Der „Risikofaktor Mensch“ ist für Cyberkriminelle in den letzten Jahren immer attraktiver als Einfallstor für Angriffe auf die Unternehmens-IT geworden. Die menschliche Firewall eines Unternehmens ist inzwischen mindestens genauso wichtig wie die technische Firewall – wenn nicht sogar noch wichtiger. Phishing und Social Engineering Attacken zielen auf die Schwachstelle Mensch ab und es zeigt sich immer mehr, welche große Rolle das Bewusstsein der Mitarbeiter*innen für die IT-Sicherheit eines Unternehmens spielt. Um genau dieses Bewusstsein soll es in diesem Beitrag gehen: Hier erfahren Sie alles rund um das Thema Security Awareness:
„Security Awareness“ (dt. Sicherheitsbewusstsein) bezeichnet die Sensibilisierung von Mitarbeiter*innen zu allen Themen rund um IT-Sicherheit. Mithilfe sog. Security Awareness Trainings sollen die durch die Schwachstelle Mensch entstehenden Risiken für die IT-Systeme des Unternehmens minimiert werden.
Phishing, Scareware, Social Engineering: Wenn es um Cyberkriminalität gegen Unternehmen geht, ist der Mensch Schwachstelle Nummer 1. 86 Prozent der Unternehmen wurden 2020/2021 Opfer von Cyberangriffen (Quelle: repräsentative Studie des Digitalverbands Bitkom).
Dieser Negativ-Trend verstärkt sich von Jahr zu Jahr mit der zunehmenden Digitalisierung in Unternehmen. Dabei rückt der Mensch vor dem Bildschirm immer stärker ins Visier der Angreifer: 41 Prozent der Unternehmen gaben an, zuletzt unter Social Engineering Angriffen gelitten zu haben – eine typische Angriffsmethode, die die Schwachstelle Mensch ausnutzt. Diese erschreckenden Zahlen sollten für Sie Grund genug sein, sich mit dem Thema Security Awareness auseinanderzusetzen und Ihre Belegschaft wirksam gegen Angriffe aus dem Netz zu schulen.
Je smarter die digitalen Tools werden, desto schlauer werden auch die Hacker. Wo sich Firewalls oder Antivirensoftware nicht durch Technologie bezwingen lassen, geraten ahnungslose Mitarbeiter ins Visier. Über gefakte Mails und Websites schöpfen Cyberkriminelle Passwörter und sensible Daten ab und verschaffen sich so Zugang zum Unternehmensnetzwerk.
Typische Formen der Cyberkriminalität, die den Faktor Mensch nutzen, sind:
Über gefälschte E-Mails, sog. Phishing-Mails, versuchen die Angreifer, die Mitarbeiter*innen auf ebenfalls gefälschte Webseiten zu locken, auf denen sie dann Kenn- und Passwörter eingeben sollen. Diese täuschend echten Mails und Webseiten gehen häufig von angeblichen Banken, Behörden oder Onlineshops aus. Dahinter steckt aber eine perfide Masche von Cyberkriminellen, um die dabei erbeuteten Zugangsdaten für Hackerangriffe zu nutzen.
Die Methode hinter dem Spear Phishing ähnelt der der Phishing-Attacken. Die Besonderheit beim Spear Phishing ist, dass der Angriff gezielt auf eine bestimmte Mitarbeitergruppe oder Organisation erfolgt, über die sich der Angreifer vorher informiert hat. Durch die Einbindung dieser Informationen wird es zunehmend schwerer, die gefälschte Mail oder Webseite als solche zu enttarnen.
Das Social Engineering zielt genau auf die Schwachstelle Mensch ab. Mitarbeiter*innen werden per Mail oder am Telefon direkt vom Angreifer manipuliert, indem beispielsweise ein dringendes IT-Problem vorgetäuscht wird, für dessen Lösung schnellstmöglich die Login-Daten des Opfers benötigt werden. Ebenfalls sehr beliebt: Der Angreifer gibt dem Opfer vor, dass dringend auf Anweisung des Vorgesetzten Daten übermittelt werden müssen.
