Es heißt, Mitarbeitende sind in der IT-Sicherheit das schwächste Glied in der Kette. Das muss nicht sein. Denn so wie man die IT-Infrastruktur „härten“ kann, so kann man mit einem Security Awareness Training das Bewusstsein der Mitarbeitenden für die Gefahren der IT-Sicherheit schulen.
Phishing Awareness
Phishing und Spearphishing sind die am häufigsten genutzten Einfallstore in das interne Netzwerk von Unternehmen. Dabei sendet der Angreifer eine Email an einen oder mehrere Mitarbeitende. Der Angreifer fordert das Opfer dann dazu auf, einen Link zu besuchen oder einen Anhang zu öffnen. In diesem Anhang befinden sich dann schädliche Makros, die das Unternehmensnetzwerk infizieren. Die Ransomware Emotet verbreitet sich auf diese Weise. Ein solcher Angriff kann bis zu einem IT-Totalschaden führen, wie erst am Beispiel vom Berliner Kammergericht zu sehen war.
Gerade gut gemachte Spearphishingmails sind für ungeschulte Mitarbeitende schwer zu erkennen, wie Sie am folgenden Bild sehen können.
Menschliche Gefühle wie Angst und Neugier sowie die Androhung von negativen Konsequenzen führen häufig dazu, dass Mitarbeitende einen Link schnell anklicken oder einen Anhang öffnen.
Durch eine Phishingsimulation, die auf Ihr Unternehmen zugeschnitten ist, können Sie Ihre Mitarbeitenden in der Erkennung von Spearphishingmails schulen und so den Risikofaktor in diesem Bereich drastisch reduzieren. Unsere Erfahrungen haben gezeigt, dass eine Kombination aus regelmäßigen Phishingsimulationen, vor Ort Schulungen und Onlinetrainings die besten Erfolge erzielt.
Social Engineering
Phishing fällt unter den Begriff Social Engineering. Jedoch umfasst Social Engineering einige Punkte, die in einer reinen Phishingsimulation nicht trainiert werden. Wussten Sie, dass es USB-Sticks gibt, die eine Tastatur emulieren und, einmal an einen Computer gesteckt, Schadcode ausführen? Diese Art von Social Engineering Tools gibt es für unter 100€ frei erhältlich und können großen Schaden anrichten.
Allein das Schaffen von Bewusstsein für die Existenz solcher Tools durch Vorführungen im Rahmen eines Security Awareness Trainings kann Ihrem Unternehmen helfen, sich vor solchen Angriffen zu schützen.
Ähnlich wie Phishingsimulationen per Mail können bei einer Social Engineering Simulation auch Versuche unternommen werden, per Telefon an Unternehmensinterna zu kommen. Auch kann analysiert werden, wie weit Unbefugte durch Social Engineering Zugang Zugang zum Unternehmen bekommen könnten. Dies können wir auch durch ein physisches Red Teaming ermitteln.
Security Awareness Training mit Live Hacking
Ein besonderes Highlight eines Security Awareness Trainings sind Live Hackings. Diese führen dem Auditorium einmal live vor Augen, zu was Angreifer theoretisch in der Lage sind. Wir zeigen bei einem Live Hacking nicht nur auf, welche Wege ein Angreifer in das interne Unternehmensnetzwerk finden kann. Auch die Auswirkungen und wann das Sicherheitsbewusstsein der Mitarbeitenden besonders wichtig ist, spielen eine große Rolle.
Durch die Verbindung von theoretisch erlangtem Wissen, eigenen durch Phishingsimulationen erlangten Erfahrungen und praktischen Vorführungen in Form von Live Hackings, wird eine Steigerung des Bewusstsein der Mitarbeitend für die Gefahren der IT-Sicherheit des Unternehmens nachhaltig gefestigt.
