Security Awareness: Fachkundige Mitarbeiter als wichtigster Schutz versus Social Engineering!

Social Engineering-Angriffe sind weit verbreitet und können jedes Unternehmen treffen. Insofern die allermeisten gelungenen Social Engineering-Angriffe auf unachtsame und unvorbereitete Mitarbeiter zurückzuführen sind, ist es allerhöchste Zeit, dass Unternehmen zusätzlich zu technologischen ebenso wie strukturellen Sicherheitsprozessen bedarfsgerechte wie auch zielgruppengerechte Security-Awareness-Maßnahmen implementieren. Als wesentliche Bestandteile einer breit gefächerten wie erfolgreichen IT-Securitystrategie können Security-Awareness-Methoden nicht nur das Sicherheitsbewusstsein der Mitarbeiter intensivieren und hierdurch die Gefahr von Social Engineering-Betrügereien bedeutend verringern, sondern auch Unternehmungen dahingehend unterstützen, juristische IT-Sicherheitsanforderungen der Europäischen Datenschutzgrundverordnung einzuhalten, ebenso wie den Betrieb vor finanziellen Verlusten zu schützen.

Social Engineering-Bedrohungen sind weiter auf dem Vormarsch und stellen eine ständig umfangreicher werdende Gefahr für Betriebe dar. Verschärfend kommt dazu, dass die zunehmende Benutzung vernetzter Endpoints sowie die steigende Verwendung moderner Kommunikationsanwendungen eine unbeherrschbare Spielfläche für soziale Manipulation erschafft.

Alleinig vor 2 Jahren war jedes 5. Unternehmen in der Bundesrepublik Deutschland der Wirtschaftsschutz-Untersuchung 2020 des Digitalverbandes Bitkom gemäß von Social Engineering Übergriffen betroffen – sowohl analog als auch online.

Entgegen diesem Trend gehen weiterhin viele Firmen das Thema “Security Awareness” nicht zielstrebig an, wodurch sich IT-Sicherheitsvorfälle erhöhen, die auf mangelhaftem oder auch schlichtweg fehlendem Sicherheitsbewusstsein der Beschäftigten basieren.

Soziale Manipulation hat zahllose Erscheinungsformen

Immer häufiger bedrohen Internetbetrüger zu sorglose Beschäftigte eines Unternehmens. Dabei nutzen diese mit anspruchsvollen Manipulationsstrategien die natürliche Neugier, Arglosigkeit wie Serviceorientiertheit der Beschäftigten aus, um nützliche Dokumente abzugreifen, Zugang zu geschützten Netzwerken und Web-Konten zu erlangen oder auch IT-Infrastrukturen und Netzwerke durch Schadsoftware zu sabotieren.

Eine kürzlich erschienene Erhebung von Barracuda hat bestimmt, dass Betriebe im Schnitt jährlich von mehr als 700 Social-Engineering-Angriffen heimgesucht werden.

In Anbetracht einer solchen Risikosituation ist es essentiell, dass Personalressourcen fortlaufend auf die Gefährdungen des Social Engineerings aufmerksam gemacht und über momentane Bedrohungsszenarien unterrichtet werden.

Zielgruppenorientierte Security-Awareness-Strategien sind zu diesem Zweck ein adäquates Mittel.

Im Zuge einer Security-Awareness-Unterrichtung werden Mitarbeiter nicht nur bedarfsentsprechend und zielgruppengerecht zu sicherheitsbezogenen IT-Aspekten geschult und hierfür besonders empfänglich gemacht, sondern auch mit dem essentiellen Fachwissen auf den Schadensfall vorbereitet.

Beständigkeit schafft IT-Sicherheit!

Jede Unternehmung muss heute eine Fülle an wertvollen Daten vor Datenklau, Datenmissbrauch und anderen raffinierten Cyberangriffen bewahren. Gleichzeitig steigt indes die Anzahl gelungener Social Engineering-Attacken, welche auf den unsachgemäßen Umgang mit der IT-Infrastruktur und das mangelhafte Sicherheitsbewusstsein ihrer Arbeitnehmer zurückzuführen sind.

Gemäß dem neuen Data Breach Investigations-Report 2021 von Verizon wurden schon im letzten Kalenderjahr 85 % jeglicher Sicherheitsverletzungen durch menschliches Versagen möglich gemacht.

Folglich sind Security-Awareness-Instrumente zur Mitarbeitersensibilisierung gegenwärtig fast noch wesentlicher als der reine Einsatz von technischen und organisatorischen Sicherheitsmaßnahmen.

