KNOW-HOW –
    SECURITY AWARENESS

    Cyber Security besteht aus weit mehr als nur technischen Komponenten. Was sich viele nicht bewusst sind – Cyber Security beginnt beim Menschen. Welche Rolle Security Awareness dabei spielt und worum es sich dabei konkret handelt, erfahren Sie hier.

    SECURITY AWARENESS-QUIZ

    Security Awareness ist in aller Munde und (zum Glück) auch in immer mehr Unternehmen ein Thema. Wie steht es um Ihr Wissen im Bereich Security Awareness? Egal, ob Sie noch nie etwas davon gehört haben oder denken, bereits alles zu wissen: Testen Sie sich in unserem Security Awareness-Quiz und frischen Sie gleich Ihr Know-how auf!

    Mehr Informationen rund um Security Awareness und die Begriffe im Quiz, finden Sie auf dieser Seite.

    1

    Eine wichtige Komponente von Security Awareness ist Social Awareness. Welche Fähigkeit braucht es, um Social Awareness entwickeln zu können?

    Emotionale Intelligenz

    Alle Antworten sind korrekt.

    Soziale Intelligenz

    Soziale Sensitivität

    Sie fragen sich, was all diese (eigentlich positiven) Fähigkeiten mit Security Awareness und Cyberattacken zu tun haben? Social Awareness ist grundsätzlich gut und auch wichtig im Umgang mit Menschen, denn dies fördert die Beziehung und die Zusammenarbeit. Das «Bewusstsein» – also die Awareness –, in bestimmten Situationen angemessen (re)agieren zu können, kann jedoch auch zu Manipulationszwecken missbraucht werden, womit wir wiederum bei der Cyberkriminalität wären. Solche Manipulationen durch Cyberkriminelle werden unter dem Begriff Social Engineering zusammengefasst. Eine wichtige Komponente für effektive Security Awareness ist daher die Fähigkeit der Social Awareness, inkl. emotionaler und sozialer Intelligenz sowie sozialer Sensitivität, um solche Angriffe erkennen zu können.

    2

    Was versteht man unter dem Begriff Social Engineering?

    Das Ausnutzen der Hilfsbereitschaft, Unsicherheit oder Gutgläubigkeit von Personen, um z.B. an vertrauliche Informationen zu kommen.

    Eine Motivationstechnik, um Mitarbeitende bezüglich Security Awareness zu sensibilisieren.

    Das Ausspionieren von privaten Informationen auf dem Firmen-Computer durch eine Software.

    Beim Social Engineering werden die «Schwachstellen» von Personen ausgenutzt, um an Informationen oder Daten zu gelangen. Solche Schwachstellen sind bspw. Hilfsbereitschaft, Unsicherheit oder Gutgläubigkeit. Beispiel: Ein vermeintlicher Mitarbeiter der IT-Abteilung kommt vorbei, um eine neue Software zu installieren und steckt dazu einen USB-Stick ein – zack, schon ist der Computer infiziert. Und wer kennt in grossen Unternehmen schon alle Mitarbeitenden persönlich…

    3

    Welches der folgenden Passwörter ist am empfehlenswertesten?

    MjTLha11.MG!

    Fg67

    ,.:-_#+~<>!§$%&(){}=?@

    Hans1960

    Aus unserer Sicht am idealsten wäre MjTLha11.MG! (Meine Tochter Lisa hat am 11. März Geburtstag!) – einfach und trotzdem komplex, oder? Wählen Sie für dieses Baukastenprinzip einfach einen Satz, den Sie sich leicht merken können. Er sollte aus mind. zwölf Buchstaben bestehen, inkl. Zahlen und Satzzeichen, sowie Wörter beinhalten, die mit Gross- als auch Kleinbuchstaben beginnen. Warum wir von den anderen Passwörtern abraten? Nun, Fg67 besteht lediglich aus vier auf der Tastatur aufeinanderfolgende Eingaben. ,.:-_#+~<>!§$%&(){}=?@ besteht zum einen rein aus Sonderzeichen, zum anderen können sich wohl die meisten von uns (ohne Passwortmanager) nicht daran erinnern. Aber zugegeben: Sicher wäre es definitiv! Und Hans1960 ist wohl selbsterklärend…

