Warum brauchen wir Cyberawareness?
Viele kritische Business-Informationen, die ein Unternehmen besitzt, sind nicht nur für das Unternehmen selbst wertvoll, sondern auch für Cyberkriminelle. Um an diese wertvollen Daten zu gelangen, setzen Angreifer viele verschiedene Techniken ein. Die beliebteste, weil effektivste Waffe, sind noch immer Phishing-E-Mails.
Für einen Angreifer ist es doch viel leichter, eine Phishing Mail zu versenden und auf Erfolg zu hoffen, als sich viel Arbeit zu machen, um in eine gut organisierte IT-Security mit Firewall, Endpointschutz, Intrusion Prevention, NAC Systeme, etc. einzudringen.
Man kann versuchen, sein Unternehmen mittels Security-Software und -Hardware vor solchen Phishing-Angriffen zu schützen und wird damit auch immer einen gewissen Anteil abfangen können, bevor er in den Mailboxen der Mitarbeiter landet. Aber die Cyberkriminellen verbessern ihre Angriffe stetig und deshalb versagt auch ab und an die beste Sicherheitstechnik. Umso wichtiger ist es deshalb, die Cyberawareness Ihrer Mitarbeiter zu stärken.
Mitarbeiter sind eine wichtige Komponente in jeden IT-Sicherheitskonzept
Hier hilft es, wenn sich ein Unternehmen aufmerksame und vorsichtige Mitarbeiter verlassen kann, die eine Phishing-E-Mail auch dann erkennen, wenn die Technik sie „durchgewunken“ hat. Mit einem „Bewusstsein für IT-Sicherheit“ oder auch „Security Awareness“ sind jedoch die wenigsten Mitarbeiter schon von Vornherein ausgestattet. Doch das Bewusstsein kann man aufbauen und sicheres Verhalten trainieren. Security Awareness erstreckt sich auch nicht nur auf Phishing-Angriffe via Mail, sondern greift auch in anderen Fällen, wie dem betrügerischen „CEO-Fraud-Telefonanruf“, oder der unbefugten Person im Gebäude und sorgt so für ein erhöhtes Sicherheitsniveau für das gesamte Unternehmen. Sicherheitsschulungen sind teilweise Voraussetzung in verschiedenen Bereichen (z. B. Versicherungen, DSGVO, ISO-Zertifizierungen oder gegenüber Kunden (TISAX) und Lieferanten)
Nur regelmäßiges Lernen und Wiederholen führt zu nachhaltiger Cyberawareness
Die üblichen IT-Sicherheits-Einweisungen, die Mitarbeiter einmal im Jahr bei einer Firmen-Versammlung oder nur via Mail uninteressiert über sich ergehen lassen, sind nicht mehr zeitgemäß und laut vieler Studien unzureichend. Die Mitarbeiter behalten das in dem Moment vermittelte Wissen maximal eine Woche im Gedächtnis (siehe Ebbinghaus’sche Kurve). Danach ist das Neu-Gelernte so gut wie vergessen.
Die einzig effektive Methode ist das stetige Vermitteln von Wissen. Wie beim Erlernen einer Sprache, ist regelmäßiges Lernen und Anwenden wichtig. Und genau so, ist die Awareness Plattform von Kaspersky aufgebaut. Der Teilnehmer erlernt in kurzen Einheiten von 2-20 Minuten das, was er dann in einem kleinen Test beweisen muss. Erst danach kann er das nächste Lernmodul starten.
Die Plattform fördert Kompetenzen, anstatt nur Fachwissen zu kommunizieren. Dabei stehen praktische Übungen und für Mitarbeiter relevante Aufgaben im Mittelpunkt der einzelnen Module. Die Module enthalten unterschiedliche Aufgabenkombinationen, damit Interesse und Aufmerksamkeit der Benutzer nicht nachlassen und sie motiviert werden, sicheres Verhalten zu erlernen. Der visuelle Stil und die Texte werden nicht nur in verschiedene Sprachen übersetzt, sondern auch auf die jeweilige Kultur und die lokalen Gegebenheiten angepasst.
Warum heißt die Automated Platform – Automated?
Die Kaspersky Automated Security Awareness Platform (ASAP) ist ein neuer Ansatz für Online-Schulungsprogramme und eine ganzheitliche Lösung zur Verbesserung des Sicherheitsbewusstseins. Wie der Produktname schon vermuten lässt, steht hier die Automatisierung im Vordergrund und der Verwaltungsaufwand ist auf ein Minimum reduziert.
Es werden automatisierte Regeln verwendet, um Mitarbeiter je nach gewünschtem Ziel der Schulung einer bestimmten Gruppe zuzuweisen. Dieses Ziel hängt von der Gefahr ab, die der Benutzer für das Unternehmen darstellt. Je höher das Risiko, desto höher sollte das Ziel für die Schulung sein. IT oder Buchhaltung stellen typischerweise ein höheres Risiko als andere Mitarbeiter dar. Die Schulungsteilnehmer werden der Schwierigkeitsgruppe zugeordnet und los geht’s.
Ab dem Start übernimmt die Plattform die Kommunikation mit den Teilnehmern via Mail, motiviert oder erinnert sie. Die Geschwindigkeit passt sich dem Lerntempo und den Lernfähigkeiten jedes einzelnen Teilnehmers individuell an. Verantwortliche brauchen keine Zeit für die Analyse individueller Fortschritte und manuelle Anpassungen aufzuwenden.
Ab und zu überprüft die Plattform automatisch mit einer Phishing-Mail den Wissenstand des Teilnehmers. Auch hier verschickt die Plattform nicht an alle gleichzeitig, sondern staffelt nach Gruppen und wählt unterschiedliche Zeitpunkte.
Die Automated Security Awarness Platform (ASAP) von Kaspersky bietet Ihnen damit spielerisch die Möglichkeit die Cyber Awarness Ihrer Mitarbeiter zu erhöhen. Sie haben Fragen zu ASAP? Dann freue ich mich über Ihre Kontaktaufnahme.
Neben dem Faktor Mensch sollte allerdings auch der Faktor System in der Cybersicherheit berücksichtigt werden, um die zwei größten Angriffspunkte abzusichern.
Lesen Sie auch diesen Beitrag: Endpoint Security für den SMB & Mittelstand
Über den Autor:
Sebastian Scheuring
Cyber Security Expert
T: +49 931 250993-149
M: