Dieser Beitrag wurde von Yvo Schwery für secnovum verfasst.
Yvo Schwery ist seit 2019 in der OCOM AG in Brig-Glis als IT Business Consultant tätig. Während seinem Bachelor-Studium in Wirtschaftsinformatik mit Vertiefung in IT-Security konnte er sich entsprechend das Fachwissen aneignen, um Unternehmen bezüglich ihrer IT-Security zu beraten. ocom.ch
Angreifende benutzen oft den Menschen als Einfallstor für einen Cyberangriff. Dabei wird versucht, den Menschen basierend auf psychologischen Taktiken zu manipulieren, um so an ihr Ziel zu gelangen. Daher ist es für Unternehmen unerlässlich, in Awareness-Trainings zu investieren und das Bewusstsein für Sicherheitsrisiken zu schärfen. Durch die Kombination von Awareness-Trainings und Phishing-Simulationen kann die Wirksamkeit solcher Trainings deutlich erhöht werden.
Die Wichtigkeit von Awareness-Trainings
Awareness-Trainings haben das Ziel, die Mitarbeitenden über Cyber-Bedrohungen aufzuklären. Dazu gehört die Erklärung diverser Social-Engineering-Techniken, welche die Cyberkriminellen einsetzen. Die Zeit, in der eine Phishing-Attacke ausschliesslich per E-Mail erfolgt ist längst vorbei. Inzwischen werden die Angriffe durch gefälschte Telefonanrufe, SMS-Nachrichten, Tippfehler in der Domain und gefälschte Inhalte innerhalb einer Suchmaschine ergänzt. Dabei steht nicht nur die Art der Bedrohung im Fokus, sondern auch Praktiken, um solche Angriffe zu identifizieren und darauf zu reagieren. Einfacher gesagt, lernen Mitarbeitende wie verdächtige E-Mails, Anhänge, Links und Anrufe erkannt werden können.
Der Mehrwert von Phishing-Simulationen
Um die in den Awareness-Trainings vermittelte Theorie in die Praxis umzusetzen, bieten sich Phishing-Simulationen an. Bei diesen Simulationen werden innerhalb des Unternehmens ungefährliche E-Mails (welche aussehen wie bösartige E-Mails) versendet. Dies gibt dem Management bzw. den IT-Verantwortlichen die Möglichkeit zu testen, wie die Mitarbeitenden in realen Situationen reagieren würden. Durch diese kontrollierten Angriffe kann eine wertvolle Lernerfahrung geboten werden. Die Resultate können helfen, zukünftige Awareness-Trainings individuell zu gestalten. So kann der Schwerpunkt auf die Bereiche gesetzt werden, welche eine Verbesserung benötigen. Durch regelmässige Phishing-Simulationen können Verbesserungen/Verschlechterungen analysiert und dokumentiert werden.
Zusammenfassung
Die alleinige Umsetzung von technischen Massnahmen für die Cybersicherheit genügen bei der wachsenden Cyberkriminalität nicht mehr aus. Der Faktor Mensch darf dabei nicht ignoriert werden. Durch Awareness-Trainings kann die “menschliche Firewall” aktiviert und verbessert werden. Die Kombination der Awareness-Trainings mit Phishing-Simulationen stellt den Praxisbezug her und zeigt, wie die Mitarbeitenden in solchen Situationen reagieren. Viele IT-Dienstleister bieten solche Awareness-Trainings und Phishing-Simulationen an und können so die Cybersicherheit eines KMUs nachhaltig verbessern.