    4

    Sie entscheiden sich, zwischen zwei Kundenterminen in einem Café Ihre E-Mails zu bearbeiten. Dort loggen Sie sich in ein kostenloses WiFi ein. Während Sie Google Mail aufrufen wollen (mail.google.com), werden Sie auf die Seite googlemail.account.net umgeleitet. Was tun Sie?

    Nichts – eine Weiterleitung ist harmlos, solange die Seite vertrauenswürdig aussieht.

    Im Privatmodus surfen.

    Beim nächsten Mal im Büro den Help Desk / IT Support bitten, den Computer vorsichtshalber zu prüfen.

    Sofort aus dem WiFi ausloggen.

    Die Weiterleitung könnte auf Spoofing hindeuten – eine Methode, um den Netzverkehr zu belauschen und zu manipulieren. Das bedeutet, dass möglicherweise Ihr E-Mail-Verkehr weitergeleitet wird und Ihre Eingabe in die vermeintliche Login-Maske mitgelesen wird. Trennen Sie daher umgehend die WiFi-Verbindung! Den Help Desk / IT Support zu benachrichtigen und diesen zu bitten, einen Blick auf Ihren Laptop zu werfen, ist aber ebenso empfehlenswert.

    Ein wichtiger Grundsatz am Rande: Loggen Sie sich in kein öffentliches, kostenloses WiFi ein – schon gar nicht mit Ihrem Geschäfts-Laptop, -Tablet oder -Smartphone.

    5

    Der erste Schritt in eine angemessene Security Awareness ist die Fähigkeit, ein mögliches Sicherheitsrisiko…

    zu meistern.

    zu erkennen.

    zu vermeiden.

    Bei der Arbeit sind wir tagtäglich Sicherheitsrisiken ausgesetzt – sei es beim Öffnen von E-Mails (vor allem mit Anhängen), bei Telefonaten, beim Surfen auf Websites usw. Es ist unmöglich, Risiken gänzlich zu vermeiden, ganz zu schweigen von meistern. Hingegen ist es unerlässlich, dass Sie auf Risiken hin sensibilisiert sind – Stichwort Security Awareness. Seien Sie wachsam und erkennen Sie Risiken, bevor sich diese zu einem echten Angriff entwickeln.

    6

    Wer ist verantwortlich für die Informationssicherheit im Unternehmen?

    Die IT-Abteilung

    Der/die Sicherheitsverantwortliche (CISO)

    Der/die CEO

    Alle Mitarbeitenden

    Merken Sie sich eines: ALLE Mitarbeitenden sind verantwortlich für die Informationssicherheit. Cyberkriminelle wissen nämlich ganz genau, dass viele Mitarbeitende ein leichtes Ziel sind. Kein Wunder, wenn diese nie auf die Gefahren aufmerksam gemacht und geschult wurden. Daher ist es umso wichtiger, dass alle über IT-Sicherheit und den sicheren Umgang mit Informationen Bescheid wissen (Stichwort «Security Awareness»). Und: Cyber Security gehört auch im Management nach ganz oben auf die Agenda!

    7

    Sie bekommen von einem unbekannten Absender eine E-Mail mit dem Hinweis, dass alle Informationen im angehängten Word zu finden sind. Was tun Sie?

    Melden Sie die E-Mail mittels «Phishing-Button» und leiten Sie diese an den Help Desk / IT Support weiter.

    Den Anhang vor dem Öffnen abspeichern.

    Die E-Mail an den privaten E-Mail-Account weiterleiten und zuhause öffnen.

