Phishing, Phishing und nochmals Phishing: Das Ziel ist immer der Mensch. Am Ende des Tages ist es immer dieser eine Klick zu viel, egal ob in einer Stresssituation oder ob aus Neugierde in der Mittagspause. Das Problem dabei ist, dass dieser Klick am Anfang eines Sicherheitsvorfalls liegt, der mehrere Millionen Franken an Schaden verursachen kann. Wie wichtig die gezielte Sensibilisierung Ihrer Mitarbeitenden ist und wie Sie diese, exemplarisch durch die Lösungen unseres Partners KnowBe4 und der Expertise unseres Awareness-Teams erreichen können, wollen wir Ihnen in diesem Beitrag aufzeigen.
Der Wettlauf zwischen Angriff und Verteidigung, zwischen Kreativität und Konformität hat in seiner Intensität nichts verloren. Schutz gegen Phishing kann nicht durch Technologie allein erreicht werden. Zusätzlich müssen die Mitarbeitenden für die Gefahren, die von Social Engineering ausgehen, sensibilisiert werden.
Die Awareness als Grundlage für sicheres Verhalten verstehen
Security Awareness stand lange Zeit im Schatten anderer Sicherheitsthemen wie Netzwerk- oder Cloud-Sicherheit, dabei sind Phishing-E-Mails seit Jahren eine der effektivsten Hacking-Methoden. Über die Jahre hat sich nun aber Security Awareness von einem Nischenthema zu einem zentralen Bestandteil der Cyber-Sicherheitsstrategie entwickelt.
Viele Awareness-Programme beschränkten sich in der Vergangenheit auf die Steigerung des Sicherheitsbewusstseins. Eine nachhaltige Veränderung von Verhaltensweisen konnte damit jedoch selten erreicht werden. Die Halbwertszeit des angeeigneten Wissens war oftmals sehr gering, die Möglichkeit, das gelernte in der Praxis zu vertiefen, fehlte. Ein besserer Ansatz ist analog der Führerscheinprüfung gestaltet: Wer Autofahren will, muss eine theoretische und eine praktische Prüfung ablegen, die auf Basis von Erkenntnissen zur Reduzierung von Unfällen im Strassenverkehr erdacht wurden.
Die Befähigung ist der Weg zur Security Awareness
Es gilt das Herz und den Verstand der Mitarbeitenden von der Notwendigkeit der Massnahme zu überzeugen. In den letzten Jahren sind die Trainings, vor allem in Bezug auf die theoretischen und praktischen Grundlagen, deutlich modernisiert und effektiver geworden. Inhalte sind nicht länger rein technisch, sondern für die Allgemeinheit der Mitarbeitenden ansprechend gestaltet. Frontalunterricht ist durch interaktive Seminare oder Live-Hacking-Veranstaltungen in kleineren Gruppen abgelöst worden. Ausschlaggebend dafür sind neue Erkenntnisse und Ansätze aus der Verhaltensforschung. Verändert hat sich auch die Bedeutung von Security Awareness.
Cyber-Sicherheit verinnerlichen
Um Unternehmen nachhaltig zur Abwehr von Cyber-Angriffen vorzubereiten und resiliente Reaktionen im Angesicht einer Krise zu ermöglichen, gilt es das Thema Cyber-Sicherheit bei den Mitarbeitenden zu verinnerlichen.
Schärfen Sie das Bewusstsein
Awareness sollte dazu dienen, dass Mitarbeitende intelligentere Security-Entscheidungen treffen. Ihre Mitarbeitenden entwickeln dieses Sicherheitsbewusstsein aber erst, wenn sie verstanden haben, dass ein vermitteltes Thema wichtig für das Unternehmen, aber auch für sie selbst ist. Durch Wissen aus Schulungen und Erfahrungen mit Phishing-Simulationen sind die Geschulten in der Lage, eine Phishing-E-Mail zu erkennen. Eine effiziente Steigerung des Sicherheitsbewusstseins bedient sich dabei verschiedener Formate und Medien: mal auditiv, mal visuell, mal ernsthafter und mal spielerisch. Comics, Poster, ein Quiz oder aber ein Erklärvideo helfen bei der Wissensvermittlung. Wichtig ist die Qualität und nicht die Quantität der Trainings. Für Rückfragen stehen die Trainer*innen per Chat und Telefon zur Verfügung.
Passen Sie das Verhalten an
Unter Verhalten verstehen wir im Kontext von Security Awareness, dass Mitarbeitende, die sich den Sicherheitsanforderungen bewusst sind, ihr Verhalten auch entsprechend anpassen. Die Auseinandersetzung mit Verhalten ist somit der nächste logische Schritt bei der Weiterentwicklung der Security Awareness. Allein betrachtet bringt es jedoch nichts, das Verhalten individuell zu messen und zu verändern. Es geht darum, dass die Geschulten das Erlernte in intelligente Entscheidungen umsetzen. Ziel ist es, Mitarbeitende zu motivieren, sodass sie selbständige Fortbildung anstreben und ihr Verhalten dementsprechend ausrichten.
Wie Social Engineering resp. Phishing erkannt und vereitelt werden kann, sollte somit durch Gamification-Ansätze und Informationskampagnen vermittelt werden. Zudem gilt es den Mitarbeitenden die Möglichkeit zu bieten, das erlernte Verhalten in regelmässige Phishing-Simulationen – beispielsweise mit der Security Awareness Training & Simulated Phishing Plattform von KnowBe4 – zu vertiefen und zu verifizieren.
Machen Sie Cyber-Sicherheit zu Ihrer DNA
Die gelebten Werte, Normen und Gepflogenheiten Ihres Unternehmens sind starke Motivatoren für sicheres Verhalten. Wenn Sie sich der Sicherheitskultur Ihres Unternehmens annehmen, können Sie gezielt Verhaltensweisen zur Cyber-Sicherheit fördern. Eine nachhaltig gestaltete Sicherheitskultur ist der beste Schutz für Ihr Unternehmen. Im letzten Jahr wurde mit dem «Security Culture Maturity»-Modell von unserem Partner KnowBe4 ein Modell zur Messung des Reifegrades einer Sicherheitskultur veröffentlicht.
InfoGuard unterstützt Sie bei der Etablierung einer gelebten Security Awareness
Der Mehrwert von Security Awareness zeigt sich auch bei der Handhabung von Ransomware und weiteren Cyber-Risiken. Schnelle und angemessene Reaktion können den Schaden eindämmen und den finanziellen Schaden begrenzen. Der Mehrwert von Security-Awareness-Training steht somit ausser Frage.
Security Awareness, die richtig vermittelt und etabliert wird, macht den Unterschied zwischen einem fatalen Klick und der richtigen Handlungsweise aus. Für eine Organisation bedeutet dies nicht weniger als die Vermeidung von Reputationsschäden, Kosten im Falle einer Sicherheits- und Datenschutzverletzung sowie Stress und Ungewissheit für die Mitarbeitenden. Security Awareness geschieht aber nicht von heute auf morgen und ist meist komplexer als angenommen. Daher ist es umso wichtiger, sich Unterstützung von Expert*innen zu holen. Unser erfahrenes Awareness-Team begleitet seit vielen Jahren sehr erfolgreich Unternehmen beim Aufbau von einer gelebten Sicherheitskultur.
Möchten Sie mehr über unsere InfoGuard Security-Awareness-Services erfahren? Nehmen Sie unverbindlich Kontakt mit uns auf, um ein individuelles Angebot zu erhalten. Wir freuen uns darauf, die Security Awareness von Ihnen und Ihren Mitarbeitenden zu stärken!