2018 musste das Klinikum Fürstenfeldbruck in Bayern den Ernstfall erleben: Das Personal musste mehrere Wochen ohne Computer-Unterstützung arbeiten. Ein per E-Mail empfangener Trojaner hatte die IT-Systeme infiziert. Fast alle der 400 vorhandenen Computer mussten daraufhin überprüft und die Tätigkeiten der Belegschaft weitgehend mündlich, telefonisch oder mit Zettel und Stift erledigt werden.
Laut Klinik-Verwaltung versteckte sich die Schadsoftware vermutlich in einem E-Mail-Anhang, der geöffnet worden war. Nach und nach hätten immer mehr Abteilungen Probleme gemeldet und Netzwerk-Teilnehmer waren nicht mehr funktionsfähig. Die Klinik sei daraufhin von der Rettungsleitstelle abgemeldet worden, sodass Notfall-Patienten in andere Kliniken gebracht wurden. Infizierte Geräte fuhren sich wiederholt runter und wieder hoch. Verantwortlich war eine Variante des Trojaners „Trickbot“. Auch knapp eine Woche nach dem Angriff waren erst 130 der befallenen Rechner geprüft und wieder arbeitsfähig. (Quelle: merkur.de)
Dieser Fall zeigt, welch gravierende Folgen eine erfolgreiche Cyberattacke haben kann. Aufgrund der stark zunehmenden Gefährdungslage wird es also immer wichtiger, die Belegschaft eines Unternehmens beim Thema IT-Sicherheit zu sensibilisieren – im Idealfall mit regelmäßigen Security Awareness Schulungen.
Auch die beste technische Firewall kann Cyberangriffe nicht zu 100% ausschließen – vor allem nicht, wenn es sich dabei um gezielte Social Engineering Attacken auf ausgewählte Mitarbeiter*innen handelt. Seien Sie sich also der Tatsache bewusst, dass die menschliche Firewall, also Ihre Mitarbeiter*innen, von enormer Bedeutung für die IT-Sicherheit Ihres Unternehmens ist.
Doch wie schaffen Sie es, dass Ihre Belegschaft das Bewusstsein für diese Bedeutung auch entwickelt? Vielen Mitarbeiter*innen ist gar nicht klar, welche Folgen schon ein Klick auf den falschen Link für die gesamte Unternehmens-IT haben kann. Genau hier setzen Security Awareness Trainings an: Für die Ausbildung Ihrer menschlichen Firewall sind regelmäßige Schulungen zur Sensibilisierung der Belegschaft zu IT-Sicherheitsthemen ein absolutes Muss. Dazugehörige Phishing Simulationen stellen das Wissen und die Aufmerksamkeit Ihrer Mitarbeiter*innen im Alltag auf die Probe und decken mögliche Schwachstellen auf, bei denen nachgeschärft werden muss.
Die Zeiten, in denen sich die Belegschaft für Security Awareness Trainings ein Mal im Jahr in einem grauen staubigen Raum einfinden musste, um sich ein und dieselbe veraltete Präsentation zum fünften Mal anzuschauen, sind vorbei.
Heutzutage können Ihre Mitarbeiter*innen die Inhalte über moderne Online-Trainings vermittelt bekommen, die sich aufgrund der Flexibilität in der Durchführung auch deutlich besser in den Arbeitsalltag integrieren lassen. In digitalen Lernmodulen wird Ihren Mitarbeiter*innen das nötige Wissen und vor allem Bewusstsein für sämtliche Themen der IT-Sicherheit vermittelt. Abschließende Tests zeigen, wie gut das Gezeigte hängengeblieben ist. Mit Trainingszertifikaten als Nachweis für die absolvierten Schulungen werden Ihre Mitarbeiter*innen dann in den Arbeitsalltag entlassen.
Doch hier muss nicht Schluss sein mit dem Training: Unangekündigte Phishing-Simulationenzeigen, ob Ihre Mitarbeiter*innen das Gelernte im stressigen Alltag auch umsetzen können. Werden hierbei noch Schwachstellen aufgedeckt, können Sie diesen gezielt im nächsten Training mit individuell anpassbaren Lerninhalten entgegenwirken.
