Diese Themen steigern das IT-Sicherheitsbewusstsein

Diese Themen steigern das IT-Sicherheitsbewusstsein

Welche Security Awareness Themen sind wichtig? Was müssen Mitarbeitende wirklich wissen und wie sollen sie sich verhalten? Die konkrete Auswahl sollte die Risiken deiner Organisation berücksichtigen und die Menschen in den Mittelpunkt stellen, damit sie ihren Beitrag zur IT-Sicherheit leisten können. Hier findest du eine ausführliche Übersicht über mögliche Themen.

Table of Contents

Das Wichtigste in Kürze

  • Um online sicher zu sein, muss jedes Unternehmen seine Mitarbeiter einbeziehen. Die Vermittlung von Sicherheitskenntnissen hilft beim Aufbau einer starken Sicherheitskultur und eines Teams, das auf alles vorbereitet ist.
  • IT-Sicherheit zu lernen ist nicht nur für die Arbeit wichtig. Da wir einen Grossteil unserer täglichen Aktivitäten online erledigen, ist ein Verständnis für Cyber Sicherheit auch für unser Privatleben nützlich.
  • Es gibt viele Themen im Bereich der Informationssicherheit. Einige, wie das Erkennen von Betrug, Phishing oder die Sicherheit von Passwörtern, sind für alle wichtig. Es gibt jedoch auch Themen, die eher für bestimmte Unternehmen oder Branchen relevant sind.
  • Die Auswahl der Themen für Security Awareness Training sollte sich nach den Risiken richten, denen dein Unternehmen ausgesetzt ist. Versuche, dich auf Schulungen zu konzentrieren, die den Menschen in den Mittelpunkt stellen.
  • Für Unternehmen kann es schwierig sein, alle Themen abzudecken, da die Mitarbeiter viel zu tun haben und einige Manager der Meinung sind, dass Schulungen die Arbeitszeit beeinträchtigen. Eine gute Lösung ist der Einsatz von kurzen, interaktiven Häppchen, wie z. B. Microlearning, mit Tools wie eggheads.
All the security awareness training topics empower staff to become confident to tackle cyber threats.
Cyber Security Awareness Training führt zu einer selbstbewussten und widerstandsfähigen Belegschaft. Bild: Generiert mit Midjourney.

Die Liste potenzieller Themen für Security-Schulungen wird von Tag zu Tag länger. Da sich die Technologie schnell entwickelt und Cyberkriminelle sich anpassen, entstehen neue Muster der Cyberkriminalität.

Angriffe können per E-Mail, über eine Website, per Telefon und per SMS erfolgen. Dein Schulungsprogramm sollte die vielen Möglichkeiten abdecken, mit denen Menschen betrogen werden können.

Für die meisten Unternehmen ist es unmöglich, die gesamte Liste abzudecken. Mitarbeitende sind einfach zu beschäftigt, und die Geschäftsleitung betrachtet eine Schulung zum Thema IT Sicherheitsbewusstsein manchmal als Abwesenheit von der Arbeit.

Deshalb ist es nicht nur wichtig, was du vermittelst, sondern auch, wie du es effizient und effektiv tun kannst. In diesem Artikel erläutern wir zunächst die Themen und später die Möglichkeiten, wie Schulungen für IT-Sicherheit so durchgeführt werden können, dass sie mit der modernen Arbeitswelt vereinbar sind.

Online sicher bleiben kommt uns bei der Arbeit und privat zu gute

Security Awareness Training ist weniger mit einem IT-Kurs zu vergleichen, bei dem die Teilnehmer das Innenleben von Computern oder Softwareprogrammen kennenlernen. Vielmehr geht es darum, Menschen zu befähigen, nicht Opfer von Internetkriminalität zu werden.

Security Awareness Training geht weit über den Arbeitsplatz hinaus: Ein Grossteil unseres privaten und beruflichen Lebens hängt heute von Websites, Apps, digitalen Diensten und Geräten ab. Auf diese Weise erledigen wir Dinge, erledigen Aufgaben und bleiben mit Freunden, Familie und Kollegen in Kontakt.

Kurz gesagt: Es ist die Art und Weise, wie wir mit unserer Umgebung interagieren. Es ist ein wesentlicher Bestandteil unseres Lebens und eine Fähigkeit, die es zu beherrschen gilt.

Wenn du Mitarbeiter über sicheres Online-Verhalten aufklärst, können sie eine aktive Rolle bei der Verbesserung der Cybersicherheit in deinem Unternehmen spielen. Dies ist eine Form der Prävention, die die Wahrscheinlichkeit von Sicherheitsvorfällen durch menschliches Versagen verringert. Es lohnt sich, in eine widerstandsfähige Belegschaft zu investieren.

Risikobasierte und menschenzentrierte Themenwahl

Unabhängig davon, ob du dein erstes Schulungsprogramm zum Thema IT Sicherheitsbewusstsein startest oder ob du ein erfahrener CISO bist, es drängen sich folgende Fragen auf: Was sind die wichtigsten Themen für das Security Awareness Training? Was ist optional?

Die kurze Antwort: Es kommt darauf an.

Der Zweck einer Initiative zur Schulung der Mitarbeiter über Online-Bedrohungen besteht darin, Risiken zu verringern. Die Auswahl der Themen um das IT-Sicherheitsbewusstsein zu schärfen sollte mit einer Risikobewertung für dein Unternehmen beginnen. Gleichzeitig können einige Themen fast als universell betrachtet werden, da sie so weit verbreitet und grundlegend sind.

Da es immer noch die Menschen sind, die vor dem Computer sitzen, auf E-Mails reagieren oder (bösartige) Apps nutzen und auch unsere digitalen Systeme gestalten, sollte ein risikobasierter Ansatz beim Menschen beginnen. Ja, wir Menschen machen Fehler, was uns zu einem Risiko macht. Manchmal werden wir sogar als das schwächste Glied in der IT-Sicherheitskette bezeichnet.

Eine gemeinsame Studie von Jeff Hancock, Professor an der Stanford University, und dem Sicherheitsunternehmen Tessian ergab, dass neun von zehn (88%) Datenschutzverletzungen auf Fehler von Mitarbeitern zurückzuführen sind (Quelle).

