Security Awareness: Training für die Schwachstelle Mensch

Von Malware über Ransomware bis zu Phishing-Mails: Die Möglichkeiten für Cyberkriminelle kennen keine Grenzen. Ihre Kreativität leider auch nicht. Im Sekundentakt entstehen im Web neue, unbekannte Bedrohungen für die IT-Infrastruktur. Als Aufhänger verwenden die Betrüger aktuelle Ereignisse, um glaubwürdiger zu erscheinen. Häufigstes Ziel sind die Nutzer. Mit scheinbar echten Sicherheitsabfragen sollen Menschen zur freiwilligen Herausgabe sensibler Informationen bewegt werden. Neben der optischen Täuschung gaukeln die Kriminellen beispielsweise Sicherheitsvorfälle oder veraltete Daten vor.

Das Ziel ist denkbar einfach. Der Nutzer soll auf einer gefälschten Webseite seine Angaben verifizieren, neue Passwörter eingeben oder Dateien mit Schadsoftware herunterladen und ausführen. Diese Informationen nutzen die Betrüger anschließend für ihre Zwecke. Der daraus entstehende Schaden ist enorm. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt den volkswirtschaftlichen Schaden von Phishing-Attacken auf einen zweistelligen Millionenbetrag pro Jahr.*

Geschulte Mitarbeiter bieten Schutz

Ein allzu unbedarfter Umgang von Mitarbeitern mit dem Internet kann auch für Unternehmen teuer werden. Von Cyberkriminellen verursachte Schäden steigen rasant an. Laut dem Digitalverband Bitkom erzeugen erfolgreiche Attacken auf die IT-Systeme jährlich Kosten von 102,9 Milliarden Euro*. Weil die Betrüger flächendeckend angreifen, müssen sich Organisationen der Gefahr stets bewusst sein. In einer Bitkom-Umfrage gaben daher auch 70 Prozent der befragten Unternehmen an, dass digitale Angriffe einen finanziellen Schaden angerichtet hätten.

Umso wichtiger ist es, in die interne Sicherheit zu investieren. An erster Stelle stehen dabei die Mitarbeiter. Wenn sie den Anhang einer E-Mail öffnen, weil sie davon ausgehen, dass ihr Chef wichtige Informationen versendet, schützt keine Firewall und das Unheil nimmt seinen Lauf. Gut geschulte Mitarbeiter sind hingegen ein effektiver Schutz. In sechs von zehn Unternehmen sorgt das Personal dafür, dass Cyberangriffe erkannt werden.

Firewall im Kopf aktivieren

Vorsichtiges Verhalten im Internet lässt sich erlernen. Mit Security Awareness Trainings bauen Mitarbeiter das nötige Wissen auf und werden für Online-Bedrohungen sensibilisiert. Gefälschte Webseiten und gefährliche E-Mail-Anhänge können mit etwas Übung leicht erkannt werden. Häufig hilft schon die Frage, ob die im Postfach eingegangenen Informationen erwartet wurden oder ob man den Absender kennt. Spätestens bei einer Handlungsaufforderung sollten die Nutzer misstrauisch werden und beim vermeintlichen Absender nachfragen.

Zum Start der Security Awareness Trainings versenden die Anbieter oft selbst Phishing-Mails. So ermitteln sie den Kenntnisstand der Mitarbeiter und können anschließend ein individuelles Schulungskonzept für das Unternehmen planen. Die einzelnen Kurse enthalten dann didaktisch aufgebaute Lerneinheiten zu verschiedenen Themen – von Malware über Social Engineering bis zum Datenschutz. Mit Multiple-Choice-Fragen überprüfen die Teilnehmer im Anschluss, ob sie die Lerninhalte verstanden haben. Videos vermitteln dabei anschaulich, wie wichtig das Bewusstsein für die Gefahr ist. Die multimedialen Inhalte sorgen zusätzlich für Abwechslung. Der Erfolg der Schulungen zeigt sich am Ende des Trainings. Wenn alle Einheiten absolviert sind, sendet der Anbieter erneut Phishing-Mails. Die Öffnungsrate zeigt, wie stark sich die Mitarbeiter verbessert haben.

*) Hinweis: Die TÜV Technische Überwachung Hessen GmbH übernimmt keinerlei Haftung für die Inhalte und Aussagen auf externen Seiten. Bei Beanstandungen wenden Sie sich bitte an den Urheber der jeweiligen Seite. Vielen Dank für Ihr Verständnis.