Digitale Hygiene beugt Betrugsversuchen vor
Security Awareness Training gegen Social Engineering
Betrugsversuche durch Social Engineering nehmen zu, nicht zuletzt dank der Corona-bedingten Homeoffice-Welle. Gezielte Security Awareness Trainings können ein Bewusstsein für Gefahren schaffen und Sicherheitslücken schließen.
Social Engineering ist eine Methodik, die Angreifer anwenden, um die Schwachstelle Mensch im Alltag oder Arbeitsleben mit dem Ziel auszunutzen, an Daten und Informationen heranzukommen. Dabei werden nicht die technische Infrastruktur oder eine Firewall angegriffen, sondern das Vertrauen der Menschen.
Im Homeoffice können Arbeitende oft nicht erkennen, ob ein Ablauf echt ist oder fake.
Die Strategien sind vielseitig: Dumpster Diving beispielsweise, also das Schnüffeln in Mülleimern, ist eine Form des Social Engineerings. Eine andere liegt darin, die Höflichkeit von Menschen auszunutzen, indem man sich die Tür aufhalten lässt und so Zutritt zu Räumen gewinnt, für die man nicht autorisiert ist. Auch Vorwände wie Eile oder der Verweis auf eine Autorität wie die Geschäftsleitung können Menschen unter Druck setzen, sich wie vom Angreifer gewünscht zu verhalten – darauf setzen die Social-Engineering-Methoden.
Homeoffice hat die Gefahr verschärft
Diese Art der Manipulation funktioniert auch in der digitalen Welt: Durch geschickte Gesprächsführung können zum Beispiel hilfsbereiten Mitarbeitern ein Passwort oder sensible Informationen entlockt werden. Normalerweise haben Angreifer im Vorfeld Informationen über ihr Ziel gesammelt: Sie recherchieren auf Social Media oder kennen Verbindungen und Geschäftsbeziehungen aus anderen Hacks. Mit diesem Wissen geben sie sich als Vertrauensperson aus – und der Getäuschte klickt in gutem Glauben auf eine Phishing-Email oder lädt sich eine Datei mit einer Schadsoftware herunter.
Verschärft wurde diese Problematik durch die Corona-Maßnahmen: Viele Unternehmen schickten ihre Mitarbeiter schnell und hastig ins Homeoffice. Damit änderten sich zentrale Abläufe im Alltag: Neue Logins in andere Systeme wurden notwendig und die Kommunikation auf digitale Kanäle umgestellt. Das öffnet Social Engineering Betrugsversuchen Tür und Tor. Die Angestellten können aufgrund fehlender Erfahrung und Vergleichbarkeit nicht beurteilen, ob ein Ablauf nun echt oder fake ist – und auch das Nachfragen bei Kollegen für eine Zweitmeinung ist aus dem Homeoffice nicht mehr ohne Weiteres möglich. Angreifer wissen das und nutzen es aus.
Zudem ist nicht jeder Mitarbeiter ein IT-Experte und kann Betrugsversuche erkennen. Da sich Technologie und Geräte rasant weiter entwickeln, wird es immer schwieriger, Risiken richtig einzuschätzen. Die Lösung für das Problem liegt also nicht in der Sicherheitssoftware, sondern in einer besseren Vorbereitung und Ausbildung der Menschen.
Schutz vor Social Engineering
Social Engineering hat viele Facetten – deswegen brauchen Mitarbeiter ein gewisses Maß an Umsicht und Weitblick. Im Homeoffice ist es zum Beispiel wichtig, allein in einem Raum zu arbeiten und bei Pausen den Arbeitsplatz zu sperren. Um Fake-Emails zu enttarnen, hilft es, sich zu überlegen, ob man Emails erwartet oder ob eine überraschend ankommt. Enthält diese noch eine Handlungsaufforderung, ist Skepsis angebracht. Auch Social Media spielt eine Rolle: Bei ihren Posts sollten Mitarbeiter darauf achten, keine sensiblen Informationen preiszugeben.
Ebenso ist der geschäftliche Kontext relevant: Woher stammt der Absender, ist er echt und einer Adresse im Unternehmen zuzuordnen? Hier können IT oder IT-Sicherheit bei Unklarheit gegenchecken: Betrugsmails sind meist gut gemacht und erfordern ein geschultes Auge. Insgesamt ist eine Art digitaler Hygiene hilfreich, sozusagen das virtuelle Äquivalent zu Anti-Corona-Maßnahmen wie Hände waschen oder Abstand halten.
Informationssicherheit und Datenschutz im Fokus
Fallen Unternehmen unter die KRITIS-Verordnung der kritischen Infrastrukturen, liegt zusätzlich ein besonderer Fokus auf der Sicherheit. So ist es für sie zum Beispiel erforderlich, ein funktionierendes Informationsmanagement-System (ISMS) nachzuweisen, Schulungen und Programme umzusetzen und zu etablieren. Auch die Finanz- und Versicherungsbranche wird von BaFin und EZB dazu verpflichtet, Schulungen auszurichten.