Es kommt jedoch auf die Perspektive an: Wer die Mitarbeiter als schwächstes Glied betrachtet, verkennt die aktive Rolle, die sie beim Schutz der Daten und Systeme eines Unternehmens spielen könnten. Sich nur auf die Technologie zu verlassen, um die Sicherheit zu erhöhen, könnte sogar kontraproduktiv sein, da die Mitarbeiter der Technologie vertrauen und ihre Verantwortung vernachlässigen.

Auch wenn manche behaupten, dass Technologie der einzige Weg ist, um Cybersicherheitsrisiken zu begegnen, empfiehlt es sich, eine Sicherheitskultur schaffen, in der du es als deine Aufgabe ansiehst, die Kompetenz der Mitarbeiter zu erhöhen, ihnen ein gewisses Mass an Vertrauen einzuflössen und sie zum Handeln zu befähigen.

Befähigtes Personal wird oft auch als die menschliche Firewall („Human Firewall“) oder die erste Verteidigungsebene („First Line of Defense“) bezeichnet. Das bedeutet jedoch nicht, dass du keine weiteren technischen Sicherheitsebenen benötigst.

Die unten aufgeführten Ideen für das betriebliche IT Sicherheitsbewusstsein Training sind nach Wichtigkeit geordnet. Themen, die grundlegende oder kritische Risiken abdecken, werden an den Anfang gestellt und ausführlicher erläutert.

Social Engineering

Sicherheitsschulungen, die sich auf den Menschen konzentrieren, verstehen, dass Gefühle, Wünsche, Hoffnungen und Ängste zutiefst menschlich sind. Diese Eigenschaften können uns für Cyber-Kriminelle anfällig machen. Die Cyber-Angreifer von heute wissen das: Menschen sind leichter zu hacken als Technologie.

Social Engineering ist der Versuch eines Kriminellen, jemanden zu einer bestimmten Handlung zu bewegen, indem er die menschliche Psychologie anzapft. Es ist eine Methode, um menschliche Schwächen auszunutzen. Diese Methoden gibt es schon so lange, wie es Betrüger gibt, und sie sind nicht nur online zu finden. Social-Engineering-Techniken sind nicht-technische Methoden, um sich mit Tricks und Täuschung Zugang zu Gebäuden, Netzwerken und Systemen zu verschaffen.

Die Betrüger nutzen menschliche Eigenschaften wie Gier, Angst, Neugier oder den Wunsch zu helfen aus. Oft setzen sie Menschen unter Druck, indem sie sich als Autoritätspersonen ausgeben, z. B. als Polizisten oder Geschäftsführer, und ihnen das Gefühl geben, dass sie schnell handeln müssen. Sie können auch Komplimente, wie das Versprechen von Beförderungen oder grossen Gewinnen, zur Manipulation einsetzen. Sie nutzen aktuelle Ereignisse, Feiertage oder die Popkultur, um ihren Opfern Fallen zu stellen.

Die meisten Cyberangriffe beruhen nach wie vor darauf, Menschen zu täuschen. Ein Blick in den Internet Crime Report 2022 des FBI zeigt, dass Social-Engineering-Angriffe die häufigste Form der Cyberkriminalität darstellen (Quelle).

Social Engineering ist ein wichtiges Thema für jedes Cyber Security Awareness Training. Die Mitarbeiter sollten darin geschult werden, Social-Engineering-Taktiken zu erkennen und sich dagegen zu wehren. Sie müssen die Methoden und Muster verstehen, die Cyberkriminelle verwenden, um Menschen zu täuschen, was ihnen hilft, vorsichtiger zu werden und zweimal nachzudenken, wenn es darauf ankommt.

Das ist leichter gesagt als getan, denn die menschliche (Selbst-)Wahrnehmung ist bekanntlich nicht fehlerfrei. Menschen denken vielleicht, dass sie für Kriminelle nicht interessant genug sind („von mir gibt es nichts zu stehlen“), sie glauben, dass sie durch Antiviren-Software oder ihre IT-Abteilung geschützt sind („ich bin sicher“), oder sie halten sich einfach für zu schlau, um ausgetrickst zu werden („ich bin nicht dumm“).

Deshalb besteht ein Teil des IT Sicherheitsbewusstsein Training darin, die Botschaft zu vermitteln, dass alle wichtig sind und zur IT-Themen für Security Awareness TrainingSicherheit beitragen können.

Phishing

Wie viele E-Mails hast du heute erhalten? Im Durchschnitt erhält ein Berufstätiger täglich etwa 120 E-Mails (Quelle 1, Quelle 2). E-Mails sind zu einem unvermeidlichen Bestandteil der geschäftlichen Kommunikation geworden; wir können sie einfach nicht vermeiden.

Versetze dich einmal in die Lage eines Kriminellen: Angenommen, du möchtest, dass jemand ein schädliches Programm herunterlädt oder private Daten auf einer gefälschten Website preisgibt. Das erste, was du tun musst, ist, Kontakt aufzunehmen. Und wie bleiben wir heutzutage in Verbindung? In erster Linie per E-Mail, aber auch über eine Vielzahl anderer Kanäle wie Telefonanrufe, Messaging und soziale Medien.

Es überrascht nicht, dass Phishing-Betrügereien die häufigste Methode sind, mit der Cyber-Kriminelle ein Unternehmen angreifen. Daten zeigen, dass 91 % aller Angriffe mit einer Phishing-E-Mail beginnen (Deloitte). Das Tückische dabei ist: Während Unternehmen zu 100 % richtig liegen müssen, braucht der Angreifer nur einmal erfolgreich zu sein.

Phishing ist eines der wichtigsten Themen bei Mitarbeiterschulungen. Dabei handelt es sich um eine Methode des Cyberangriffs, bei der Menschen dazu verleitet werden, sensible Daten wie Passwörter und Kreditkartennummern preiszugeben. Phishing Emails geben vor, von einer zuverlässigen Quelle zu stammen. Diese Nachrichten sehen oft echt aus und fordern auf, auf schädliche Links oder Anhänge zu klicken. Dies kann zum Diebstahl von Daten, zur Installation von Schadsoftware oder zu finanziellen Verlusten führen. Phishing macht sich menschliche Eigenschaften zunutze. Deshalb baut ein Phishing-Kurs auf einem Verständnis von Social Engineering auf (siehe oben).

