Technisch sichere IT-Systeme sind Grundvoraussetzung für die IT-Security eines Unternehmens. Mit dem stetigen Aufrüsten der IT-Sicherheitsmaßnahmen geht eine Zunahme von Social Engineering Attacken einher, die sicherheitsrelevante Daten durch das Manipulieren menschlichen Verhaltens erbeuten. Die bekannteste Form ist das Phishing. Enthielten im Jahr 2013 nur 17 % aller Cyberangriffe eine Social Engineering Komponente, wird heute die überwiegende Mehrheit aller Angriffe durch Social Engineering vorbereitet. Zusätzlich zur Manipulation des Menschen können Schadprogramme eingesetzt werden, um weitere Inhalte aus E-Mail-Kommunikation und Postfächern zur Täuschung zu verwenden. Die Schadsoftware liest gezielt Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus und nutzt diese Informationen zur weiteren Verbreitung. Diese Spear-Phishing-Mails sind für den Laien häufig kaum noch zu erkennen. Immer mehr E-Mail-Kommunikation, das Arbeiten per Remote-Verbindung und fehlende Aufklärung führen dazu, dass Warnzeichen nicht wahrgenommen werden und Mitarbeiter in eine Phishing-Falle tappen.
95 % aller Cybersicherheitsvorfälle sind auf menschliches Fehlverhalten zurückzuführen.
Quelle: World Economic Forum – The Global Risks Report 2022]
Security Awareness: Die "menschliche Firewall" ist maßgeblich im IT-Sicherheitskonzept
Menschliches Verhalten ist eine Schwachstelle in der IT-Security und der Mensch vielleicht sogar das IT-Sicherheitsrisiko Nummer 1. Umso wichtiger ist es, die "menschliche Firewall" aufzubauen, adäquates Wissen über IT-Security im gesamten Unternehmen zu schaffen und die Weiterbildung in IT-Sicherheit regelmäßig durchzuführen – teamübergreifend und auch nach dem Onboarding neuer Kollegen. Die kontinuierliche Sensibilisierung ist essenziell, stellt IT-Verantwortliche aber vor eine Herausforderung, da ein nachhaltiges Training zeitaufwendig ist. Das Security Awareness Training setzt genau hier an. Die IT-Sicherheitsschulung informiert und trainiert Mitarbeiter und Mitarbeiterinnen automatisiert und wiederholt – mit Übungen zu Cyber-Bedrohungen, Warnsignalen und elementaren IT-Security-Maßnahmen. Gleichzeitig wird der Datenschutz gewährleistet, indem trotz individuell angepasstem Training nur eine anonyme Auswertung stattfindet. Dies ist durch KI-basierte Verhaltensanalyse möglich, welche ein DSGVO-konformes Datenschutzniveau ermöglicht.
Security Awareness: das Bewusstsein für IT-Sicherheit
Security Awareness beschreibt, wie gut Mitarbeiter die Bedeutung von Daten- und Informationssicherheit in ihrem Unternehmen kennen, wie sehr ihnen die Tragweite der eigenen Sicherheitsverantwortlichkeit bewusst ist und vor allem, ob sie dementsprechend handeln. Security Awareness ist wie ein Muskel, der regelmäßig trainiert werden muss, um ein gutes Sicherheitsniveau über einen längeren Zeitraum zu halten.
Security Awareness trainieren mit CompData
Mit der Awareness Engine von Hornetsecurity werden Mitarbeiter kennzahlenbasiert, bedarfsgerecht und voll automatisiert trainiert – für eine nachhaltige, effiziente, aber trotzdem vollständig anonymisierte Sensibilisierung. Weiterhin stellt CompData nach einer bestimmten Laufzeit der Kampagne den aktuellen Grad der Sensibilisierung zusammen mit dem Kunden fest und gibt individuelle Empfehlungen für eine nachhaltige IT-Sicherheitskultur im Unternehmen. Das Trainingsprogramm beinhaltet vielfältige Methoden, um Mitarbeiter effektiv zu erreichen: Von der Phishing-Simulation über E-Learnings, Kurzvideos und Online-Seminare bis hin zu Awareness-Materialien. Der Employee Security Index ESI® misst das Sicherheitsverhalten realitätsnah, standardisiert und reproduzierbar. Die E-Learnings im Security Awareness Training vermitteln das Wissen, wie sich Mitarbeiter vor Cyber-Angriffen wirksam schützen können und betonen ihre Eigenverantwortung. Der Fokus liegt damit auf der Einstellung dazu, warum es wichtig ist, ein Verständnis für die Bedrohungslage zu entwickeln und das eigene Sicherheitsverhalten zu überdenken. Interaktive Elemente und die unterhaltsamen, kurzweiligen E-Learnings motivieren zum aktiven Mitmachen.
Simulation: Reale Phishing Kampagnen
In den Simulationen werden Mitarbeiter zum Ziel von Angriffsszenarien, welche teils zufällig ausgewählt sind und teils auf die spezifische Rolle des Mitarbeiters im Unternehmen angepasst werden. Anschließend wird die „Erfolgsrate“ aus Sicht des Angreifers gemessen. Eine patentierte Spear-Phishing-Engine nutzt individuell zugeschnittene Angriffsmuster unterschiedlicher Schwierigkeits-Level. Die Level orientieren sich am Aufwand, die ein Angreifer zur Vorbereitung der Phishing-Mails benötigt: Je mehr Zeit ein Angreifer in die Vorbereitung investiert, desto ausgeklügelter der Angriff und höher die Wahrscheinlichkeit, dass man darauf reinfällt. Die Erstellung und Versendung der Phishing-E-Mails werden zu individuellen Zeitpunkten vollautomatisch gesteuert. Klicken Mitarbeiter auf die Phishing-E-Mail, werden sie direkt zu den wichtigsten Schritten und Gefahren aufgeklärt, um den größten Lerneffekt zu erzeugen. Es besteht auch die Möglichkeit, detaillierte Auswertungen sämtlicher Phishing-Mails anzuschauen. So erfahren Mitarbeiter individuell, über welche manipulativen Tricks sie besonders angreifbar sind.
Sie haben weitere Fragen zum Thema Security Awareness Training? Gerne informieren wir Sie individuell und auf Ihre Bedürfnisse abgestimmt.
Telefon: +49 (0)7431 950-555
E-Mail: vertrieb[at]compdata.de
Redundante IT-Systeme ermöglichen deutlich kürzere Ausfallzeiten und eine höhere Verfügbarkeit der Arbeitsumgebung im Falle eines IT-Sicherheitsvorfalls oder anderer IT-Störungen. In diesem Beitrag lesen Sie, was eine redundante IT-Infrastruktur für die IT-Sicherheit leistet.
Zum Beitrag redundante IT-Infrastruktur