94 % aller Malware wird per E-Mail verbreitet, und 80 % der Sicherheitsvorfälle sind auf Phishing zurückzuführen. Diese Zahlen machen deutlich, dass es der Mensch bzw. der Benutzer ist, auf welchen die Hacker es abgesehen haben. Denn für sie ist es oft einfacher, Benutzer dazu zu verleiten, auf einen Link in einer gefälschten E-Mail zu klicken, als die Sicherheitsvorkehrungen der Software zu umgehen. Tipps zur Sensibilisierung für Cybersicherheit, damit Teams stark bleiben!
Benutzer sind Hauptziel von Cyberangriffen
Da die Benutzer das Hauptziel von Cyberangriffen sind, reicht es nicht aus, nur einmal im Jahr eine Sicherheitsschulung zu veranstalten. Oftmals bekommen neue Mitarbeiter nur bei der Einarbeitung ein Sicherheitshandout. Um die Benutzer mit dem Wissen zu versorgen, welches sie benötigen, um Unternehmen vor den zahlreichen IT-Sicherheitsgefahren zu schützen, müssen die Mitarbeiter kontinuierlich geschult werden. Ein VPN ermöglicht den ersten Schutz. Der Grund: Die jeweilige IP-Adresse wird verschlüsselt und ist somit für Hacker unsichtbar. Ein Virtual Private Network sollte für jedes Unternehmen ein Standard sein.
Fast die Hälfte (47 %) der Unternehmen verfügt nicht über ein Schulungsprogramm für das Sicherheitsbewusstsein. Dies birgt ein erhebliches Risiko für Sicherheitsverletzungen, da Benutzer dazu verleitet werden, Malware herunterzuladen, ihre Anmeldedaten preiszugeben oder ein ganzes Netzwerk mit Ransomware zu infizieren.
Effektives Cybersecurity-Schulungsprogramm einführen
Menschliches Versagen ist für bis zu 95 % aller Datenschutzverletzungen verantwortlich. Hacker haben es auf das schwächste Glied in der technologischen Infrastruktur eines Unternehmens abgesehen, und das sind allzu oft die Benutzer. Aber dagegen kann man steuern! Durch die Entwicklung eines soliden Schulungsplans für alle Mitarbeiter kann man Teams für den Umgang mit dem Internet sensibilisieren und die eigenen IT-Sicherheitsvorkehrungen erheblich verbessern.
Regelmäßige Schulungen einplanen
Eine einmalige Schulung pro Jahr wird keinen großen Unterschied in der Fähigkeit der Mitarbeiter machen, Phishing zu erkennen und Cybersicherheitsvorfälle zu verhindern.
Wenn man Schulungen nicht regelmäßig durchführt, kann Folgendes passieren:
- Man vergisst sehr schnell, was man gelernt hat
- Mitarbeiter wissen oft nicht, auf welche neuen Bedrohungen sie achten müssen (z.B. COVID-19-Phishing-Betrug)
- Viele Mitarbeiter denken, dass man ihr Sicherheitsbewusstsein nicht für sehr wichtig hält
Man kann einen regelmäßigen Zeitplan für Schulungen zum Thema Cybersicherheit aufstellen, indem man verschiedene Lerntools einbezieht. Nicht jede Schulung muss dabei persönlich stattfinden.
Effektiver Zeitplan
- Zweimal im Jahr: Schulungen für das gesamte Team
- Vierteljährlich: Abteilungsbezogene Schulungen
- Monatlich: Interaktive webbasierte oder Video-Schulungen zu bestimmten Themen
- Wöchentlich: Senden eines ‚Cybersecurity-Tipps‘ per E-Mail oder Teamnachricht
- Verschiedene Lernmethoden einbeziehen
Wenn man Mitarbeitern nur über einen PowerPoint-Vortrag für Cybersicherheit sensibilisieren will, werden sie sich das Gelernte wahrscheinlich nicht merken. Mit verschiedenen Lernmethoden kann man wichtige Informationen vermitteln und das Behalten automatisch fördern. Ob Präsentationen, Videos, Online-Phishing-Identifikationstests, Infografiken oder Teamorientierte Sicherheitsveranstaltungen – man sollte nicht immer die gleichen Themen wiederholen. Mit simulierten Angriffen vertieft man besonders das Interesse an dem Sicherheitsthema.
Beispielplan, damit eine Schulung für jeden Spaß macht:
- Immer die Highlights aus dem neuesten Bericht über Bedrohungen der Cybersicherheit (es gibt mehrere zur Auswahl – McAfee, Verizon, SophosLabs, Ponemon, usw., voranstellen)
- Immer nur eine Cybersicherheitsbedrohung auswählen, um das Verständnis zu vertiefen (Phishing, Ransomware, E-Mail-Spoofing usw.)
- Beispiele für die neuesten Phishing-E-Mails durchgehen, die Benutzer im Unternehmen erhalten haben
- Einen aktuellen Fall von Datenschutzverletzungen, Ransomware oder anderen Angriffen aus dem Netz suchen, um ein reales Beispiel dafür zu liefern, was passieren kann
- Bewährte Praktiken besprechen, z. B. was bei einer Phishing-E-Mail zu tun ist und welche Richtlinien man für den Umgang mit Daten benötigt
- Raum für Fragen und Erfahrungen zur Cybersicherheit einräumen
Warum man Phishing-Simulationen verwenden sollte
Es ist eine Sache, in einem Sensibilisierungstraining etwas über eine bestimmte Art von Phishing-Angriffen zu lernen, und etwas ganz anderes, an einem stressigen Tag eine Phishing-E-Mail im Posteingang richtig zu erkennen.
Deshalb sollte man regelmäßig Phishing-Simulationen durchführen. Dabei handelt es sich um Phishing-E-Mails, die nicht echt sind, sondern von der IT-Abteilung oder Provider verschickt werden, um zu testen, wie gut der Benutzer eine Phishing-E-Mail mitten im Arbeitsalltag erkennen kann.
Erfolg überwachen und Team belohnen
Ein entscheidender Schritt, der oft in den Schulungsplänen eines Unternehmens zum Thema Cybersicherheit fehlt, ist die Messung des Erfolgs und die Belohnung des Teams für gute Leistungen.
Eine Möglichkeit zur Überwachung des Fortschritts sind simulierte Phishing-Angriffe, eine andere ist die Messung von Cybersecurity-Vorfällen oder „Beinahe-Fehlern“ und deren Bewertung im Laufe der Zeit. Damit kann man letztendlich beurteilen, wie viele Meldungen über Phishing-E-Mails die Mitarbeiter erhalten, was ein Hinweis darauf ist, dass sie die Angriffe immer besser erkennen können.
Wenn die IT-Sicherheitsstrategie zur Team-Sache wird, werden es Hacker in Zukunft noch schwieriger haben, ihre ‚verseuchten‘ Mails erfolgreich zu platzieren.