Ein Phishing-Schulungsprogramm beginnt damit, die Mitarbeiter über Phishing, seine verschiedenen Formen und seine Auswirkungen aufzuklären. Das Programm sollte aufzeigen, wie man Phishing-Versuche erkennt, indem man anhand von Beispielen auf Anzeichen wie seltsame E-Mail-Adressen, dringende Formulierungen und unerwartete Anhänge achtet. Die Mitarbeiter sollten die schwerwiegenden Folgen von Phishing verstehen, wie z. B. Datenschutzverletzungen und finanzielle Verluste, und sie sollten lernen, wie man mit verdächtigen E-Mails sicher umgeht und wie man sie überprüft und meldet.

Zusätzlich zu Phishing Awareness Trainings führen einige Unternehmen Phishing-Simulationen durch, indem sie gefälschte Phishing-E-Mails an ihre Mitarbeiter versenden. Auf diese Weise können sie testen, ob ihr Personal darauf klickt. Während diese Simulationen helfen können, das Verständnis der Mitarbeiter zu messen, gibt es eine Debatte darüber, ob sie nicht eher das Vertrauen untergraben.

Kritiker sagen, dass Leute, die auf Simulationen reinfallen, ihre Taten oft damit entschuldigen, dass es ja nur ein Test war. Zudem geben einige Experten in vertraulichen Gesprächen an, dass diese Simulationen so gestaltet werden können, um die gewünschten Ergebnisse zu erzielen. Das wirft Fragen zur Wirksamkeit und Integrität der Phishing-Simulationen auf.

Wie kann man also Phishing-Angriffe verhindern? Es reicht nicht aus, nur darüber Bescheid zu wissen, vor allem dann nicht, wenn die Informationen nach einem Kurs schnell wieder vergessen sind oder nicht angewendet werden, wenn es am wichtigsten ist. Um das Bewusstsein für dieses Thema aufrechtzuerhalten, ist es wichtig, es regelmässig zu aktualisieren und daran zu erinnern.

Diese kontinuierlichen Bemühungen festigen nicht nur das Wissen, sondern bieten auch die Möglichkeit, die Mitarbeiter über die neuesten Phishing-Techniken zu informieren. Damit das Thema nicht in Vergessenheit gerät, ist es von entscheidender Bedeutung, die Wachsamkeit gegenüber diesen Bedrohungen aufrechtzuerhalten und das menschliche Risiko zu mindern.

Smishing, Spimming, Vishing, Spear Phishing und andere verwandte Varianten des Phishings

E-Mail ist nicht der einzige Weg, um mit potenziellen Opfern in Kontakt zu treten und sie anzusprechen. Während sich Phishing auf E-Mail als ersten Kontaktpunkt konzentriert, gibt es ähnliche Taktiken über verschiedene Kanäle, und die Cyber Security Community hat diesen Methoden eigene Namen gegeben.

Obwohl diese Namen oft ähnlich klingen und sich nur in den Anfangsbuchstaben unterscheiden, bleibt das zugrunde liegende Muster dasselbe: Mitarbeiter erhalten aus heiterem Himmel eine Nachricht, die ein Gefühl der Dringlichkeit vermittelt, das kritische Denken beeinträchtigt und eine schnelle Reaktion provozieren soll. Wenn Mitarbeiter auf einem der folgenden Kanäle unterwegs sind, solltest du eines der folgenden Schulungsthemen zur Informationssicherheit in Betracht ziehen.

Smishing (SMS-Phishing)

Smishing nutzt bösartige Textnachrichten (SMS), um Personen dazu zu verleiten, vertrauliche Informationen preiszugeben oder Malware auf ihre mobilen Geräte herunterzuladen. Cyberkriminelle geben sich oft als bekannte Organisationen oder Kontakte aus, um das Vertrauen ihrer Opfer zu gewinnen. Die Nachrichten können dazu auffordern, Kontodaten zu bestätigen, eine Belohnung zu fordern oder ein dringendes Problem durch Klicken auf einen Link zu lösen.

Textnachrichten fühlen sich im Vergleich zu E-Mails oft persönlicher und dringlicher an und verleiten dazu, schnell zu handeln, ohne an der Echtheit der Aufforderung zu zweifeln. Smishing macht sich die weite Verbreitung von Smartphones und den allgemeinen Glauben zunutze, dass Textnachrichten sicher sind, und stellt damit eine ernsthafte Bedrohung für die persönliche Privatsphäre und die finanzielle Sicherheit dar.

Spimming (Spam über Instant Messaging)

Da sich das Senden von Kurznachrichten in vielen Ländern von SMS auf Instant-Messaging-Apps wie z.B. Whatsapp verlagert hat, haben sich auch die Cyberkriminellen angepasst. „Spimming“ bezieht sich auf Spam, der über Instant-Messaging-Plattformen verschickt wird. Bei diesem Betrug recherchiert ein Krimineller und gibt sich dann als einen vertrauenswürdigen Kontakte aus. Du könntest über WhatsApp oder eine andere beliebte Messaging-App kontaktiert werden. Dies ist besonders für Unternehmen besorgniserregend, da Sofortnachrichten in der Regel nicht auf Spam gefiltert oder von IT-Abteilungen geschützt werden, was eine Lücke in den Sicherheitsmassnahmen hinterlässt.

Vishing (Sprach-Phishing)

Bei Vishing handelt es sich um Telefonanrufe oder Sprachnachrichten, die sich als legitime Institutionen oder Behörden ausgeben, um Personen zur Preisgabe persönlicher Daten oder zur Zahlung zu verleiten. Dank der Fortschritte in der KI-Technologie ist es heute ein Leichtes, synthetische Sprachaufnahmen von jedem zu erstellen, der jemals ein Stück seiner Stimme online hinterlassen hat. Dies gilt sowohl für Personen des öffentlichen Lebens als auch für Einzelpersonen wie z.B. den Finanzchef eines Unternehmens, der sich möglicherweise während einer Börsenmeldung geäussert hat.