    Öffnen Sie niemals einen E-Mail-Anhang, wenn Sie nicht 100 prozentig wissen, dass dieser harmlos ist. Kennen Sie den Absender? Erwarten Sie einen Anhang? Hat die E-Mail und der Name der Datei etwas mit Ihrer Tätigkeit, dem Unternehmen oder einem Projekt zu tun? Sollten Sie unsicher sein, öffnen Sie den Anhang auf keinen Fall, sondern melden Sie die E-Mail mittels «Phishing-Button» und leiten Sie diese an den internen Help Desk / IT Support weiter.

    8

    Was ist Spear Phishing?

    Eine massive Spam-Mail-Attacke an alle Mitarbeitenden.

    Eine Phishing-Attacke, die von einer Mitarbeiterin oder einem Mitarbeiter ausgeht.

    Eine sehr gezielte, gut geplante Cyberattacke.

    Eine Phishing-Attacke via Smartphone-App.

    Sowie der Speer zum Fangen eines einzelnen Fisches verwendet wird, zielt bei dieser Attacke der Angreifer sehr gezielt auf eine bestimmte Person oder auf ein bestimmtes Objekt. Spear Phishing-Attacken sind deshalb so heimtückisch, weil sie oft lange und sorgfältig geplant wurden. Das macht es umso schwieriger, sie zu entlarven. Mehr zu Spear Phishing finden Sie hier.

    icon-pillar-page-thumb2

    X VON X RICHTIG - UNGENÜGEND

    Von Security Awareness haben Sie bisher nichts oder nur wenig gehört – schon gar nicht in Ihrem Unternehmen. Korrekt? Umso wichtiger, dass Sie sich jetzt mit dem Thema auseinandersetzen, inkl. Ihren Mitarbeitenden!

    Weiter unten finden Sie viele Informationen, Blogartikel und Downloads, die Ihnen weiterhelfen. Oder noch besser, Sie melden sich direkt bei uns. Mit diversen Security Awareness-Massnahmen vermitteln wir Ihnen und Ihren Mitarbeitenden das nötige Wissen. Denn wie Sie ja jetzt wissen: ALLE Mitarbeitenden sind für die Informationssicherheit zuständig.

     

    icon-pillar-page-thumb3

    X VON X RICHTIG - GENÜGEND

    Security Awareness ist für Sie kein neuer Begriff. Möglicherweise wurde das Thema sogar schon in Ihrem Unternehmen thematisiert – aber ein kleines Wissens-Update würde sicher auch nicht schaden. Wir helfen Ihnen auf die Sprünge!

    Weiter unten finden Sie viele Informationen, Blogartikel und Downloads zum Thema Security Awareness. Oder Sie melden sich direkt bei uns. Mit diversen Security Awareness-Massnahmen vermitteln wir Ihnen und Ihren Mitarbeitenden das nötige Wissen oder frischen das Gelernte wieder auf. Denn wie Sie ja jetzt wissen: ALLE Mitarbeitenden sind für die Informationssicherheit zuständig.

     

    icon-pillar-page-thumb1

    X VON X RICHTIG - SUPER!

    Gratulation! Cyberkriminelle haben bei Ihnen kein leichtes Spiel. Vermutlich hatten Sie bereits ein Security Awareness-Training – oder aber, Sie haben all unsere Blogartikel gelesen.

    Cyberkriminelle lassen sich jedoch immer neue Tricks einfallen. Ruhen Sie sich deshalb nicht auf den Lorbeeren aus und schärfen Sie weiterhin Ihr Sicherheitsbewusstsein. Der einfachste Weg? Abonnieren Sie unsere Blog-Updates! So erhalten Sie auch in Zukunft immer die neusten Artikel, Whitepapers, Infografiken usw. rund um Cyber Security, Cyber Defence und natürlich Security Awareness. 

    Blog-Updates abonnieren

    WAS IST SECURITY AWARENESS?