Für Unternehmen, die mit der Automobilindustrie zusammenarbeiten ist die TISAX-Zertifizierung relevant: Der Branchenstandard von Autokonzernen und Herstellern reguliert hier die Anforderungen von IT-Sicherheit und Datenschutz. Zulieferer müssen zum Beispiel Schulungskonzepte vorhalten und den Nachweis erbringen, dass keine sensiblen Daten abfließen können.
Informationssicherheit und Datenschutz ist aber nicht nur für Unternehmen mit strengen regulatorischen Vorgaben relevant, sondern auch für alle anderen, weswegen sich Schulungsanbieter wie der TÜV, Knowbe4 oder Proofpoint großer Beliebtheit erfreuen. Unternehmen können zum Beispiel mit dem Online-Awareness Training des TÜV Hessen nachweisen, dass sie ihren Pflichten nachgekommen sind.
Von den Basics bis zu IoT und DSGVO
Der TÜV Hessen hat eine Plattform mit 36 aufeinander aufbauenden Kursen entwickelt, die didaktisch von Experten aufgebaut wurde. In Lerneinheiten zwischen acht bis 30 Minuten wird ein Thema vertieft und multimedial mit Videos aufbereitet. Ein Quiz-Teil mit Multiple-Choice-Fragen schließt die Lerneinheit als Test für den Mitarbeiter ab. So kann er prüfen, ob er die Inhalte verstanden hat und sie anwenden kann.
Die Trainings setzen sich aus Basisschulungen und Zusatzmodulen mit Spezialthemen zusammen. Die Basis umfasst Einführungsprogramme, Informationssicherheit und Cybersicherheit für Führungskräfte sowie Security Awareness für IT-Professionals. Die weiterführenden Trainings adressieren Themen wie Cybersicherheit, europäische Datenschutzgrundverordnung (DSGVO), Malware oder mobile Geräte. Das Format der schnellen Microlearnings thematisiert unter anderem Internet of Things, Ransomware, die Meldung von Sicherheitsvorfällen oder die Sicherung mobiler Geräte. Außerdem deckt das Kurzformat Security Flash Bereiche wie Malware, Phishing, Social Media oder Arbeiten in der Cloud ab.
Benefits von Online-Trainings
Mit Trainings können Unternehmen gezielte Maßnahmen ergreifen, um das Bewusstsein der Mitarbeiter in Sicherheitsfragen zu schärfen und es zudem messbar zu machen. Startet eine Abteilung mit einer Schulungsreihe zum Beispiel mit dem Schwerpunkt Phishing, lässt sich das Bewusstsein der Mitarbeiter für Angriffe auf die Sicherheit messen. Nach den gezielten Schulungen werden die Ergebnisse evaluiert, was zum Beispiel mit einer selbst initiierten Phishing-Kampagne möglich ist. Darüber wird geprüft, ob die Schulung in der Praxis angewendet wird und Mitarbeiter problematische Anhänge eben nicht mehr anklicken.
Wichtig bei Schulungsangeboten ist immer die Praxisnähe – Mitarbeiter erfahren zum Beispiel, was genau sensible Daten sind oder wie sie gekennzeichnet, verschickt oder gespeichert werden müssen. Auch die Bedürfnisse von Außendienstmitarbeitern sollten im Blick behalten werden: Sie sollten ebenfalls auf den Umgang mit sensiblen Daten vorbereitet werden. So ist zum Beispiel das Telefonieren in der Öffentlichkeit nicht optimal.
Keine Präsenz vor Ort notwendig
Mit einem solchen System darüber kann ein komplettes Schulungskonzept für die Informationssicherheit umsetzt werden. Unternehmen haben freie Hand, welche Mitarbeiter oder Abteilungen welche Schulungen absolvieren. Sinnvoll ist es daher, einen Verantwortlichen im Unternehmen zu benennen, der die Schulungen plant und umsetzt.
Online-Schulungen erfordern keine Präsenz vor Ort und lassen sich flexibel in den Alltag der Mitarbeiter integrieren. Feste Räume und Trainer sind nicht mehr notwendig. Auch die Implementierung von Software entfällt. Eine solche Plattform ist auf mobilen Geräten wie Smartphone oder Tablet nutzbar, kann aber auch vom Desktop-PC erreicht werden, unabhängig davon, ob der Zugriff aus dem Home Office oder dem Unternehmensnetzwerk erfolgt. Je nach Größe des Unternehmens lassen sich die Schulungen außerdem auch skalieren; um die Anwendung durch internationale Teams zu ermöglichen, sind die Trainings in sieben Sprachen verfügbar.
Sinnvoll sind darüber hinaus Analysefunktionen: Idealerweise können Berichte erstellt werden, wie viel Prozent der Mitarbeiter eine Schulung bereits erhalten haben. Zudem gibt es Berichtsfunktionen zu Schulungen, welche in Bearbeitung oder noch offen sind. Auch die Ergebnisse der Abfragen sollten einsehbar sein. Auf dieser Basis können Administratoren Berichtspflichten erfüllen. Am Ende der Lerneinheiten und Module können sich Mitarbeiter außerdem Zertifikate erstellen lassen.