Angler-Phishing

Angler-Phishing ist eine moderne Strategie, bei der Cyberkriminelle soziale Medien nutzen, um die Kundendienstkonten bekannter Unternehmen zu imitieren. Sie halten Ausschau nach öffentlichen Posts oder Tweets von Nutzern, die um Hilfe bitten, und bieten dann ihre Hilfe an. Sie leiten ihre Opfer auf schädliche Websites weiter oder fragen nach sensiblen Informationen und geben vor, ihre Probleme zu lösen.

Diese Taktik ist besonders raffiniert, weil sie das Vertrauen des Opfers in die Marke und seine Erwartung auf Unterstützung durch diese Plattformen ausnutzt. Angler-Phishing erfordert in den sozialen Medien besondere Aufmerksamkeit, da diese betrügerischen Konten sehr authentisch aussehen können und oft die gleichen Logos und die gleiche Sprache wie das Social-Media-Team des echten Unternehmens verwenden.

Popup-Phishing

Beim Popup-Phishing werden gefälschte Popup-Fenster verwendet, die wie legitime Anfragen von bekannten Websites aussehen. Diese Popup-Fenster können auf einer Website erscheinen und dich vor einem Virus auf deinem Computer warnen oder dich auffordern, deine Software über einen Link zu aktualisieren. Wenn du auf diese Pop-ups klickst, kann Malware installiert werden oder du wirst auf Phishing-Websites geleitet, die persönliche und finanzielle Informationen stehlen. Popup-Phishing nutzt die Angst vor Sicherheitsrisiken oder den Wunsch nach den neuesten Software-Updates aus und ist damit eine effektive Methode für Cyberkriminelle.

Spear-Phishing

Spear-Phishing ist eine spezielle Form des Phishings, bei der personalisierte Nachrichten an bestimmte Personen oder Organisationen gesendet werden. Im Gegensatz zu allgemeinen Phishing-Angriffen, die auf ein breites Publikum abzielen, sind Spear-Phishing-Nachrichten sorgfältig gestaltet und verwenden Details aus sozialen Medien oder anderen Quellen, um legitim und für den Empfänger direkt relevant zu erscheinen.

Spear-Phisher geben sich beispielsweise als Kollege, Freund oder vertrauenswürdige Person aus und bitten um sensible Informationen oder Geldüberweisungen. Sie verwenden oft genau die Anwendungen wie Office 365, die ein Unternehmen regelmässig nutzt. Der massgeschneiderte Ansatz des Spear-Phishings macht es sehr viel erfolgreicher, da die Zielperson eher geneigt ist, der Nachricht zu vertrauen und auf sie zu reagieren.

Whaling

Whaling ist eine spezielle Form des Spear-Phishing, die auf hochrangige Personen in einem Unternehmen abzielt, z. B. Führungskräfte oder leitende Angestellte. Diese Angriffe werden als „Whaling“ bezeichnet, weil sie auf die „grossen Fische“ abzielen (ok, ein Wal ist kein Fisch…) und versuchen, sensible Unternehmensdaten zu stehlen oder finanziellen Betrug zu begehen.

Die Nachrichten bei Whaling-Angriffen sind hochgradig personalisiert und ausgeklügelt und so gestaltet, dass sie dem Kommunikationsstil der Zielperson oder des Unternehmens entsprechen. Whaling-Angriffe erfordern eine gründliche Kenntnis der Position und der Aufgaben der Zielperson, was sie besonders gefährlich und schwer zu erkennen macht.

CEO-Betrug

Die C-Suite ist nicht nur ein attraktives Ziel für Cyberangriffe (Whaling), sondern eignet sich auch gut für Betrugsversuche wie den CEO-Betrug. Dabei handelt es sich um eine Form der Cyberkriminalität, bei der Angreifer vorgeben, der CEO eines Unternehmens oder eine andere hochrangige Führungskraft zu sein, um Mitarbeiter dazu zu verleiten, Geld zu überweisen oder sensible Informationen preiszugeben.

In einem typischen Szenario sendet der Betrüger eine E-Mail an einen Mitarbeiter, der Zahlungen genehmigen kann, gibt sich als CEO aus und bittet dringend um eine Überweisung auf ein bestimmtes Konto, häufig für eine angeblich vertrauliche Angelegenheit. Die E-Mail kann aufgrund der scheinbaren Autorität des Absenders die normalen Sicherheitsprotokolle umgehen, was zu erheblichen finanziellen Verlusten führt.

Dieser Betrug macht sich die Organisationshierarchie und die Bereitschaft der Mitarbeiter zunutze, schnell auf Anfragen ihrer Vorgesetzten zu reagieren. Dies ist eines der Themen, die bei Schulungen zum Thema Cybersicherheit zu berücksichtigen sind.

Business Email Compromise (BEC)

Business Email Compromise (BEC) ist ein fortgeschrittener Betrug, der auf Unternehmen abzielt, die Überweisungen tätigen oder mit ausländischen Lieferanten arbeiten. Cyberkriminelle verschaffen sich entweder Zugang zu den E-Mail-Konten von Unternehmen oder fälschen diese, um Änderungen bei der Rechnungsbezahlung zu verlangen oder Zahlungen auf betrügerische Konten zu leiten. Diese Betrügereien erfordern in der Regel ein tiefes Verständnis der Abrechnungssysteme und -verfahren des Unternehmens, so dass die betrügerischen Anfragen legitim erscheinen.

BEC-Angriffe können grosse finanzielle Verluste verursachen und stellen ein ernsthaftes Risiko für internationale Geschäftstätigkeiten dar. Sie nutzen Social-Engineering-Taktiken, um das Vertrauen zwischen Mitarbeitern und ihren Vorgesetzten oder Geschäftspartnern zu manipulieren. Berühmtes Beispiel: Scoular schickte insgesamt 17,2 Millionen Dollar durch drei Überweisungen an eine Bank in China, nachdem E-Mails an einen Scoular-Führungskraft geschickt worden waren (Quelle).

Sichere Passworte und Mehrfaktor-Authentifizierung (MFA)

Passwörter sind wie Schlüssel: Sie lassen die richtigen Leute rein und halten die falschen draussen. Sie spielen eine entscheidende Rolle beim Schutz von Systemen und Daten. Da jedoch überall Passwörter benötigt werden, wählen die Menschen oft den Weg des geringsten Widerstands.

Sie entscheiden sich für Passwörter, die entweder zu einfach zu erraten oder zu knacken sind, oder sie verwenden für alles das gleiche Passwort. Dieser Ansatz ist riskant. Einfache oder wiederverwendete Passwörter können von Hackern leicht ausgenutzt werden, insbesondere mit Hilfe von KI-Tools, die durchgesickerte und gestohlene Informationen nutzen, um in Konten einzubrechen.

Aus diesem Grund wird in Schulungen zur Passwortsicherheit betont, warum es wichtig ist, starke und sichere Passwörter zu verwenden. Sie lehren, wie man sie erstellt, und bieten bewährte Verfahren für ihre Verwaltung mit Passwortmanagern.

Auch wenn es weniger bequem ist, müssen die Mitarbeiter etwas über die Multi-Faktor-Authentifizierung (MFA), auch bekannt als Zwei-Faktor-Authentifizierung (2FA), lernen. Diese zusätzlichen Schritte erhöhen die Sicherheit erheblich, da sie Konten auch dann schützen, wenn ein Passwort kompromittiert wurde.

Das Hauptziel ist es, zu vermitteln, wie man sichere Passwörter erstellt und verwaltet, um sowohl Unternehmens- als auch persönliche Daten zu schützen. Die Betonung von Passwörtern und MFA als eines der wichtigsten Themen der Sicherheitsschulung unterstreicht die Notwendigkeit robuster Passwörter, um unser digitales Leben zu schützen. Einfache Passwörter können ein ganzes Netzwerk gefährden. Das musste zum Beispiel die Hotelkette IHG erfahren (Quelle).

Ransomware

Ransomware ist wie eine digitale Entführung: Sie sperrt wichtige Daten und verlangt Geld, um sie zurückzubekommen. Dies ist sowohl für Privatpersonen als auch für Unternehmen ein grosses Problem.

Ransomware-Angriffe sind immer einfacher auszuführen und betreffen immer mehr Unternehmen (Quelle).

Je mehr wir uns auf digitale Tools verlassen, desto grösser wird die Gefahr von Ransomware-Angriffen. Angreifer finden Schwachstellen und schleichen sich oft über unschuldig aussehende E-Mails oder Downloads ein, um Systeme zu übernehmen und Dateien zu sperren. In der Regel verlangen sie eine Zahlung in Kryptowährung, um im Verborgenen zu bleiben.

Um sich gegen Ransomware zu wehren, ist eine Ransomware-Schulung unerlässlich. In diesen Schulungen lernen die Mitarbeiter, wie sie riskante Links und Anhänge erkennen und vermeiden können, und sie betonen, wie wichtig es ist, die Software auf dem neuesten Stand zu halten und regelmässige Datensicherungen vorzunehmen.

Ziel ist es, alle Mitarbeiter in die Lage zu versetzen, Ransomware zu stoppen und zu wissen, was zu tun ist, wenn sie auftritt. Die Funktionsweise von Ransomware zu kennen, die ersten Anzeichen von Problemen zu erkennen und zu wissen, wie man den Schaden begrenzen kann, sind wichtige Fähigkeiten.

Deep Fake

Deep Fakes sind eine raffinierte Form der Täuschung. Sie nutzen fortschrittliche künstliche Intelligenz, um äusserst überzeugende gefälschte Videos und Audioaufnahmen zu erstellen. Diese Fälschungen können den Anschein erwecken, dass Personen Dinge sagen oder tun, die sie in Wirklichkeit nie getan haben.

Deep Fakes gehen über blosse Täuschung hinaus. Sie stellen eine erhebliche Bedrohung dar, da sie das Vertrauen in die von uns konsumierten Medien untergraben. Sie können den Ruf schädigen, sich in politische Prozesse einmischen, die Sicherheit von Organisationen gefährden und die Integrität der digitalen Kommunikation grundlegend in Frage stellen.

Das Verstehen und Bekämpfen von Fälschungen ist genauso wichtig wie das Lernen über Cybersicherheit. Diese IT Sicherheitsbewusstseinstrainings sind von entscheidender Bedeutung, da sie den Menschen vermitteln, wie Fälschungen entstehen, warum sie verwendet werden und wie man sie erkennt. Die Gründe können von persönlicher Rache bis zur Verbreitung gefälschter politischer Geschichten oder Geldbetrug reichen.

Wenn wir Menschen beibringen, Ungereimtheiten zu erkennen und wie wichtig es ist, Fakten zu überprüfen, können wir uns besser gegen die täuschende Art dieser digitalen Fälschungen schützen.

Wir müssen lernen, diese Fälschungen zu erkennen und zu hinterfragen. Diese Form der Medienkompetenz hilft, Menschen und Organisationen in einer Welt zu schützen, in der digitale Inhalte sehr realistisch erzeugt und leicht verändert werden können.

Malware

Zu Malware gehören verschiedene Schadprogramme wie Viren, Würmer und Trojaner. Sie kann Systeme beschädigen, Informationen stehlen oder unbefugten Zugriff ermöglichen. Malware dringt oft über riskante E-Mail-Anhänge, unsichere Downloads oder Software-Schwachstellen ein.

Die Auswirkungen dieser Angriffe gehen über die Beschädigung von Systemen hinaus; sie können auch persönliche Informationen preisgeben und die Arbeit stören. Wenn man weiss, wie sich Malware verbreitet, kann man seinen digitalen Systeme und Daten vor diesen gefährlichen Programmen schützen.

Um die weit verbreitete Bedrohung durch Malware zu bekämpfen, ist es wichtig, vorbeugende Massnahmen zu ergreifen. Regelmässige Software-Updates, Vorsicht bei Downloads und die Verwendung vertrauenswürdiger Antiviren-Software sind wichtige Schritte zum Schutz. Diese Massnahmen blockieren schädliche Software, bevor sie Probleme verursachen kann. Wachsam zu sein und IT-Experten über seltsame Aktivitäten zu informieren, kann die Sicherheit ebenfalls erhöhen und das Online-Erlebnis für alle sicherer machen.

