Warum Security-Awareness-Schulungen mit Mitarbeitenden die Informationssicherheit Ihres Unternehmens erhöhen
Carlos Rieder, Security Consultant
Der Mensch ist oft gutgläubig und deshalb leicht manipulierbar. Dieser Umstand wird auch für Cyber Angriffe ausgenutzt. Mit gezielter Ausbildung wird der gesunde Menschenverstand der Mitarbeitenden geschärft und die nötige Awareness bezüglich IT-Risiken sichergestellt.
Gezielte Cybergangriffe nehmen stark zu. Dabei bildet oftmals ein menschliches Fehlverhalten die Grundlage des Angriffs. Leider können Angriffe die auf ein menschliches Fehlverhalten zurückgehen nur teilweise mit technischen Massnahmen verhindert werden. Umso wichtiger ist es, Mitarbeitende regelmässig über Informationskampagnen und Schulungen auf das Problem aufmerksam zu machen und so das Risiko für einen Cyberangriff zu minimieren.
Das Unheil lauert in der URL
Um Mitarbeitende für die Schulung in Sachen Cyberattacken zu motivieren, genügen schon kleine Beispiele. Erzählen Sie Ihren Mitarbeitenden folgendes Szenario: Für die Platzierung eines Trojaners nutzen Hacker oftmals Dienstleistungen bekannter Unternehmen. Ein Mitarbeitender erwartete dringend eine Sendung von DHL, die Lieferung sollte am Vormittag des Folgetages eintreffen. Da der Mitarbeitende zu dieser Zeit das Paket nicht entgegennehmen konnte, loggte er sich auf der Website von DHL ein um einen alternativen Termin zu vereinbaren. Er tippt www.dhl.ch ein. Doch DHL ist nur via dhl.com erreichbar. Dieser kleine Tippfehler reicht bereits aus, um sich einen Trojaner einzufangen. Die falsch geschriebenen Webseiten werden nämlich oftmals auf sogenannte Fake-Seiten weitergeleitet. Diese sehen der Originalseite zum Verwechseln ähnlich. Klickt man dann auf einen Button oder einen Link – ist es passiert! Während der Mitarbeitenden Termin auf der vermeintlichen DHL-Website anpasst, wird im Hintergrund ein Trojaner installiert. Es funktioniert leider immer! Je nach Aufmachung fallen zwischen 20 bis 70% der Nutzer auf diesen Trick herein.
Der Mensch ist das schwächstes Glied in der Kette der Informationssicherheit. Da die technischen Abwehrmassnahmen ständig verbessert werden, wird ein Angriff auf den Menschen immer lukrativer. Mit regelmässiger Awareness-Schulungen kann der Schutz erhöht werden.
4 Wege Ihre Mitarbeitenden in Sachen Security-Awareness sinnvoll zu schulen
-
Weisungen im Intranet: Eine Weisung, versteckt im Intranet beruhigt gegebenenfalls das Gewissen, wird aber nicht den erwünschten Erfolg bringen. Um in der heutigen Informationsflut die nötige Aufmerksamkeit zu erhalten, sind zusätzliche Anstrengungen nötig.
-
Email-Kampagne: Man könnte Mitarbeitende regelmässig per Email über das korrekte Verhalten informiert werden. Nutzen Sie dazu die Medienpräsenz aktueller Vorfälle um auf die verständlichen und umsetzbaren Verhaltensregeln aufmerksam zu machen. Am besten gleich mit einem Link zum Nachlesen.
-
„Face to Face“-Schulungen: Eine weitere Möglichkeit sind klassische Präsentationen, die jedoch motivierend und mit Beispielen unterlegt vorgetragen werden. Man kann sich dazu auch einen Spezialisten oder einen Vertreter des IT-Dienstleisters ins Haus holen, der über die notwendigen Kenntnisse verfügt. Diese Form ist deutlich nachhaltiger, da man die Informationen mit einem Anlass verbindet.
-
Eine Alternative sind Computer- oder Web-basierte Trainings (CBT oder WBT). Im Internet findet man diverse WBT zum Thema Awareness. Diese sind jedoch sehr allgemein gehalten und gewinnen deshalb weniger Akzeptanz unter den Mitarbeitenden. Auf das Unternehmen zugeschnittene Awareness-Programme erzielen eine höhere Wirkung, weil sich die Benutzenden damit besser identifizieren könne
Inhalte der Security-Awareness-Kampagne
Egal welchen Weg Sie wählen. Konzentrieren Sie sich auf drei bis vier Punkte. Das wirkt intensiver, als das sture Abarbeiten aller Punkte. Wenn die zu vermittelnden Verhaltensmuster mit dem Privatgebrauch verknüpft werden können, steigt erfahrungsgemäss das Interesse ebenfalls.
Nutzen Sie vor der Security-Awareness-Schulung eine gezielte Spear–Phishing-Attacke. Das schafft grosse Betroffenheit und damit die nötige Aufmerksamkeit wie auch den Willen, sich mit dem Thema auseinanderzusetzen. Die Empörung der „Erwischten“ sorgt zudem für weitere Präsenz in den Pausengesprächen.
Leider hat der Mensch den Hang zum Vergessen. Somit sollten Awareness- Aktionen regelmässig wiederholt werden.