Awareness Trainings: Damit bereichern Sie Mitarbeiter und Unternehmen

Die Bedrohungslage: mehr Angriffe, mehr Einfallstore

Immer mehr Firmen werden Opfer von Cyberattacken. Allein im Jahr 2019 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht eine weitere Zunahme von Angriffen vermerkt. Das BSI analysiert die Gefahren des ganzen Jahres und gibt an, dass 800 Millionen Schadprogramme im Umlauf sind. Das Erschreckende ist jedoch, dass täglich 390.000 neue Malware-Varianten entstehen. Daher ist der technische Aufwand zum Schutz des eigenen Netzwerks enorm. Es werden Firewalls, Antivirenprogramme, Sandboxen und natürlich Spamfilter eingerichtet.

Dennoch finden die Angreifer auf den unterschiedlichsten Wegen ihren Zugriff in das System der oft mittelständischen Unternehmen. Dabei wählt ein Angreifer oft den Angriffsvektor E-Mail, wie zum Beispiel bei der weitverbreiteten Schadsoftware „Emotet“. Diese Angriffe unterlaufen geschickt die technischen Maßnahmen und so landet früher oder später eine E-Mail im Postfach der Mitarbeiter – getarnt als Rechnung oder Infomail mit einem Link zu den vermeintlich wichtigen Unterlagen.

Was entscheidet, ist der Mensch

Genau das ist der Punkt, an dem sämtliche Technik-Investitionen an Bedeutung verlieren und nur noch ein Klick zwischen einem Problem für das Unternehmen und einer weiteren E-Mail im Papierkorb entscheidet. Diese Situation ereignet sich jeden Tag in unzähligen Unternehmen. Fast alle Mitarbeiter bis hin zur Geschäftsleitung erhalten über den Tag verteilt E-Mails, um mit Partnern und Kunden in Kontakt zu bleiben. Auch Zulieferer schicken wichtige Informationen und Rechnungen auf digitalem Weg. Bewerbungen erreichen das Unternehmen heutzutage online.

Das hat zur Folge, dass die Unterlagen in den unterschiedlichsten Dateiformaten im E-Mail-Postfach landen. Sowohl Microsoft-Office-Dokumente oder PDF-Dateien, aber auch Links zu einer persönlichen Vorstellungsseite sind fester Bestandteil eingehender Bewerbungen. Immer wieder müssen Mitarbeiter auch online recherchieren, ob bei Preisvergleichen oder um eine Dienstreise zu planen.

Die Arbeitswelt ist vernetzt und digitalisiert. Damit einher geht auch die Verlagerung ins Homeoffice und in die Cloud. Immer mehr Firmen bieten ihren Mitarbeitern das Homeoffice für mindestens einen Wochentag an. Dienste werden aus Kostengründen und für eine bessere Skalierung der eigenen Arbeit in die Cloudinfrastruktur verlegt. Das alles führt dazu, dass sich Mitarbeiter von verschiedenen Netzwerken und Orten anmelden müssen und ihre Benutzerinformationen auf wechselnden Login-Seiten eingeben. Die Entscheidung, ob die Seite, auf der man gerade nach seinem Passwort gefragt wird, auch wirklich die des Unternehmens ist, liegt wieder bei einem Menschen.

Awareness Trainings sind gefragt

Befindet sich ein Mitarbeiter in der Situation, darüber zu entscheiden, ob eine E-Mail oder Website eine Gefahr darstellt oder nicht, so muss er sich meist auf seine eigenen Erfahrungen stützen. Dazu tritt er ohne Awareness Training mit einer Wissenslücke an, die potenziell verheerend für ein Unternehmen ausfallen kann. Damit diese Sicherheitslücke geschlossen werden kann, ist es notwendig, das nötige Wissen zu vermitteln, um die Threats zu erkennen. Allein die Kenntnis darum, welche Angriffsformen es überhaupt gibt, verringert bereits die Gefahren. Ein geschulter Mitarbeiter kennt die Indikatoren einer Phishing-E-Mail und kann gezielt danach suchen. Er wird auch in die Lage versetzt, selbstständig zu prüfen und zu validieren. Zusätzlich nimmt es dem Mitarbeiter die Angst davor, falsche Entscheidungen zu treffen. So reduziert ein Awareness Training nachhaltig die Gefahr durch Cyberangriffe.

Awareness schüren: Präsenz- oder Onlineschulung

Der Schulungsansatz, das Bewusstsein für die Vielfalt von Cybergefahren zu steigern und die Bedrohungen zu verstehen, ist sowohl in einer Präsenzschulung als auch über eine Onlineschulung wie durch ein Lernmanagementsystem (LMS) gut möglich. Beide Methoden lassen sich auch hervorragend kombinieren.

Ausgangspunkt ist eine Grundschulung in Form einer Präsenzschulung, die alle Basisinhalte vermittelt und den Teilnehmern die Möglichkeit gibt, Fragen direkt an den Dozenten zu richten. Damit das Wissen dann auch angesichts variabler Cyberangriffe aktuell bleibt, ist eine stetige Auffrischung und eine an die aktuelle Bedrohungslage angepasste Onlineschulung von Vorteil.

Dabei muss das Training nicht nüchtern und trocken sein: Der Dozent kann beispielsweise live einen spannenden Blick hinter die Kulissen eines Hackerangriffs gewähren. Die Mitarbeiter können sich direkt zum Beispiel auf eine präparierte Seite einloggen und zusehen, wie ein echter Hacker agieren würde. Ein Vorteil sind auch personalisierte und auf das jeweilige Unternehmen angepasste Szenarien, um den Mitarbeiter direkt für die im unternehmenseigenen Umfeld auftretenden Szenarien zu sensibilisieren. Oft sind es zudem branchenspezifische Vorgaben oder örtlich und baulich bedingte Einschränkungen, die mit in ein solches Training übernommen werden können.

Awareness Trainings für jedermann: Wissen ist Macht

Das Training sollte natürlich an die Zielgruppe angepasst sein; jedoch ist es für jeden Mitarbeiter bis zur Geschäftsleitung vorteilhaft, ein solches Bewusstseinstraining einmal durchlaufen zu haben. Oft werden in sogenannten Spear-Phishing-Kampagnen ganz bestimmte Gruppen ins Visier der Angreifer genommen. Hier werden auch immer wieder hochrangige Mitarbeiter und die Geschäftsleitung erst ausspioniert und ihre Gewohnheiten in der digitalen Welt erfasst, etwa für den sogenannten CEO-Fraud. Hierbei erfolgt ein gezieltes, also angeblich persönliches Anschreiben vom Chef oder Vorstand mit einem schädlichen Anhang oder Link. Der Empfänger vermutet dahinter nichts Böses, öffnet den Anhang oder verfolgt den Link – was schließlich das gesamte Unternehmen lahmlegt.  Auf diese Szenarien sollte jeder im Unternehmen vorbereitet sein.

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Joerg Lammerich

Certified OSSTMM 3.0 Professional Security Tester

Zum Profil von Joerg Lammerich

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
YouTube Video laden
Permalink