Insider-Bedrohungen (Insider Threat)

Manchmal kommt die wahre Bedrohung von innen. Insider-Bedrohungen gehen von Personen innerhalb des Unternehmens aus, die ihren Zugang missbrauchen, um dem Unternehmen zu schaden, sei es durch Datendiebstahl, Sabotage oder Spionage. Eines der prominentesten Beispiele: der frühere Wirecard-CEO, der ein Spion gewesen sein soll. Diese Bedrohungen können vorsätzlich oder aus Unachtsamkeit erfolgen. Die Folgen sind schwerwiegend und führen zu Datenschutzverletzungen, finanziellen Rückschlägen und Rufschädigung. Oder im Fall von Wirecard: zum Konkurs.

Die Mitarbeiter müssen in der Lage sein, Anzeichen für potenzielle Insider-Bedrohungen zu erkennen, den sorgfältigen Umgang mit sensiblen Informationen zu erlernen und den Grundsatz der geringsten Privilegien zu befolgen. Die Meldung verdächtiger Aktivitäten und die strikte Einhaltung der Sicherheitsrichtlinien sind entscheidende Schritte zum Schutz vor Insider-Bedrohungen.

Protokolle zur Reaktion auf Vorfälle

Protokolle zur Reaktion auf Vorfälle sind Methoden, wie man mit Sicherheitsverletzungen oder Angriffen umgeht, um deren Folgen zu verringern. Die Kenntnis dieser Protokolle ermöglicht es den Mitarbeitern, schnell zu handeln, um den Schaden zu begrenzen und bei der Wiederherstellung zu helfen.

Werden diese Protokolle nicht befolgt, kann dies zu längeren Ausfallzeiten, gröseren Schäden und möglichen rechtlichen Problemen führen. Mitarbeiter müssen wissen, welche Schritte sie unternehmen müssen, wenn sie einen Sicherheitsvorfall vermuten, einschliesslich der sofortigen Meldung an das IT- oder Sicherheitsteam, und sie müssen ihre Rolle bei den Wiederherstellungsbemühungen verstehen.

Datenschutz (GDPR, DSG & Co.)

Das Verständnis und die Einhaltung von Datenschutzbestimmungen wie GDPR oder DSG oder anderen sowie die Befolgung bewährter Praktiken sind für den Schutz personenbezogener Daten unerlässlich. Die Nichteinhaltung dieser Gesetze kann zu rechtlichen Sanktionen und einem Vertrauensverlust führen.

Mitarbeiter sollten geschult werden, um die Bedeutung des Datenschutzes zu erkennen, zu lernen, wie man personenbezogene Daten sorgfältig verwaltet, und wie man die Unternehmensrichtlinien und gesetzlichen Vorschriften einhält. Zu den wesentlichen Verhaltensweisen gehören die Beschränkung des Datenzugriffs auf das Notwendige, die sichere Speicherung und Übermittlung personenbezogener Daten sowie die Meldung von Datenschutzverletzungen oder Verstössen gegen die Vorschriften.

Bist du an einem Online-Kurs zum Datenschutz interessiert? Wir haben gemeinsam mit Experten einen solchen Kurs entwickelt. Erfahre hier mehr.

Informationssicherheit und Datenmanagement: Datenklassifizierung, Clean Desk Policy, „Sicherheitshygiene“

Informationssicherheit und Datenmanagement umfassen Massnahmen zum Schutz digitaler und nicht-digitaler Informationen vor unbefugtem Zugriff, Offenlegung, Veränderung oder Zerstörung. Zu den Risiken gehören Datenverletzungen, finanzielle Verluste und Rufschädigung.

Die Mitarbeiter müssen sich der Bedeutung des Schutzes sensibler Informationen bewusst sein, die Normen zur Datenklassifizierung einhalten und sichere Speicher- und Übertragungsmethoden anwenden. Die Software auf dem neuesten Stand zu halten, sensible Daten zu verschlüsseln und die Unternehmensrichtlinien zu befolgen, sind wichtige Massnahmen zur Gewährleistung der Informationssicherheit.

Mitarbeiter sollten die besten Methoden kennen, um zu verhindern, dass sensible Daten von Unbefugten eingesehen werden können. Dazu gehört das Sperren von Computern, wenn sie unbeaufsichtigt sind, die Aufbewahrung sensibler Dateien in einem verschlossenen Schrank, wenn sie nicht benutzt werden, und das Achten auf die Umgebung, wenn sie mit sensiblen Daten arbeiten. Sichere Passwörter, Firewalls, Antivirensoftware und regelmässige Aktualisierungen sind ebenfalls Teil eines sicheren Online-Verhaltens.

Dazu gehört auch, dass die Daten nach ihrer Sensibilität geordnet und angemessen gesichert werden. Zu den Risiken gehören unbefugter Zugriff und Datenschutzverletzungen. Mitarbeiter sollten die Datenklassifizierungen kennen, mit den Daten entsprechend umgehen und sichere Speicher- und Übertragungsmethoden verwenden. Die Einhaltung von Richtlinien, die Verschlüsselung sensibler Daten und der Zugriff auf vertrauliche Informationen nach dem „Need to know“-Prinzip“ sind bewährte Verfahren.

Eine Clean Desk Policy verlangt von Mitarbeitern, dass sie ihre Schreibtische am Ende eines jeden Tages aufräumen, um sensible Daten zu schützen. Diese Richtlinie trägt dazu bei, den unbefugten Zugriff auf herumliegende Dokumente und Geräte zu verhindern. Zu den Risiken gehören der Diebstahl physischer Dokumente, Datenverletzungen und der Verlust von geistigem Eigentum.

Mitarbeiter werden dazu angehalten, Dokumente wegzuschliessen, Geräte zu sichern und ihren Arbeitsbereich täglich zu räumen. Das gewünschte Verhalten besteht darin, einen aufgeräumten Arbeitsplatz zu erhalten, die Offenlegung von Informationen zu minimieren und sicherzustellen, dass sensible Materialien sicher aufbewahrt werden, wenn sie nicht in Gebrauch sind.

Sicherheit mobiler Geräte

Die zunehmende Nutzung mobiler Geräte für die Arbeit unterstreicht die Notwendigkeit einer gründlichen Schulung zur Sicherheit mobiler Geräte für Mitarbeiter. Diese Schulungen sollten sich mit dem Schutz vor verschiedenen Bedrohungen wie schädlichen Apps, ungeschützten Wi-Fi-Netzwerken und dem potenziellen Diebstahl oder Verlust von Geräten befassen. Die Sicherheit mobiler Geräte ist eines der grundlegenden Themen des IT Security Awareness Trainings.