    Das Ziel von Security Awareness-Massnahmen ist es, das Bewusstsein der Mitarbeitenden für (Informations-)Sicherheit zu steigern. So sollen Gefahren, die durch fahrlässiges Verhalten oder Unwissen entstehen, reduziert und die Cyber Security erhöht werden. Aber weshalb ist Security Awareness für Unternehmen so wichtig?

    Wussten Sie, dass heutzutage mehr als 99 (!) Prozent aller Cyberangriffe auf eine menschliche Interaktion zurückzuführen sind? Neben der Technik stellt der Mensch das grösste Sicherheitsrisiko dar, weshalb oft auch von der «Schwachstelle Mensch» gesprochen wird. Denn eine gute Cyber Security-Strategie und neuste Technologien reichen für effektiven Schutz leider längst nicht mehr aus. So sehen bspw. Phishing-Mails heutzutage täuschend echt aus und sind kaum von «echten» E-Mails zu unterscheiden. Ein falscher Klick, und schon ist der Hacker im Unternehmensnetzwerk – mit oftmals fatalen Folgen. Solche Gefahren lauern überall im Alltag, auch physisch, weshalb das Thema Security Awareness ein wichtiges Element in der Cyber Security-Strategie darstellt. 

    MÖGLICHE ANGRIFFSFORMEN

    Hacker entwickeln laufend neue Angriffsmethoden. Folgend haben wir Ihnen einige der beliebtesten aufgelistet, die im Zusammenhang mit Social Engineering und Security Awareness stehen:

    Social Engineering

    Beim Social Engineering wird die Gutgläubigkeit, Hilfsbereitschaft oder Unsicherheit von Personen missbraucht, um bspw. an sensible Informationen oder Daten zu gelangen. Eine Möglichkeit wäre, dass sich ein Angreifer als Mitarbeiter des IT Supports ausgibt und dadurch Zugang zum Computer eines tatsächlich angestellten Mitarbeitenden erhält. Als Folge könnten aber nicht nur Informationen entwendet, sondern auch Malware wie Trojaner ins Unternehmensnetzwerk eingeschleust werden. Mehr Informationen zu Social Engineering finden Sie in unserem Blogartikel.

    Haben Sie schon unsere Social Engineering Checkliste heruntergeladen? Unsere 15 Tipps helfen Ihnen, sich vor Social Engineering zu schützen. Jetzt downloaden!

    Social Engineering Checkliste

    Phishing

    Phishing ist eine der beliebtesten und leider auch erfolgreichsten Angriffsmethoden. Dabei werden E-Mails gefälscht oder von seriösen Absendern nachgeahmt, sodass sie weder von Spam-Filtern noch von Personen als «Fake» erkannt werden. Die Ziele sind unterschiedlich: Der Klick auf einen Link, wodurch Malware auf dem Computer installiert wird, eine Handlung wie z.B. Zahlungsaufforderung, die Weitergabe von vertraulichen Informationen via E-Mail usw. Inzwischen gibt es eine Vielzahl von Phishing-Formen wie Spear Phishing, Smishing (SMS), Vishing (Voice Phishing), Whaling, Pharming, Social Media Phishing und viele mehr...

    Übrigens: Die wichtigsten Tricks, um Phishing-Mails zu erkennen, haben unsere Cyber Security-Experten in einem kostenlosen Poster für Sie zusammengestellt. Jetzt downloaden!

    Phishing-Poster

    SECURITY AWARENESS IN 3 SCHRITTEN

    Informationssicherheit beinhaltet weit mehr als nur technische Komponenten – es beginnt beim Menschen. Denn mangelnde Sensibilität und fehlendes Wissen sind oftmals das Eingangstor für Cyberkriminelle. Aber wie lässt sich das Bewusstsein nachhaltig steigern? Ein erprobtes Mittel zur Mitarbeitersensibilisierung ist eine gezielte Security Awareness-Kampagne. Wir sagen Ihnen, wie Sie damit in nur 3 Schritten Ihre Security Awareness stärken können!

