Head:

Security Awareness: Geschulte Kollegen als effektivster Schutz

Security Awareness: Geschulte Kollegen als effektivster Schutz

Social Engineering-Angriffe sind omnipräsent und können jedes Unternehmen treffen. Insofern die überwiegenden gelungenen Social Engineering-Angriffe auf unvorsichtige und ungeschulte Arbeitnehmer zurückzuführen sind, ist es allerhöchste Zeit, dass Unternehmen zusätzlich zu technologischen ebenso wie unternehmensstrukturellen Sicherheitsprozeduren bedarfsgerechte und zielgruppenspezifische Security-Awareness-Maßnahmen einführen. Als grundlegende Komponenten einer breit gefächerten wie erfolgreichen IT-Sicherheitskonzeption können Security-Awareness-Maßnahmen nicht nur das Bewusstsein der Mitarbeiter schärfen und hierbei die Gefahr von Social Engineering-Bedrohungen beträchtlich verringern, sondern auch Unternehmen darin unterstützen, juristische IT-Sicherheitsvorgaben der europaweiten Datenschutz-Grundverordnung einzuhalten sowie die Firma vor wirtschaftlichen Einbußen zu schützen.

Social Engineering-Attacken sind immerfort auf dem Vormarsch und stellen eine immer größer werdende Gefahr für Geschäftsbetriebe dar. Verschärfend kommt hinzu, dass die steigende Benutzung vernetzter Endpoints wie auch die ansteigende Nutzung moderner Kommunikationstools eine vergrößerte Angriffsfläche für soziale Manipulation erzeugt.

Alleinig 2019 war jedes 5. Unternehmen in der Bundesrepublik der Wirtschaftsschutz-Studie 2020 des Verandes Bitkom zufolge von Social Engineering Bedrohungen betroffen – sowohl offline wie auch online.

Dennoch gehen weiterhin viele Firmen das Thema „Sicherheitsbewußtsein“ nicht konsistent an, wodurch sich IT-Sicherheitsvorfälle häufen, welche auf mangelhaftem beziehungsweise schlichtweg abwesendem Sicherheitsbewusstsein der Mitarbeiter beruhen.

Social Engineering hat unzählige Gesichter!

Immer häufiger attackieren Kriminelle arglose Angestellte eines Betriebes. Hierbei nutzen diese mit perfiden Manipulationsstrategien die natürliche Neugierde, Vertrauensseligkeit sowie Serviceorientiertheit der Beschäftigten aus, um bedeutende Dokumente zu gewinnen, Zugang zu Netzwerken und Online-Konten zu erhalten oder IT-Plattformen und Netzwerke vermittels Schadsoftware zu kompromittieren.

Eine kürzlich erschienene Auswertung von Barracuda hat ergeben, dass Geschäftsbetriebe durchschnittlich pro Jahr von über 700 Social-Engineering-Angriffsversuchen heimgesucht werden.

Aufgrund einer solchen Bedrohungssituation ist es wesentlich, dass Beschäftige stets auf die Risiken des Social Engineerings hingewiesen und über neue Gefahren in Kenntnis gesetzt werden.

Zielgruppenbasierte Security-Bewußtsein-Instrumente sind hierzu ein geeignetes Mittel.

Im Zuge einer Security-Awareness-Unterrichtung werden Personalressourcen nicht nur anforderungsgerecht ebenso wie zielgruppenbasierend zu sicherheitsrelevanten IT-Bereichen kundig gemacht sowie hierfür besonders empfänglich gemacht, sondern auch mit dem wesentlichen Fachwissen auf den Ernstfall geschult.

Regelmäßiges Auffrischen ist der Schlüssel!

Jeder Betrieb muss heute eine Fülle an empfindlichen Informationen vor Datendiebstahl, Sabotage und ähnlich ausgeklügelten Internetbedrohungen abschirmen. Parallel erhöht sich allerdings die Summe erfolgreicher Social Engineering-Angriffe, die auf den unsachgemäßen Umgang mit der Infrastruktur und das mangelnde Sicherheitsbewusstsein ihrer Arbeitskräfte zurückzuführen sind.

Laut dem neuen Data Breach Investigations Report 2021 von Verizon wurden allein im vorangegangenen Jahr 85 % sämtlicher Sicherheitsverletzungen durch menschliches Versagen ermöglicht. Folglich sind Security-Awareness-Instrumente zur Mitarbeitersensibilisierung heutzutage beinahe noch zentraler als der ausschließliche Gebrauch von technologischen und unternehmensstrukturellen Sicherheitsmaßnahmen.

