Lucy Security…

Weitere Artikel

Identity Security

„Leaver“ eine der größten Gefahren für die IT-Sicherheit von deutschen Unternehmen

SailPoint, Anbieter aus dem Bereich Identity Security, stellt heute die Ergebnisse seiner Studie „Herausforderungen und Chancen beim Einsatz von Identity Security - der Leaver als Gefahrenquelle“ vor. Die Erhebung entstand in Kooperation mit demAnalystenhaus…
Internetsicherheit

Status Quo Internetsicherheit 2021

Wir leben in einer Zeit, da die Schlagzeilen suggerieren, dass alles immer nur schlimmer und bedrohlicher geworden ist. Das gilt auch für die Sicherheit der Internetnutzer:innen. Ich bin überzeugt, dass hier schon vieles erreicht wurde. Hier ein Rückblick auf…
Backup

Nachholbedarf bei Backups als Vorsorge für Ransomware-Angriffe

Rubrik hat die Ergebnisse seiner Studie „Immutable back-ups: Separating hype from reality“ bekannt gegeben. Hierzu befragte das Unternehmen 150 IT-Führungskräfte in der EU und Großbritannien zu unveränderlichen Backups vor dem Hintergrund zunehmender…
Hackerangriff

Schutz des IT-Netzwerkes

„An einem kalten Februartag brechen in Europa alle Stromnetze zusammen. Der totale Blackout. Ein Hackerangriff? … In seinem Roman „Black Out“ skizziert Marc Elsberg die Folgen einer Manipulation von Endgeräten im Stromnetz, ganz Europa ist ohne…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.