    SCHRITT 1 – SEHEN

    Als Erstes gilt es, die Aufmerksamkeit der Mitarbeitenden zu gewinnen und aufzuzeigen, wo die Risiken im Alltag liegen. Sie sollen erkennen, wie wichtig ihr persönlicher Beitrag ist. Bewährte Massnahmen, um den Mitarbeitenden die «Augen» zu öffnen, sind:

    • Live Hacking-Demonstrationen (mehr Infos unten)
    • Videos
    • Blogbeiträge, Intranet, Newsletter
    • Management Kommuniqué mit Give-Away (z.B. SyncStop USB Sticks)

    SCHRITT 2 – VERSTEHEN

    In Schritt zwei soll Wissen vermittelt werden, um das nötige Verständnis für Informationssicherheit entwickeln zu können. Die Mitarbeitenden sollen Sicherheitsrisiken erkennen und wissen, wie sie sich verhalten müssen. Dies ist der wichtigste und zugleich schwierigste Schritt in der Security Awareness. Mögliche Massnahmen hierzu sind:

    SCHRITT 3 – HANDELN

    Der letzte Schritt soll eine nachhaltige, dauerhafte Veränderung der Einstellung und des Verhaltens bewirken. Massnahmen müssen das Thema daher fest im Bewusstsein der Mitarbeitenden verkankern und immer wieder aufs Neue in Erinnerung rufen. Dafür geeignet sind unter anderem:

    GEZIELTE AWARENESS FÜR IHRE MITARBEITENDEN

    Effektive Informationssicherheit steht und fällt mit der aktiven Unterstützung der Mitarbeitenden – und zwar inkl. Management! Mit einer Security Awareness-Kampagne können sowohl Grundwissen vermittelt als auch die Sensibilität der Mitarbeitenden erhöht werden. Interessiert? Wir helfen Ihnen, eine gezielte Security Awareness-Kampagne aufzubauen!

    Security Awareness-Kampagne

    SECURITY AWARENESS-MASSNAHMEN

    Basierend auf den spezifischen Kundenbedürfnissen, konzipiert InfoGuard individuelle Sensibilisierungs-Kampagnen. Ein «roter Faden» sowie ein Kampagnen-Branding – abgestimmt auf das Corporate Branding – gewährleisten nicht nur einen hohen Wiedererkennungswert, sondern auch eine grosse interne Akzeptanz. 

    Phishing ist dabei ein zentrales Thema, das sich durch die gesamte Kampagne zieht: vom Überprüfen der bisherigen Security Awareness mittels Cyber Attack Simulation oder Social Engineering Audit (Security Testing), Schulungen und/oder Live-Hackings vor Ort und begleitender Awareness-Kommunikation bis hin zur erneuten Überprüfung resp. Erfolgsmessung. 

    InfoGuard realisiert sämtliche Massnahmen und bietet auch bei der Umsetzung vor Ort vollumfängliche Unterstützung an. 

    Awareness-Kommunikation

    Kommunikation ist das A und O – auch in der Security Awareness. Durch eine nachhaltige Awareness-Kommunikation werden die Botschaften verständlich vermittelt, bleiben länger im Gedächtnis und sind im Unternehmen präsenter. 

    Wir unterstützen Sie in der Security Awareness-Kommunikation mit Plakaten, Broschüren, Management Kommuniqués, Textvorlagen fürs Intranet, Artikel in Ihrer Mitarbeiterzeitung, Wikis, Newsletter usw. 

    Workshops & Schulungen

    In einem auf Ihre Bedürfnisse abgestimmten Workshop vermitteln unsere Cyber Security-Experten anschaulich, welche Cybergefahren im Alltag lauern. Dazu geben Sie wichtige Tipps und Informationen, um kritische Situationen erkennen und entsprechend handeln zu können. Ihre Mitarbeitenden werden dabei spielerisch miteinbezogen.

