Sehr geehrte Leserinnen und Leser,
Social Engineering-Attacken sind weit verbreitet und können jegliches Unternehmen betreffen. Zumal die meisten gelungenen Social Engineering-Angriffe auf unvorsichtige und ungeschulte Angestellte zurückzuführen sind, ist es höchste Zeit, dass Unternehmungen in Ergänzung zu technologischen ebenso wie unternehmensstrukturellen Sicherheitsprozeduren bedarfsgerechte wie auch zielgruppengerechte Security-Awareness-Maßnahmen lancieren. Als wichtigste Bausteine einer breit gefächerten sowie wirkmächtigen IT-Securitystrategie können Security-Awareness-Maßnahmen nicht nur das Bewusstsein der Angestellten intensivieren und angesichts dessen das Risiko von Social Engineering-Bedrohungen maßgeblich mindern, sondern auch Unternehmungen darin unterstützen, juristische IT-Sicherheitsvorgaben der europaweiten Datenschutzgrundverordnung einzuhalten und den Betrieb vor geldlichen Verlusten zu beschützen.
Social Engineering-Angriffe sind kontinuierlich auf dem Vormarsch und stellen eine immer stärker werdende Gefahr für Firmen dar. Verschärfend kommt dazu, dass die wachsende Verbreitung vernetzter Endpunkte sowie die ansteigende Verbreitung neuer Kommunikationswege eine vielfältige Spielfläche für soziale Beeinflussung erzeugt.
Bereits vor 2 Jahren war jedes 5. Unternehmen in der Bundesrepublik Deutschland der Wirtschaftsschutz-Untersuchung 2020 des Branchenverbands Bitkom zufolge von Social Engineering Attacken betroffen – sowohl analog als auch digital.
Dennoch gehen immer noch eine große Anzahl Geschäftsbetriebe das Thema "Sicherheitsbewußtsein" nicht konsistent an, wodurch sich Securityvorfälle häufen, die auf mangelhaftem wie auch völlig abwesendem Sicherheitsbewusstsein der Angestellten beruhen.
Social Engineering hat unzählige Erscheinungsformen!
Immer öfter bedrohen Cyberkriminelle unachtsame Angestellte eines Unternehmens. Hierbei nutzen diese mit perfiden Manipulationstechniken die menschliche Neugier, Sorglosigkeit ebenso wie Kundenfreundlichkeit der Angestellten aus, um vertrauliche Daten abzuschöpfen, Zugang zu Unternehmensnetzwerken und Web-Konten zu erlangen wie auch IT-Plattformen und Netzwerke mittels Malware zu sabotieren.
Eine aktuelle Erhebung von Barracuda hat festgestellt, dass Betriebe gewöhnlich jedes Jahr von mehr als 700 Social-Engineering-Angriffen heimgesucht werden.
Angesichts einer solchen Risikosituation ist es wichtig, dass Angestellte ständig auf die Gefährdungen des Social Engineerings aufmerksam gemacht und über veränderte Angriffsarten gebrieft werden.
Zielgruppenorientierte Security-Awareness-Maßnahmen sind dazu ein geeignetes Mittel.
Im Rahmen einer Security-Awareness-Schulung werden Arbeitnehmer nicht nur bedarfsbezogen wie zielgruppenorientiert zu sicherheitsbezogenen IT-Themenfeldern trainiert ebenso wie sensibilisiert, sondern auch mit dem essentiellen Wissen auf den Schadensfall geschult.
Kontinuität bei der Sensibilisierung ist essenziell!
Jeder Betrieb muss heute eine Unmenge an sensiblen Informationen vor Datenklau, Sabotage und anderen ausgeklügelten Cyberattacken beschützen. Gleichzeitig erhöht sich jedoch die Summe erfolgreicher Social Engineering-Angriffe, welche auf den nicht sachgemäßen Umgang mit der IT-Infrastruktur und das unzureichende Sicherheitsbewusstsein ihrer Arbeitnehmer zurückzuführen sind.
Laut dem aktuellen Data Breach Investigations Report 2021 von Verizon wurden schon im vorangegangenen Jahr 85 % aller Sicherheitsverletzungen durch menschliches Versagen möglich gemacht.
Von daher sind Security-Awareness-Vorkehrungen zur Mitarbeitersensibilisierung gegenwärtig beinahe noch wesentlicher als der reine Einsatz von technologischen und unternehmensstrukturellen Securitymaßnahmen.
