Security Awareness: Fachkundige Angestellte als bester Schutz gegen Social Engineering!

Social Engineering-Bedrohungen sind allgegenwärtig und können jedwedes Unternehmen betreffen. Zumal die überwiegenden erfolgreichen Social Engineering-Bedrohungen auf arglose und unvorbereitete Arbeitnehmer zurückzuführen sind, ist es höchste Zeit, dass Geschäftsbetriebe ergänzend zu technologischen sowie organisatorischen Sicherheitsprozessen adäquate sowie der Zielgruppe angepasste Security-Awareness-Maßnahmen lancieren. Als ausschlaggebende Bausteine einer breit gefächerten wie effektiven IT-Sicherheitskonzeption können Security-Awareness-Maßnahmen nicht nur das Bewusstsein der Angestellten verstärken und hierdurch die Gefahr von Social Engineering-Attacken erheblich senken, sondern auch Unternehmungen darin unterstützen, staatliche IT-Sicherheitsvorgaben der europaweiten Datenschutz-Grundverordnung einzuhalten sowie das Geschäft vor pekuniären Einbußen zu beschützen.

Social Engineering-Bedrohungen sind immerfort auf dem Vormarsch und stellen eine immer umfangreicher werdende Gefährdung für Betriebe dar. Verschärfend kommt hinzu, dass die zunehmende Verbreitung vernetzter Endpoints ebenso wie die zunehmende Verwendung neuartiger Kommunikationsmittel eine immense Angriffsfläche für soziale Manipulation erzeugt.

Alleinig 2019 war jedes 5. Unternehmen in der Bundesrepublik Deutschland der Wirtschaftsschutz-Untersuchung 2020 des Branchenverbands Bitkom zufolge von Social Engineering Attacken betroffen – sowohl analog wie auch digital.

Entgegen diesem Trend gehen immer noch etliche Unternehmen das Thema „Security Awareness“ nicht konsistent an, wodurch sich Securityvorfälle erhöhen, die auf mangelndem wie auch völlig fehlendem Sicherheitsbewusstsein der Arbeitnehmer basieren.

Social Engineering hat viele Gesichter!

Immer häufiger bedrohen Internetbetrüger zu sorglose Angestellte eines Geschäftsbetriebes. Im Zuge dessen nutzen sie mit ausgeklügelten Manipulationsmethoden die natürliche Neugierde, Arglosigkeit sowie Kundenfreundlichkeit der Mitarbeiter aus, um wertvolle Datensammlungen abzuschöpfen, Zugang zu geschützten Netzwerken und Web-Konten zu erhalten oder IT-Infrastrukturen und Unternehmensnetze mit Hilfe von Schadprogrammen zu kompromittieren.

Eine kürzlich erschienene Auswertung von Barracuda hat ermittelt, dass Geschäftsbetriebe im Durchschnitt jährlich von über 700 Social-Engineering-Attacken heimgesucht werden.

Aufgrund dieser Risikosituation ist es entscheidend, dass Personalressourcen kontinuierlich auf die Risiken des Social Engineerings hingewiesen und über aktuelle Bedrohungen in Kenntnis gesetzt werden.

Zielgruppenorientierte Security-Bewusstsein-Methoden sind hierfür ein erfolgversprechendes Mittel.

Im Rahmen einer Security-Awareness-Weiterbildung werden Personalressourcen nicht nur bedarfsentsprechend und zielgruppenbasierend zu sicherheitsbedeutsamen IT-Themenfeldern qualifiziert wie sensibilisiert, sondern auch mit dem notwendigen Fach-Know-how auf den Angriffsfall geschult.

Beständigkeit schafft IT-Security!

Jede Unternehmung muss heute eine Unmenge an empfindlichen Daten vor Datenklau, Datenmissbrauch und anderen raffinierten Cyberattacken bewahren. Zeitgleich steigt jedoch die Summe vollendeter Social Engineering-Angriffe, die auf den unsachgemäßen Umgang mit der IT-Infrastruktur und das mangelnde Sicherheitsbewusstsein ihrer Beschäftigten zurückzuführen sind.

Entsprechend dem aktuellen Data Breach Investigations Report 2021 von Verizon wurden schon im letzten Kalenderjahr 85 % jeglicher Sicherheitsbrüche durch menschliches Versagen ermöglicht.

Deswegen sind Security-Awareness-Strategien zur Mitarbeitersensibilisierung heutzutage praktisch noch bedeutender als der reine Einsatz von technologischen und unternehmensstrukturellen Securitymaßnahmen.