    E-Learning & Interaktives Virtual Reality Training

    E-Learning und VR Training sind ideale Methoden, um die Mitarbeitenden zeit- und ortsabhängig auf Informationssicherheit zu sensibilisieren. Der grosse Vorteil: Das interaktive, spielerische Lernen macht nicht nur Spass, sondern generiert einen besonders nachhaltigen und mit Quizes überprüfbaren Lerneffekt.

    Gemeinsam mit unserem Partner E-SEC entwickeln wir innovative 3D-Trainingssoftwares nach Mass. Den Möglichkeiten sind dabei kaum Grenzen gesetzt dank Themenwelten wie Social Media, Datenschutz & Compliance, Informationssicherheit ausserhalb des Unternehmens, Bankgeheimnisse, Brandschutz usw. 

    Mehr Informationen zu unseren E-Learnings und Virtual Reality Trainings finden Sie auf unserer E-SEC Partnerseite.

    Live Hacking-Demonstration

    Staunen ist der erste Schritt zur Erkenntnis – und somit auch zu nachhaltiger Security Awareness. Die vermutlich eindrücklichste Methode, um Cyber Security verständlich zu machen, ist daher eine Live Hacking-Demonstration unserer Security Awareness-Experten und Penetration Tester. Dabei wird Ihren Mitarbeitenden aufgezeigt, welche fatalen Folgen bereits kleine Fehler haben können – insbesondere aus Sicht eines Hackers. 

    Die möglichen Themenspektren sind sehr breit und können individuell auf Ihre Bedürfnisse abgestimmt werden. Mögliche Szenarien für eine Live Hacking-Demonstration sind: Trojaner, Man-in-the-Middle-Attacken, infizierte Dokumente, Phishing & Pharming, QR Code, GPS-Ortung, Smartphone Apps & -Trojaner, Cross-Site-Scripting uvm. Die Live Hacking-Demonstrationen können in der Regel problemlos in Ihrem Unternehmen durchgeführt werden.

    WHITEPAPERS, CHECKLISTEN & POSTER

    BLOGARTIKEL

    SECURITY AWARENESS MIT INFOGUARD

    Wieso Sie mit InfoGuard arbeiten sollten? Unsere Expertise und Erfahrung, der 360° Security-Ansatz sowie die Meinung unserer Kunden bestätigen, dass wir der richtige Partner für Security Awareness sind.

    Expertise & Erfahrung

    Wir verfügen über mehrere Cyber Security-Spezialisten, die auf Security Awareness spezialisiert sind. Dank ihrer langjährigen Erfahrung profitieren unsere Kunden nicht nur von umfangreichem Know-how, sondern sie wissen auch genau, wie Cyberkriminelle agieren.

    Egal ob im Bereich Consulting (Awareness-Kommunikation, Workshops, E-Learnings, Live Hackings usw.), Cyber Attack Simulations, Social Engineering Audits usw. – bei uns finden Sie genau die Spezialisten, die Ihnen am besten helfen können.

    Alles aus einer Hand

    InfoGuard deckt 360° der Cyber Security und Cyber Defence ab. Für Sie bedeutet das zum einen, dass unsere Experten wissen, wovon sie sprechen und alle Cyber Security-Komponenten miteinbeziehen. Zum anderen bieten wir Ihnen verschiedenste zusätzliche Services an, die in Kombination mit eine Security Awareness-Kampagne für effektive Cyber Security sorgen.

    Sie sehen: Security Awareness ist wichtig! Worauf warten Sie? Schützen Sie Ihr Unternehmen vor Ransomware, Phishing-Angriffen, Social Engineering usw., indem Sie Ihre Mitarbeitenden schulen. Kontaktieren Sie uns – wir stellen gemeinsam mit Ihnen eine individuelle, wirkungsvolle Security Awareness-Kampagne zusammen.

    Kontakt