Fachkundige Angestellte als effektivster Schutzschirm versus Social Engineering!
Social Engineering-Bedrohungen sind omnipräsent und können ein jedes Unternehmen betreffen. Da die überwiegenden erfolgreichen Social Engineering-Angriffe auf unvorsichtige und unvorbereitete Arbeitnehmer zurückzuführen sind, ist es höchste Zeit, dass Betriebe nebst technologischen sowie unternehmensstrukturellen Sicherheitsvorkehrungen angemessene und der Zielgruppe angepasste Security-Awareness-Maßnahmen lancieren. Als wichtigste Bestandteile einer weitreichenden und wirkmächtigen IT-Sicherheitsstrategie können Security-Awareness-Maßnahmen nicht nur das Bewusstsein der Beschäftigten intensivieren und dabei die Gefahr von Social Engineering-Angriffen maßgeblich mindern, sondern auch Betriebe dahingehend unterstützen, gesetzliche IT-Sicherheitsvorgaben der EU-DSGVO einzuhalten und den Betrieb vor monetären Verlusten zu bewahren.
Social Engineering-Attacken sind weiterhin auf dem Vormarsch und stellen eine ständig breiter werdende Gefährdung für Unternehmen dar. Verschärfend kommt hinzu, dass die wachsende Verbreitung vernetzter Endpunkte wie die ansteigende Verbreitung moderner Kommunikationsanwendungen eine unkontrollierbare Spielfläche für zwischenmenschliche Manipulation erzeugt.
Allein vor 2 Jahren war jedes fünfte Unternehmen hierzulande der Wirtschaftsschutz-Auswertung 2020 des Verbandes Bitkom gemäß von Social Engineering Attacken betroffen – sowohl analog wie auch online.
Dessen ungeachtet gehen immer noch viele Betriebe das Thema „Sicherheitsbewußtsein“ nicht entschlossen an, wodurch sich Sicherheitsvorfälle steigern, welche auf ungenügendem oder völlig abwesendem Sicherheitsbewusstsein der Arbeitnehmer beruhen.
Soziale Manipulation hat unzählige Erscheinungsformen
Immer häufiger bedrohen Cyberbetrüger unvorsichtige Beschäftigte eines Unternehmens. In diesem Zusammenhang nutzen sie mit ausgefeilten Manipulationsmethoden die natürliche Neugier, Arglosigkeit und Serviceorientiertheit der Beschäftigten aus, um unternehmenskritische Dokumente abzuschöpfen, Zugang zu geschützten Netzwerken und Web-Konten zu erhalten oder auch IT-Plattformen und Netzwerke mit Hilfe von Schadsoftware zu sabotieren.
Eine aktuelle Auswertung von Barracuda hat ergeben, dass Unternehmen im Schnitt in jedem Jahr von mehr als 700 Social-Engineering-Angriffsversuchen heimgesucht werden.
Aufgrund dieser Bedrohungssituation ist es zentral, dass Mitarbeiter kontinuierlich auf die Bedrohungen des Social Engineerings hingewiesen und über veränderte Gefahren gebrieft werden.
Zielgruppenbasierte Security-Awareness-Methoden sind hierzu ein adäquates Mittel.
Im Rahmen einer Security-Awareness-Fortbildung werden Angestellte nicht nur bedarfsgerecht und zielgruppenbasierend zu sicherheitsrelevanten IT-Themengebieten geschult und hierfür besonders empfänglich gemacht, sondern auch mit dem erforderlichen Know-how auf den Ernstfall geschult.
Beständigkeit ist der Schlüssel!
Jede Firma muss heute eine Unmenge an wertvollen Daten vor Datendiebstahl, Sabotage und weiteren durchdachten Cyberattacken beschützen. Im gleichen Atemzug vergrößert sich allerdings die Summe vollendeter Social Engineering-Angriffe, die auf den unsachgemäßen Umgang mit der Infrastruktur und das ungenügende Sicherheitsbewusstsein ihrer Mitarbeiter zurückzuführen sind.
Entsprechend dem aktuellen Data Breach Investigations Report 2021 von Verizon wurden schon im vorangegangenen Kalenderjahr 85 % der Sicherheitsverletzungen durch menschliches Versagen ermöglicht.
Deshalb sind Security-Awareness-Maßnahmen zur Mitarbeitersensibilisierung gegenwärtig praktisch noch bedeutender als der bloße Gebrauch von technischen und unternehmensstrukturellen Security-Maßnahmen.