Damit Betriebe eine weitreichende Security-Awareness erlangen, sollten sie dafür sorgen, dass die Security-Awareness-Unterrichtungen nicht nur Wissen weitergeben, sondern das Gebaren der Arbeitnehmer auf Dauer optimieren.

Deswegen sollten nachhaltige Security-Awareness-Maßnahmen nachfolgende Bedingungen erfüllen.

  1. Know-how-Vermittlung durch den Gebrauch verschiedener Medien!
    Im Sinne der Redewendung „Von einem Streiche fällt keine Eiche“ sollten Unternehmungen bei der Wissensvermittlung im Zuge einer Security-Awareness-Maßnahme nicht bloß auf Präsenzschulungen bauen. Vielmehr sollten unterschiedliche Kanäle wie beispielsweise Webseminare, Onlineschulungen, E-Mails, Videoclips, Educational Games, Druckmedien, Merkblätter, Sticker, Wallpaper oder Intranet-Nachrichten zum Einsatz kommen, um jegliche Arbeitnehmer an den diversen Plätzen des Arbeitsalltages zu erreichen. Der Vorteil dieses Omni-Channel-Vorgehens ist es, dass durch die Verwendung verschiedenartiger Medien nicht nur sämtliche Lerntypen angesprochen werden, sondern die gesamte Arbeitnehmerschaft regelmäßig mit sicherheitsbedeutsamen Fakten versorgt und sensibilisiert werden kann.
  2. Verhaltensänderung durch realitätsnahe Bedrohungsplanspiele!
    Nichts sensibilisiert Kollegen so effizient wie Bedrohungssimulationen. Folglich sollten Unternehmen z.B. Spear-Phishing-Simulationen, Smishing-Simulationen, Schadsoftware-Simulationen und Angriffe auf mobile Medien wie USB-Sticks sowie CD-Roms durchführen, um das Sensibilisierungsniveau der Arbeitnehmer zu erheben, zu kalkulieren und nachhaltig zu verstärken und sie zur gleichen Zeit im geschützten Rahmen optimal auf den Ernstfall vorzubereiten.
  3. Inhalte mit Stories im Gehirn verfestigen!
    Wer Angestellte empfänglich machen möchte, muss sie emotional berühren. Dementsprechend sollten Angestellte im Zuge einer Security-Awareness-Unterrichtung mit Hilfe von Storys, welche sich im Gedächtnis verankern, sensibilisiert werden. Reale Begebenheiten aus der näheren Vergangenheit können hier, nicht nur die Authentizität und die Wichtigkeit eines sicherheitsrelevanten Themas betonen, sondern ebenso veranschaulichen, wie IT-Sicherheitsvorkehrungen sind.

Jeder Koch weiß: Im Zusammenstellen der Produkte liegt der Schlüssel zum Erfolg!

Social-Engineering hat unzählige Facetten.
Obschon heutzutage eine Menge IT-Securityanwendungen Social Engineering-Angriffe abschwächen, ist eine gut geschulte Belegschaft, welche in der Lage ist Social Engineering unmittelbar zu identifizieren, im Endeffekt die effektivste Defensive gegen diese Erscheinungsform von Bedrohungen.

Doch müssen Unternehmer berücksichtigen, dass es mit einer jedes Jahr abgehaltenen und halbtägigen Security-Awareness-Unterrichtung nicht vollbracht ist. Vielmehr müssen sie Security-Awareness-Instrumente über verschiedene Kanäle einbinden, um ihre Mitarbeiter regelmäßig auf IT-Sicherheitsbedrohungen aufmerksam zu machen und sie in Sachen IT-Sicherheit, Information Security, Internetsicherheit und Datenschutz zu sensibilisieren.

Letztlich tragen wiederkehrende Security-Awareness-Methoden dazu bei, die juristischen IT-Sicherheitsanforderungen der europaweiten DSGVO einzuhalten. Nicht nur mittels technischen und organisatorischen IT-Securitymaßnahmen, sondern darüber hinaus auch mit routinemäßigen Mitarbeiterfortbildungen, die es revisionssicher zu dokumentieren gilt.

Sie sind Endkunde? Möchten auch Sie mit Security-Awareness-Schulungen die Security-Awareness Ihrer Angestellten optimieren und eine breit gefächerte und langfristige IT-Securitykultur etablieren?
Kommen Sie gerne jederzeit auf uns zu!

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.