Damit Geschäftsbetriebe eine weitreichende Security-Awareness erlangen, sollten sie gewährleisten, dass die genutzten Security-Awareness-Unterrichtungen nicht nur Know-how weitergeben, sondern das Handeln der Beschäftigten nachhaltig verbessern.

Aufgrund dessen sollten effiziente Security-Awareness-Maßnahmen die folgenden Bedingungen erfüllen.

  1. Kompetenzvermittlung durch die Inanspruchnahme unterschiedlicher Medien!
    Entsprechend der Redewendung „Von einem Streiche fällt keine Eiche“ sollten Unternehmungen bei der Know-how-Vermittlung im Umfeld einer Security-Awareness-Maßnahme nicht bloß auf Vor-Ort-Schulungen setzen. Vielmehr sollten vielfältige Kanäle wie beispielsweise Webinare, E-Learnings, Mailings, Videoaufzeichnungen, online Fragebögen, Druckmedien, Merkblätter, Etiketten, Wallpaper sowie Intranet-News zur Anwendung kommen, um sämtliche Beschäftigten an den unterschiedlichen Orten des Businessalltages zu erreichen. Der Nutzeffekt dieses Omni-Channel-Vorgehens ist es, dass durch den Gebrauch verschiedenartiger Medien nicht nur alle Lerndispositionen angesprochen werden, sondern die gesamte Arbeitnehmerschaft regelmäßig mit securityrelevanten Infos versorgt und dafür empfänglich gemacht werden kann.
  2. Verhaltensänderung durch wirklichkeitsgetreue Bedrohungsszenarien!
    Nichts sensibilisiert Mitarbeiter so effizient wie Gefahrensimulationen. Darum sollten Unternehmungen beispielsweise Scam-Mail-Simulationen, SMS-Phishing-Simulationen, Erpressungstrojaner-Simulationen und Angriffe auf mobile Devices wie USB-Sticks und CDs anwenden, um das Empfänglichkeitsniveau der Beschäftigten zu bestimmen, zu kalkulieren und auf Dauer zu erhöhen und sie zur gleichen Zeit im abgeschirmten Rahmen ideal auf den echten Angriffsfall vorzubereiten.
  3. Inhalte mit Narrativen im Gedächtnis verankern!
    Wer Beschäftigte sensibilisieren möchte, muss sie emotional berühren. Deshalb sollten Beschäftigte im Rahmen einer Security-Awareness-Maßnahme mit Stories, die sich im Gehirn verankern, sensibilisiert werden. Echte Ereignisse aus der jüngsten Vergangenheit können hier, nicht nur die Authentizität und die Relevanz eines securityrelevanten Themas unterstreichen, sondern ebenfalls aufzeigen, wie wichtig IT-Sicherheitsvorkehrungen sind.

Ein gesichertes Unternehmen kommt nicht von selbst!

Social-Engineering hat unzählige Gesichter. Trotzdem heutzutage eine Menge IT-Sicherheitsanwendungen Social Engineering-Attacken abschwächen, ist eine hinreichend qualifizierte Arbeitnehmerschaft, die in der Lage ist Social Engineering schnell zu identifizieren, letztlich die effektivste Defensive gegen diese Klasse von Bedrohungen.

Jedoch müssen Unternehmungen beachten, dass es mit einer jedes Jahr abgehaltenen und halbtägigen Security-Awareness-Fortbildungsmaßnahme nicht getan ist. Vielmehr müssen sie Security-Awareness-Vorkehrungen über mehrere Kanäle implementieren, um ihre Arbeitskräfte gleichmäßig auf IT-Sicherheitsbedrohungen aufmerksam zu machen und sie in Sachen IT-Sicherheit, Information Security, Internet Security und Datenschutz aufmerksamer zu machen.

Unter dem Strich tragen wiederkehrende Security-Awareness-Maßnahmen dazu bei, die gesetzlichen Vorgaben der EU-Datenschutzgrundverordnung einzuhalten. Nicht nur unter Zuhilfenahme von technologischen und organisatorischen IT-Securitymaßnahmen, sondern darüber hinaus gleichermaßen mit routinemäßigen Mitarbeiterunterweisungen, die es revisionssicher zu dokumentieren gilt.

Möchten auch Sie mit Security-Awareness-Fortbildungen die Security-Awareness Ihrer Beschäftigten stärken und eine effiziente und langanhaltende IT-Securitykultur etablieren?

Wir beraten Sie gerne im persönlichen Gespräch!