Damit Unternehmungen eine umfängliche Security-Awareness erreichen, sollten sie sorge tragen, dass die Security-Awareness-Schulungen nicht nur Wissen vermitteln, sondern das Handeln der Arbeitnehmer langfristig verbessern.
Aus diesem Grund sollten erfolgversprechende Security-Awareness-Strategien nachstehende Voraussetzungen erfüllen.
- Know-how-Vermittlung durch den Einsatz verschiedenartiger Medien!
Entsprechend der Redewendung „Von einem Streiche fällt keine Eiche“ sollten Betriebe bei der Wissensvermittlung im Kontext einer Security-Awareness-Maßnahme nicht bloß auf Präsenzschulungen bauen. Vielmehr sollten verschiedenste Kanäle wie bspw. Webinare, Onlineschulungen, E-Mails, Videoaufzeichnungen, Quizze, Flyer, Merkblätter, Aufkleber, Bildschirmhintergründe wie auch Knowledge Bases zum Einsatz kommen, um sämtliche Mitarbeiter an den verschiedensten Plätzen des Geschäftsalltags zu erreichen. Der Vorteil dieses Omni-Channel-Ansatzes ist es, dass durch die Verwendung unterschiedlichster Medien nicht nur sämtliche Lerntypen erreicht werden, sondern die gesamte Belegschaft stets mit sicherheitsbedeutsamen Infos versorgt und dafür empfänglich gemacht werden kann. - Verhaltensoptimierung durch realistische Bedrohungssimulationen!
Nichts sensibilisiert Mitarbeiter so gut wie Angriffssimulationen. Aus diesem Grund sollten Unternehmungen bspw. Spear-Phishing-Simulationen, SMS-Phishing-Simulationen, Schadsoftware-Simulationen und Attacken auf tragbare Devices wie USB-Sticks und CDs einsetzen, um das Sicherheitsbewusstsein der Angestellten zu ermitteln, zu messen und auf Dauer zu verbessern und sie gleichzeitig im sicheren Rahmen optimal auf den Ernstfall vorzubereiten. - Inhalte mit Geschichten im Gedächtnis verankern!
Wer Angestellte sensibilisieren möchte, muss sie berühren. Deshalb sollten Mitarbeiter im Zuge einer Security-Awareness-Schulung unter Einsatz von Geschichten, welche sich im Gehirn verankern, sensibilisiert werden. Echte Geschehnisse aus der näheren Vergangenheit können hier, nicht nur die Glaubwürdigkeit und die Bedeutsamkeit eines security-relevanten Themas hervorheben, sondern gleichfalls veranschaulichen, wie bedeutend IT-Sicherheitsschranken sind.
Jeder Koch weiß: Die Mischung macht es!
Social-Engineering hat zahllose Facetten.
Obschon inzwischen viele IT-Sicherheitslösungen Social Engineering-Risiken verkleinern, ist eine gut geschulte Belegschaft, welche in der Position ist Social Engineering zeitig zu identifizieren, letztendlich die erfolgversprechendste Defensive gegen diese Kategorie von Risiken.
Dabei sollten Firmeninhaber bedenken, dass es mit einer jährlichen und halbtägigen Security-Awareness-Unterrichtung nicht erledigt ist. Im Gegenteil sollten sie Security-Awareness-Instrumente über unterschiedliche Kanäle implementieren, um ihre Mitarbeiter wiederholend auf IT-Sicherheitslücken aufmerksam zu machen und sie in Sachen IT-Sicherheit, Informationssicherheit, Internetsicherheit und Datenschutz aufmerksamer zu machen.
Schließlich tragen periodische Security-Awareness-Maßnahmen dazu bei, die rechtlichen Vorgaben der EU-Datenschutzgrundverordnung zu erfüllen. Nicht nur unter Zuhilfenahme von technologischen und unternehmensstrukturellen IT-Sicherheitsmaßnahmen, sondern darüber hinaus zudem mit routinemäßigen Mitarbeiterfortbildungen, welche es revisionssicher zu dokumentieren gilt.
Möchten auch Sie mit Security-Awareness-Trainings das Sicherheitsbewusstsein Ihrer Beschäftigten stärken und eine umfangreiche und langfristige IT-Securitykultur schaffen?
Wir beraten Sie gerne im persönlichen Gespräch!