Social Engineering: Der Nutzer als Einfallstor
Mit dem stetigen Aufrüsten der technischen Schutzmaßnahmen im Bereich IT-Sicherheit geht ein weltweiter Aufschwung von Social Engineering-Angriffen einher: Enthielten im Jahr 2013 noch 17% aller Cyberangriffe eine Social Engineering-Komponente, wird heute bereits die überwiegende Mehrheit aller Angriffe durch Social Engineering vorbereitet. Die massenhafte Ausbreitung der Schadsoftware Emotet und ihrer Nachfolger hat gezeigt, welche Ausmaße und Qualität diese Angriffe annehmen können: Emotet liest gezielt Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus und nutzt diese Informationen zur weiteren Verbreitung. Solche Spear-Phishing-Mails sind für den Laien häufig kaum noch zu erkennen.
Security Awareness stärkt die „menschliche Firewall“
Der Faktor Mensch darf daher bei keinem Informationssicherheitskonzept fehlen – das Schlagwort heißt „Security Awareness“. Security Awareness beschreibt das Ausmaß, in dem Mitarbeiter die Bedeutung von Informationssicherheit in ihrem Unternehmen sowie die Tragweite ihrer eigenen Sicherheitsverantwortlichkeit kennen und vor allem dementsprechend handeln.
Es gibt verschiedenste Maßnahmen, die eingesetzt werden können, um die Security Awareness zu steigern. Wichtig ist es, die Nutzer nicht als Risiko, sondern vielmehr als elementaren Bestandteil der IT-Sicherheitslösung zu verstehen: „Du bist die Firewall deines Unternehmens“. Daher sollten die Mitarbeiter mitgenommen, nicht überfordert und vor allem sollte ihnen keine Angst gemacht werden.
SECURITY AWARENESS SERVICE
Interaktives E-Learning das motiviert und Spaß macht
Die E-Trainings vermitteln Teilnehmern unterhaltsam, anschaulich und verständlich Grundinhalte zu verschiedenen Themen der IT-Sicherheit.
In den Trainings liegt der Fokus auf Inhalten, die auch von technischen Laien im Alltag direkt erkannt und umgesetzt werden können. Zu jedem Thema stehen 1-3 Lernmodule in Form interaktiver E-Trainings, Kurzvideos oder PDF, zur Verfügung. Zusätzlich bieten wir Auffrischungsmodule an, um bereits absolvierte Inhalte bei den Teilnehmern wieder ins Gedächtnis zu rufen.
Mitarbeiter trainieren – vollautomatisch mit dem Security Awareness Service
Die Sensibilisierung von Mitarbeitern für Security Awareness ist essenziell, um ein Unternehmen effektiv vor Cyberattacken zu schützen. Denn sicherheitstechnische Maßnahmen allein reichen nicht aus, wenn Hacker gezielt die menschliche Schwachstelle auszunutzen wissen.
UNSERE LEISTUNGEN
IM ÜBERBLICK
Was ist Spear-Phishing?
Spear-Phishing ist eine spezielle Angriffsform, die sich vom herkömmlichen Phishing-Angriff ableitet und in extrem bösartiger Absicht als Cyberangriff auftritt. Bei einer herkömmlichen Phishing-Attacke fallen die Zielpersonen nach Zufall in das Raster des Angreifers. Bei einem Spear-Phishing-Angriff wird das Opfer zum Teil über Wochen und Monate gezielt ausspioniert. In diesem Zeitraum werden Gewohnheiten und Präferenzen in Erfahrung gebracht. Das dient der Erstellung eines Personendossiers. Auf Basis dieser sorgfältig erhobenen Daten werden maßgeschneiderte E-Mail- bzw. Phishing-Angriffe realisiert. Diese sind immer personenbezogen.
Bei dieser Angriffsform geben sich die Cyberkriminellen als Online-Händler, Institut aus dem Bankensektor, Familienmitglied, Bekannte oder sogar Partner aus. Hierbei sind die E-Mails zumeist so konzipiert, dass sogar die Absenderadresse und die Inhalte auf den ersten Blick täuschend echt wirken. Der Versuch des Angreifers, die womöglich gutgläubige Zielperson zu überlisten, steht hier im Vordergrund. Schließlich möchte der Cyberkriminelle an sensible persönliche Informationen gelangen, wobei er bei dieser Art des Angriffs sehr zielgerichtet vorgeht. So werden nicht selten Zugangsdaten für herkömmliche Bankkonten oder Online-Konten ausgespäht.
Wozu ein Security-Awareness Training?
Das Wissen um das richtige IT-Sicherheitsverhalten ist das eine, den Grund dafür zu verstehen ist das andere. Die Ausmaße eines Datenleaks oder Hackerangriffs scheinen vielen nicht bewusst. Und darüber hinaus: Warum sollte es gerade mich treffen? Eine Security-Awareness-Schulung sollte daher nicht nur Was- und Wie-Fragen beantworten können, sondern auch das „Warum“ und „Wieso“ in den Fokus stellen. Mitarbeiter müssen verstehen, welche Auswirkungen ein Hackerangriff haben kann und was er selbst tun kann, um diese zu vermeiden. Dabei ist es wichtig, dass IT-Sicherheit nicht nur firmenbezogen, sondern übergreifend gelebt wird, denn auch die private Sicherheit hat Einfluss auf die Unternehmenssicherheit.