Risikofaktor Sicherheitsbewusstsein
Angestellte im Visier
Fortsetzung des Artikels von Teil 1
Security-Awareness-Trainings
Der Schlüssel, um dieses Ziel zu erreichen, liegt in regelmäßigen Schulungen und Trainings. Diese müssen in den Arbeitsalltag der Belegschaft integriert sein. Um langfristige Ergebnisse zu erzielen, reicht es nicht aus, Cybersecurity-Schulungen nur wenige Male im Jahr anzubieten. Vielmehr muss das Security-Team entsprechende Trainings monatlich und unter Umständen sogar wöchentlich abhalten. Anders als bei altbekannten Fortbildungen ist es jedoch nicht nötig, dass ein Training sich über mehrere Stunden hinzieht und so die Produktivität der Belegschaft beeinträchtigt. Wie sich gezeigt hat, ist es weitaus effektiver, kurze, aber dafür regelmäßige Trainings anzubieten, um das Wissen zu festigen und die Beschäftigten über neue Taktiken und Gefahren auf dem Laufenden zu halten.
Zudem müssen die Sicherheitsverantwortlichen darauf achten, dass es nicht allein bei theoretischen Schulungen bleibt: Ein Security-Awareness-Programm muss immer auch Elemente enthalten, die sich in den Alltag der Angestellten integrieren lassen. So bieten fingierte Phishing-Attacken eine gute Gelegenheit, um zu überprüfen, ob der oder die Angestellte die in den Trainings behandelten Themen auch verinnerlicht hat. Ist das nicht der Fall, kann das Security-Team die betreffende Person gezielt auf ihren Fehler aufmerksam machen und erweiterte Trainingsoptionen anbieten. So lässt sich ein fehlerhaftes Verhalten – schlimmstenfalls bei einer realen Bedrohung – vermeiden.
Cybersicherheit in Zeiten der Corona-Krise
Auf vielfältige Weise verdeutlicht die derzeit grassierende Pandemie die Verwundbarkeit zahlloser Unternehmen: Nicht nur, dass innerhalb kürzester Zeit Millionen sicherer Remote-Arbeitsplätze zu schaffen waren, um abgesichert auf IT-Ressourcen des Unternehmens zugreifen zu können – auch die Anpassungsfähigkeit der Kriminellen, schnell auf sich verändernde Situationen zu reagieren, hat den Druck auf Sicherheitsverantwortliche erheblich verstärkt. Die Angreifer nutzen immer neue Köder, meist angelehnt an aktuelle Ereignisse oder Trends, um Angestellte mittels ausgefeilter Social-Engineering-Attacken in die Falle zu locken. Die Pandemie bot und bietet den Kriminellen eine Vielzahl von Themen, die sich als Köder eignen: angefangen mit vorgeblichen Informationen zu Impfstoffen bis hin zu gefälschten Landing Pages, mittels derer man angeblich staatliche Leistungen zur Bewältigung der Pandemie in Anspruch nehmen kann. Die Kriminellen sind äußerst kreativ, wenn es darum geht, aktuelle Nachrichten in ihrem Sinne zu nutzen.
Sei es das klassische Phishing, ausgeklügelte Angriffe auf Cloud-Ressourcen oder Business E-Mail Compromise (gefälschte Geschäfts-E-Mails, auch CEO-Betrug genannt) – all diese Methoden haben nur ein Ziel: die Unwissenheit und Naivität von Angestellten auszunutzen und sie in die Falle zu locken. Die Folgen für Unternehmen können drastisch sein, die Schäden erreichen schnell sechs- oder siebenstellige Beträge – vom Reputationsverlust ganz zu schweigen. Für die Security-Teams kann die Lösung daher nur lauten, das größte Einfallstor in die Unternehmens-IT bestmöglich auf Angriffe vorzubereiten: die eigenen Beschäftigten.
Michael Heuer ist Vice President DACH bei Proofpoint.
- Angestellte im Visier
- Security-Awareness-Trainings
Lesen Sie mehr zum Thema
