Deutsche Politiker als Phishing-Opfer unterstreichen die Notwendigkeit von Security-Awareness-Trainings. Ein Kommentar von Jelle Wieringa, Security Awareness Advocate bei KnowBe4.
Letzte Woche war bekannt geworden, dass nun eine Reihe von deutschen Politikern Opfer von Phishing-E-Mails wurden. Die Drahtzieher werden in Russland vermutet und der Gruppe „Ghostwriter“ zugeordnet. Die Politiker wurden wohl über ihre E-Mailadressen gephisht und nicht über das Netzwerk des Bundestags. Die ermittelnden Strafverfolgungsbehörden mutmaßen, dass die digitalen Identitäten der Politiker nun gefälscht werden sollen, um Fake-News zu verbreiten.
Der beste Schutz vor Phishing sind Security-Awareness-Trainings, die mit abwechslungsreichen Inhalten und simulierten Phishing-E-Mails den Teilnehmern Praxiswissen vermitteln. Es ist schwierig, das Verhalten eines Einzelnen zu ändern, ganz zu schweigen von der Veränderung der Security-Culture einer ganzen Organisation. Dennoch ist es von entscheidender Bedeutung zu verstehen, wie man als Sicherheitsverantwortlicher individuelles Verhalten von Mitarbeitern als Teil der Veränderung der Unternehmenskultur zum positiven beeinflussen kann. Die folgenden Tipps helfen dabei ein erfolgreiches Training aufzusetzen:
Trainings sind das beste Mittel gegen Social-Engineering und Phishing
Ein Teil des Problems besteht darin, dass die meisten Benutzer nicht verstehen, wie groß die Rolle ist, die Security-Awareness-Trainings im Kampf gegen Social-Engineering und Phishing im Vergleich zu anderen Abwehrmaßnahmen einnehmen. Die Benutzer hören so viele Regeln und Empfehlungen, dass sie nicht mehr unterscheiden können, welche davon wichtig sind und welche nicht. Laut nahezu jeder Studie, die seit über einem Jahrzehnt zu Cyberkriminalität durchgeführt wurde, sind Social-Engineering und Phishing für mehr Vorfälle in der IT-Sicherheit verantwortlich als jede andere Ursache. Das bedeutet, dass nichts anderes so wichtig ist, um das Cybersicherheitsrisiko zu reduzieren, wie die Konzentration auf die Bekämpfung von Social-Engineering und Phishing.
Anreize setzen für Security-Awareness-Trainings
Damit Mitarbeiter überhaupt an Schulungen teilnehmen, ist es hilfreich, Anreize zur Teilnahme zu schaffen. Anreize können beispielsweise positives Feedback, kleine Geschenke, Gutscheine, Geld und Prämien sein.
Interessante Schulungen: Die meisten Mitarbeiter haben genug von langweiligen, behäbigen Schulungen. Die Trainings zeigen die beste Wirkung, wenn die Teilnehmer sich dafür interessieren und auch verstehen, warum sie diese absolvieren müssen. Um dies zu gewährleisten, müssen sicherheitsrelevante Inhalte so vermittelt werden, dass Mitarbeiter Spaß dabei haben und sich motiviert fühlen.
Abwechslung: Es sollte sichergestellt werden, dass Sie die Schulungsinhalte in regelmäßigen Zeitabschnitten gewechselt und erneuert werden. Hierbei können verschiedene Ansätze ausprobiert und an die individuellen Bedürfnisse der Teilnehmer angepasst werden.
Zertifikate fördern Aufmerksamkeit: Es ist erstaunlich, was ein gedrucktes Leistungszertifikat bewirken kann, um die Aussichten von jemandem aufzuhellen. Viele Unternehmen zeichnen Mitarbeiter mit einem Zertifikat aus, wenn sie über einen längeren Zeitraum hinweg die Phishing-Tests stets erfolgreich bestehen. Es ist eine kleine, fast kostenlose Aktion, die große Wirkung entfalten kann. Sie zeigt, dass die Leistung der Mitarbeiter von der Organisation anerkannt wird und motiviert den Einzelnen dazu, auch weiterhin gewissenhaft an den Schulungen teilzunehmen.
Fazit
Der aktuelle Fall um gephishte Politiker ist nur ein Beispiel für das, was aktuell auch vielen Unternehmen passiert, ihre Mitarbeiter sitzen im Home Office, außerhalb der gesicherten Netzwerke und werden mit Phishing-E-Mails regelrecht zugeschüttet. Diese E-Mails werden immer besser und nutzen aktuelle Themen, um durch Emotionen hervorgerufene Impuls-Klicks zu erzeugen. Ein Security Awareness Training hilft diese E-Mails zu erkennen und schult das richtige Verhalten darauf, so dass es im besten Fall aus dem FF angewendet wird.
#KnowBe4