Mit jedem Training lernen Ihre Mitarbeiter*innen, besser auf Cyberbedrohungen jeder Art zu reagieren.
Aufklärung über die Risiken und Gefahrenpotenziale für die IT-Sicherheit
Grundlagen und Verhaltensrichtlinien zur Informations- und Datensicherheit
Ein Standard-Training alle paar Jahre reicht nicht aus, um das IT-Sicherheitsbewusstsein bei den Mitarbeitenden nachhaltig zu schärfen. Beim Thema Security Awareness ist die Regelmäßigkeit und Aktualität der Schulungen von großer Bedeutung. Die Methoden der Cyberkriminellen entwickeln sich stetig und schnell weiter und die Gefährdungslage wird von Jahr zu Jahr ernster und komplexer. Umso wichtiger ist es also, das Wissen der Belegschaft stets auf dem Laufenden zu halten und die Inhalte der Schulungen aktuell zu halten.
Der Erfolg des Security-Awareness-Trainings ist überprüfbar, indem beispielsweise im Anschluss an Awareness-Maßnahmen die Zahl der sicherheitsrelevanten Zwischenfälle im Unternehmen über einen bestimmten Zeitraum beobachtet wird. Hierzu bieten Awareness-Tools Reports mit Risikoeinschätzungen. Es gibt detaillierte Auswertungen zu geöffneten Mails, dem Anteil der angeklickten Links, kritischen Daten, die preisgegeben worden sind und schadhaften Anhängen, die geöffnet wurden.
Ähnliche Ergebnisse liefern Ihnen auch Tests und Phishing Simulationen aus dem Security Awareness Tool heraus. Die Einspielung dieser Simulationen können Sie eigenständig bestimmen und dafür aus verschiedenen Vorlagen die passende für Ihr Unternehmen aussuchen und bei Bedarf individualisieren. So erproben Sie den Ernstfall und können mögliche Schwachstellen ohne reelle Gefahr für Ihre IT-Sicherheit aufdecken, bevor eine echte Cyberattacke es tut.
Die „Schwachstelle Mensch“ gehört zu den größten Einfallstoren für Cyberangriffe – Tendenz steigend. Je weiter sich die Technik von Antivirensoftware und Firewalls entwickelt, desto stärker rückt der einzelne Mensch vor dem Bildschirm in den Fokus der Cyberkriminellen. Schützen Sie Ihre Mitarbeiter*innen und Ihr Unternehmen vor Angriffen auf die IT-Systeme durch Phishing, Social Engineering und Malware.
Mit einfach durchzuführenden Online-Security Awareness Schulungen sensibilisieren Sie Ihre Belegschaft für die Risiken und Gefahren durch Cyberattacken. In individuell anpassbaren Lernmodulen lernen Ihre Mitarbeiter*innen das richtige Verhalten bei sicherheitskritischen Ereignissen und den sicheren Umgang mit Passwörtern, Hardware und Tools, um die Unternehmens-IT vor möglichen Angriffen zu schützen.
Bauen Sie Ihre menschliche Firewall Schritt für Schritt mit jedem Training auf und geben Sie Cyberkriminellen keine Chance.
Mit unserer browser- und cloudbasierten eLearning-Plattform sind Sie sofort startklar. Probieren Sie es gleich aus mit einem kostenlosen Testzugang.
Beratungstermin vereinbaren Informationen gehören zu den wertvollsten Vermögenswerten von Unternehmen. Der Schutz dieser Informationen sollte daher zu den höchsten Zielen
Beratungstermin vereinbaren Operational Technology (kurz: OT) steuert Roboter in der Produktionshalle, Geräte im Krankenhaus und die Energieversorgung Ihrer Stadt –
Beratungstermin vereinbaren Daten zählen in der heutigen digitalen Welt zu den wichtigsten Vermögenwerten nahezu jedes Unternehmens. Und so nimmt auch
Beratungstermin vereinbaren Um das Thema Datenschutz kommt spätestens seit der DSGVO keiner mehr herum. Unternehmen müssen sich mit den Anforderungen
