Über 90 Prozent aller Angriffe beginnen mit einer Phishing-Mail. Häufig nutzen Cyberkriminelle dabei menschliche Schwächen aus, um technische Gegenmaßnahmen zu überwinden. Dieses Whitepaper zeigt Ihnen, wie Sie mit den richtigen Schulungsmaßnahmen Ihre Mitarbeiter auf solche Attacken vorbereiten und so das Sicherheitsbewusstsein stärken.
Inhalt:
Phishing-Mails sind nach wie vor das Einfallstor Nummer eins für Cyberkriminelle. Vor allem bei gezielten „Spear-Phishing“-Attacken auf Unternehmen geben sich die Angreifer viel Mühe, ihre Absichten zu verschleiern. Die Nachrichten sind in korrektem Deutsch verfasst und persönlich adressiert. Mithilfe zuvor ausgespähter oder in anderen Raubzügen erbeuteter Daten lassen sich in den Phishing-Mails sogar Bezüge zu echten Vorgängen und Geschäftskontakten herstellen. Schadsoftware und gefährliche Links werden in scheinbar harmlosen Anhängen versteckt und entfalten ihre Wirkung erst, nachdem sie vom Adressaten direkt angeklickt beziehungsweise aktiviert wurden.
Spamfilter und Virenscanner alleine reichen nicht aus, um diese Gefahr zu bändigen. Mitarbeiter müssen gezielt geschult und in die Lage versetzt werden, Phishing zu erkennen und richtig reagieren können.
- Wie das gelingt, erfahren Sie im vorliegenden Whitepaper. Die Autoren zeigen Ihnen unter anderem:
- Warum Phishing-Simulationen das Sicherheitsbewusstsein der Mitarbeiter stärken können.
- Welche technischen Voraussetzungen Sie dafür benötigen.
- Wie Sie den Lernerfolg von Awareness-Maßnahmen optimieren.
- Welche rechtlichen Voraussetzungen Sie bei Phishing-Simulationen beachten müssen.
Originalauszug aus dem Dokument:
3 Die Anonymität und den Lernaspekt der Phishing-Simulation hervorheben
Als Tool des klassischen Penetration-Testings stand bei Phishing-Simulationen in der Vergangenheit häufig das Identifizieren von Sicherheitslücken im Vordergrund.
Die Simulationen wurden daher teilweise auf personenscharfer Ebene durchgeführt, Mitarbeiter manchmal sogar mit ihrem Verhalten konfrontiert oder – gerade im angelsächsischen Raum – gar personelle Konsequenzen gezogen. Schuldzuweisungen und Bloßstellungen wirken sich allerdings negativ auf die Lernbereitschaft und Motivation der Mitarbeiter aus.
Effektiver und nachhaltiger ist es daher, Simulationen anonym durchzuführen, d.h. ohne die Erfassung und Verarbeitung individueller Verhaltensdaten. Bereits in der Ankündigung einer Simulation sollte den Nutzern verdeutlicht werden, dass es sich bei der Maßnahme keineswegs um einen Test handelt. Die Nutzer sollten sich nicht überwacht fühlen, sondern die Möglichkeit haben, in ihrem eigenen Lerntempo und nach bestem Gewissen die Phishing-Simulation zu durchlaufen. Vermitteln Sie, dass diese nicht mit einem Test gleichzusetzen ist. Vielmehr handelt es sich um eine Möglichkeit, die einzelnen Mitarbeiter und das ganze Unternehmen vor schädlichen Cybervorfällen zu schützen. Indem Sie den Mitarbeitern ihre Rolle als „menschliche Firewall“ bewusst machen, steigern Sie die Effektivität der Schulungsmaßnahme.