Damit Unternehmen eine umfassende Security-Awareness bewirken, sollten sie sicherstellen, dass ihre Security-Awareness-Schulungen nicht nur Wissen weitergeben, sondern das Verhalten der Angestellten nachhaltig ändern.
Folglich sollten professionelle Security-Awareness-Maßnahmen die nachfolgenden Bedingungen erfüllen.
1. Know-how-Vermittlung durch die Benutzung verschiedener Medien!
Gemäß der Redewendung „Steter Tropfen höhlt den Stein“ sollten Firmen bei der Know-how-Vermittlung im Zuge einer Security-Awareness-Maßnahme nicht bloß auf Vor-Ort-Schulungen setzen. Vielmehr sollten vielfältige Medien wie etwa Webinare, E-Learnings, Mailings, Videoaufzeichnungen, multiple choice Tests, Flyer, Merkblätter, Sticker, Bildschirmhintergründe sowie Knowledge Bases zur Anwendung kommen, um sämtliche Mitarbeiter an den unterschiedlichen Orten des Arbeitsalltages zu erreichen. Der Vorzug dieses Omni-Channel-Vorgehens ist es, dass durch die Nutzung differenzierter Medien nicht nur sämtliche Lerndispositionen angesprochen werden, sondern die komplette Belegschaft regelmäßig mit sicherheitsrelevanten Informationen versorgt und dafür empfänglich gemacht werden kann.
2. Verhaltensoptimierung durch lebensechte Gefahrensimulationen!
Nichts sensibilisiert Angestellte so wirksam wie Gefahrensimulationen. Folglich sollten Betriebe etwa Spear-Phishing-Simulationen, Smishing-Simulationen, Erpressungssoftware-Simulationen und Attacken auf mobile Devices wie USB-Sticks sowie CDs anwenden, um das Sensibilisierungsniveau der Arbeitnehmer zu bestimmen, zu kalkulieren und auf Dauer zu steigern und sie simultan im abgeschirmten Rahmen optimal auf den Ernstfall vorzubereiten.
3. Inhalte mit Erzählungen im Gehirn verfestigen!
Wer Angestellte sensibilisieren will, sollte sie berühren. Insofern sollten Beschäftigte im Kontext einer Security-Awareness-Fortbildung unter Zuhilfenahme von Storys, die sich im Gehirn verankern, sensibilisiert werden. Reale Vorkommnisse aus der jüngsten Vergangenheit können hier, nicht nur die Authentizität und die Relevanz eines securityrelevanten Themas hervorheben, sondern ebenfalls veranschaulichen, wie bedeutend IT-Sicherheitsschranken sind.
Ein geschütztes Unternehmen ist kein Zufall!
Social-Engineering hat zahllose Gesichter.
Obzwar mittlerweile eine Menge IT-Sicherheitsanwendungen Social Engineering-Bedrohungen abmildern, ist eine hinreichend geschulte Arbeitnehmerschaft, die in der Position ist Social Engineering rechtzeitig zu identifizieren, unter dem Strich die effizienteste Defensive gegen diese Klasse von Angriffen.
Hierbei müssen Unternehmer bedenken, dass es mit einer alljährlichen und halbtägigen Security-Awareness-Schulung nicht vollbracht ist. Im Gegenteil müssen sie Security-Awareness-Vorkehrungen über vielfältige Kanäle einbinden, um ihre Arbeitnehmer gleichmäßig auf IT-Sicherheitsbedrohungen aufmerksam zu machen und sie in Puncto IT-Sicherheit, Information Security, Internetsicherheit und Datenschutz zu sensibilisieren.
Letztendlich tragen kontinuierliche Security-Awareness-Maßnahmen dazu bei, die rechtlichen IT-Sicherheitsanforderungen der europaweiten Datenschutzgrundverordnung einzuhalten. Nicht nur vermittels technischen und unternehmensstrukturellen IT-Securitymaßnahmen, sondern darüber hinaus gleichermaßen mit routinemäßigen Mitarbeiterqualifizierungen, die es rechtssicher zu dokumentieren gilt.
Möchten auch Sie mit Security-Awareness-Workshops das Sicherheitsbewusstsein Ihrer Angestellten verbessern und eine breit gefächerte und langanhaltende IT-Securitykultur schaffen? Sprechen Sie uns an!