In der Schulung sollte erklärt werden, warum Mitarbeiter sichere Passwörter verwenden, die Geräteverschlüsselung aktivieren, Sicherheits-Apps installieren und vorsichtig mit App-Berechtigungen und öffentlichem Wi-Fi umgehen sollten. Die Aktualisierung des Geräts und der Apps sowie die unverzügliche Meldung verlorener oder gestohlener Geräte sind weitere wichtige Praktiken, in denen die Mitarbeiter geschult werden müssen.

Sicherheit bei Remote Work

Die Sicherheit bei der Fernarbeit zielt darauf ab, Daten und Systeme zu schützen, wenn Mitarbeiter an Orten ausserhalb des üblichen Büros arbeiten, z. B. im Home Office oder in einem Coworking Space. Dies gilt auch für digitale Nomaden oder Mitarbeiter auf Dienstreisen. Risiken gehen von unsicheren (Heim-)Netzwerken, persönlichen Geräten und gezielten Phishing-Angriffen aus.

Ziel ist es, Mitarbeitern zu verdeutlichen, warum sie VPNs für sichere Verbindungen nutzen, die Sicherheit ihrer Heimnetzwerke gewährleisten und ihre Geräte physisch schützen sollten. Die Einhaltung der Richtlinien für die Fernarbeit ist für den Schutz der Unternehmensdaten unerlässlich.

Sicherheit von ungesicherten Wi-Fi-Netzwerken

Die Verwendung ungesicherter Wi-Fi-Netzwerke birgt das Risiko, dass Geräte und Daten abgefangen werden. Cyberkriminelle können diese Netzwerke leicht ausspähen und sensible Daten stehlen. Mitarbeiter sollten öffentliches Wi-Fi für die Arbeit meiden oder ein VPN für eine sichere Verbindung verwenden. Dies macht es zu einem der wichtigsten IT-Sicherheitsschulungsthemen für Mitarbeiter, die an entfernten Standorten arbeiten. Am besten ist es, sichere Netzwerke zu verwenden, sich über die Gefahren des öffentlichen WLANs im Klaren zu sein und der Vertraulichkeit Priorität einzuräumen, insbesondere bei sensiblen Daten.

Physische Sicherheitsmassnahmen: Verhinderung von Tailgating

Physische Sicherheitsmassnahmen sind sehr wichtig, um vor Diebstahl, Spionage und Umweltgefahren zu schützen. Sie helfen, unerlaubten Zutritt zu verhindern und vor Verlust oder Schaden zu schützen. Zwei gängige Taktiken von Betrügern sind das „Tailgating“, bei dem ein Angreifer jemandem ohne Erlaubnis in einen gesperrten Bereich folgt, und das „Piggybacking“, bei dem ein Insider einem Aussenstehenden als Teil eines geplanten Angriffs absichtlich Zugang gewährt.

Beide Methoden stellen ein erhebliches Risiko dar, insbesondere an Standorten mit schwachen Sicherheitsvorkehrungen, was zu unbefugtem Zugang zu sensiblen Bereichen und zum Diebstahl von Informationen führen kann. Mitarbeiter spielen eine wichtige Rolle bei der Aufrechterhaltung der Sicherheit, indem sie sich an die Zugangsprotokolle halten, ihre Arbeitsbereiche sichern und verdächtige Aktivitäten melden.

Zu den wichtigsten Praktiken gehört es, sich seiner Umgebung bewusst zu sein, dafür zu sorgen, dass die Türen sicher geschlossen sind, unbekannte Personen, die sich unbefugt Zutritt verschaffen wollen, abzuweisen, die Ausweise korrekt zu tragen und die Sicherheitsrichtlinien zu verstehen und zu befolgen. Wachsamkeit und die unverzügliche Meldung von Sicherheitsverstössen an das Sicherheitspersonal sind wesentliche Verhaltensweisen zur Stärkung der physischen Sicherheit.

Browser-Sicherheit und sicheres Surfen

Die meisten von uns verwendeten Tools und Anwendungen befinden sich heute in der Cloud. Wir suchen online nach Informationen und nutzen Cloud-Dienste. Das bedeutet, dass sicheres Surfen eines der wichtigsten Themen zur Sensibilisierung des Sicherheitsbewusstseins ist. Die Browsersicherheit gewährleistet eine sichere Online-Navigation und schützt vor bösartigen Websites und Downloads. Zu den Risiken gehören Malware, Datenschutzverletzungen und Betrug. Die Verwendung von aktuellen Browsern, Sicherheitserweiterungen und Datenschutzeinstellungen trägt dazu bei, diese Risiken zu verringern. Es wird empfohlen, verdächtige Websites zu erkennen und zu meiden und sichere Verbindungen (HTTPS) aufrechtzuerhalten.

Social Media Security: Sicherheit in sozialen Medien

Social Media hat seine Berechtigung in einem Security Awareness Programm. Soziale Medien verbinden Menschen miteinander und können nützlich für Geschäftskontakte sein, bergen aber auch Risiken. Dazu gehören die Preisgabe vertraulicher Informationen und die Gefährdung von Konten. Mitarbeiter sollten die Online-Freigabe verwalten, die Datenschutzeinstellungen anpassen und sich vor unerwünschten Kontakten in Acht nehmen.

Sicherheit von Wechseldatenträgern

Hier geht es um Risiken, die von USB-Sticks und tragbaren Speichermedien ausgehen, z. B. Malware und Datendiebstahl. Dieses Thema ist nicht für jedes Unternehmen gleichermassen relevant. Mitarbeiter sollten im Umgang mit Wechselmedien vorsichtig sein, unbekannte Geräte meiden und Daten ggf. verschlüsseln. Die Verwendung zugelassener Medien, das Scannen nach Malware und die sichere Speicherung sind vorbeugende Massnahmen.

QR-Code-Sicherheit

QR-Codes werden zunehmend für den bequemen Zugriff auf Websites verwendet. Sie können jedoch manipuliert werden, um Benutzer auf bösartige Websites umzuleiten oder Malware herunterzuladen. Das Risiko besteht in Datendiebstahl, Phishing und der Gefährdung von Geräten.