Damit Unternehmungen eine umfassende Security-Awareness bewirken, sollten sie Sorge tragen, dass die Security-Awareness-Unterrichtungen nicht nur Wissen weitergeben, sondern das Gebaren der Arbeitnehmer langfristig transformieren.

Aufgrund dessen sollten professionelle Security-Awareness-Strategien folgende Voraussetzungen erfüllen.

  1. Wissensvermittlung durch die Inanspruchnahme verschiedenartiger Medien!
    Im Sinne der Redewendung „Steter Tropfen höhlt den Stein“ sollten Betriebe bei der Wissensvermittlung im Rahmen einer Security-Awareness-Strategie nicht alleinig auf Präsenzseminare bauen. Vielmehr sollten unterschiedlichste Kanäle wie etwa Webseminare, E-Learnings, E-Mails, Videoclips, Quizze, Printmedien, Merkblätter, Sticker, Bildschirmhintergründe oder Wikis zum Einsatz kommen, um jegliche Beschäftigten an den unterschiedlichen Orten des Businessalltages zu erreichen. Der Nutzen dieses Omni-Channel-Vorgehens ist es, dass durch den Einsatz unterschiedlicher Medien nicht nur alle Lerntypen angesprochen werden, sondern die komplette Arbeitnehmerschaft kontinuierlich mit securityrelevanten Informationen versorgt und sensibilisiert werden kann.
  2. Verhaltensoptimierung durch lebensechte Angriffssimulationen!
    Nichts sensibilisiert Angestellte so wirksam wie Angriffssimulationen. Aus diesem Grund sollten Unternehmungen exemplarisch Spear-Phishing-Simulationen, SMS-Phishing-Simulationen, Schadsoftware-Simulationen und Angriffe auf mobile Medien wie USB-Sticks sowie CD-Roms anwenden, um das Sicherheitsbewusstsein der Beschäftigten zu erheben, zu beziffern und auf lange Sicht zu erhöhen und sie zugleich im sicheren Rahmen optimal auf den echten Angriffsfall vorzubereiten.
  3. Inhalte mit Geschichten im Kopf verfestigen!
    Wer Angestellte aufmerksamer machen will, sollte sie emotional berühren. Deswegen sollten Angestellte im Rahmen einer Security-Awareness-Maßnahme unter Einsatz von Geschichten, die sich im Gehirn verankern, sensibilisiert werden. Echte Ereignisse aus der jüngsten Vergangenheit können hier, nicht nur die Glaubwürdigkeit und die Bedeutung eines sicherheitsrelevanten Themas unterstreichen, sondern ebenso veranschaulichen, wie bedeutend IT-Sicherheitsstrategien sind.

Ein sicheres Unternehmen ist kein Zufall!

Social-Engineering hat viele Gesichter.
Obzwar mittlerweile eine Menge IT-Securitylösungen Social Engineering-Risiken minimieren, ist eine adäquat geschulte Mitarbeiterschaft, welche in der Lage ist Social Engineering unmittelbar zu identifizieren, im Endeffekt die ultimative Abwehr gegen diese Erscheinungsform von Risiken.

Jedoch sollten Betriebe berücksichtigen, dass es mit einer jährlichen und halbtägigen Security-Awareness-Schulung nicht getan ist. Vielmehr sollten sie Security-Awareness-Instrumente über diverse Kanäle einbinden, um ihre Mitarbeiter wiederkehrend auf IT-Sicherheitsrisiken aufmerksam zu machen und sie in Puncto IT-Sicherheit, Information Security, Internet Security und Datenschutz empfänglicher zu machen.

Schließlich tragen turnusmäßige Security-Awareness-Maßnahmen dazu bei, die juristischen Anforderungen der europäischen Datenschutzgrundverordnung einzuhalten. Nicht nur vermittels technologischen und unternehmensstrukturellen IT-Securitymaßnahmen, sondern darüber hinaus auch mit regelmäßigen Mitarbeiterunterrichtungen, die es rechtssicher zu protokollieren gilt.

Möchten auch Sie mit Security-Awareness-Workshops das Sicherheitsbewusstsein Ihrer Angestellten verstärken und eine breit gefächerte und langanhaltende IT-Sicherheitskultur etablieren?

Nehmen Sie gerne mit uns Kontakt auf!

Sie erreichen uns telefonisch unter: +49 221 7880 59-200 oder per Mail unter beratung@coretress.de