Mitarbeiter sollten vorsichtig sein, wenn sie QR-Codes scannen, insbesondere solche aus unbekannten Quellen oder an öffentlichen Plätzen. Es empfiehlt sich, die Quelle eines QR-Codes vor dem Scannen zu überprüfen und eine seriöse QR-Scanner-App zu verwenden, die die Sicherheit von Links überprüft.

Sensibilisierung für Geschenkkartenbetrug

Beim Geschenkkartenbetrug (gift card scam) verleiten Betrüger ihre Opfer dazu, Geschenkkarten zu kaufen und die Codes dann als Zahlungsmittel oder zur Begleichung einer angeblichen Schuld zu verwenden. Dieser Betrug richtet sich oft gegen Mitarbeiter, die durch Phishing-E-Mails oder Telefonanrufe getäuscht werden, in denen sich Betrüger als Führungskräfte oder Lieferanten ausgeben.

Das Risiko besteht in finanziellen Verlusten und möglichen Peinlichkeiten. Mitarbeiter sollten bei Zahlungsaufforderungen über Geschenkkarten skeptisch sein, die Legitimität solcher Anfragen über direkte Kommunikationskanäle überprüfen und verdächtige Anfragen an die IT-Abteilung oder das Sicherheitsteam melden.

Desinformation und Fake News

Unter Desinformation und Fake News versteht man die absichtliche Verbreitung falscher Informationen zur Irreführung oder Manipulation von Menschen. Dies kann besonders schädlich sein, wenn es auf Unternehmen abzielt und sich auf den Ruf und die Entscheidungsfindung auswirkt. Das Risiko besteht unter anderem darin, dass sich Fehlinformationen innerhalb der Organisation verbreiten und zu Verwirrung und fehlerhaften Handlungen führen.

Mitarbeiter sollten die Glaubwürdigkeit von Informationen kritisch beurteilen, mehrere Quellen prüfen und sich auf verifizierte Nachrichtenquellen verlassen. Das erwünschte Verhalten ist die Förderung einer Kultur des kritischen Denkens und der Überprüfung von Fakten, bevor Informationen weitergegeben werden oder darauf reagiert wird.

Pharming-Angriffe

Pharming leitet Benutzer von legitimen Websites auf betrügerische Websites um, um persönliche und finanzielle Informationen zu stehlen. Dies geschieht häufig durch die Ausnutzung von Schwachstellen zur Änderung von DNS-Einstellungen. Das Risiko besteht in Datenschutzverletzungen, Identitätsdiebstahl und Finanzbetrug.

Die Mitarbeiter sollten dafür sorgen, dass ihre Computer sicher sind, ihre Antivirensoftware regelmässig aktualisieren und bei Websites, die kein HTTPS verwenden, Vorsicht walten lassen. Es empfiehlt sich, die Authentizität von Websites zu überprüfen, insbesondere bei der Eingabe sensibler Daten, und verdächtige Websites der IT-Abteilung zu melden.

Pretexting-Techniken

Pretexting ist eine Form des Social Engineering, bei der Angreifer ein erfundenes Szenario oder einen Vorwand schaffen, um an sensible Informationen zu gelangen. Dabei können sie sich als Mitarbeiter, IT-Mitarbeiter oder externe Partner ausgeben. Das Risiko ist der unbefugte Zugriff auf vertrauliche Informationen, was zu Datenverletzungen und finanziellen Verlusten führen kann.

Mitarbeiter sollten die Identität jeder Person überprüfen, die sensible Informationen anfordert, bei unaufgeforderten Anfragen vorsichtig sein und verdächtige Vorgänge melden. Das gewünschte Verhalten ist ein hohes Mass an Skepsis und die Einhaltung von Überprüfungsprotokollen vor der Weitergabe von Informationen.

Watering Hole-Angriffe

Watering Hole-Angriffe zielen auf bestimmte Gruppen ab, indem sie Websites kompromittieren, von denen bekannt ist, dass sie sie besuchen. Die Angreifer infizieren diese Websites mit Malware, um die Systeme der Besucher auszunutzen. Das Risiko besteht in einer Infektion mit Malware, Datendiebstahl und einer möglichen Gefährdung des Unternehmensnetzwerks.

Mitarbeiter sollten vorsichtig sein, wenn sie auf Links klicken, auch auf bekannte Websites, und sicherstellen, dass ihre Systeme und Software regelmässig aktualisiert werden. Es empfiehlt sich, Web-Sicherheits-Tools wie Antiviren-Software und Web-Filter zu verwenden und der IT-Abteilung jedes verdächtige Website-Verhalten zu melden.

Cybersicherheit ist eine kollektive und fortlaufende Anstrengung

Bei der Schulung des Sicherheitsbewusstseins geht es darum, den Mitarbeitern das Wissen und die Werkzeuge zu vermitteln, die sie benötigen, um Phishing-Betrug und andere Sicherheitsrisiken zu vermeiden. Mit fundierten Kenntnissen der Cybersicherheit können Mitarbeiter nicht nur teure Sicherheitsverletzungen verhindern, sondern werden auch in ihrem privaten Online-Verhalten seltener zu Opfern.

Das Hauptziel Cyber Security Trainings besteht darin, eine Sicherheitskultur zu schaffen, in der alle wissen, wie man Phishing und andere Bedrohungen erkennt, meldet und damit umgeht. So bleiben die wichtigen Daten eines Unternehmens sicher und sein Ruf in Takt.

Informationssicherheitstraining für Mitarbeiter ist sehr wichtig, weil die Cyber-Bedrohungen zunehmend komplexer werden. Es ist entscheidend, dass die Organisation die nötigen Fähigkeiten hat, um sich zu verteidigen. Wir müssen uns weiterbilden, wachsam sein und sicherstellen, dass jedes Teammitglied hilft, Cyber-Bedrohungen abzuwehren.

Make learning engaging, relevant and efficient

Get started with AI for Learning. Inform, educate and engage your employees with chat-based learning nuggets.

Start for free

Are you a business or education professional interested in a free account? Get it here.

Already have account? Log in