Es gibt da einen Spruch, der wohl schon so lange existiert, seit es PCs gibt: „Die größte Gefahr sitzt ungefähr eine Armlänge vom Monitor entfernt“. Gemeint ist damit der/die Anwender:in, um den/die es hier geht. Daher sollten vor allem die Sicherheitsmaßnahmen eines Unternehmens stets eng verknüpft sein mit dem Wissen und dem Bewusstsein der Mitarbeitenden rund um das Thema Cybersecurity.
[irp posts=“168385″ ]
Von Spear Phishing-Mails geht eine große Gefahr aus
Ein sehr bekanntes Cyberattacken-Szenario sieht wie folgt aus:
Eine hierbei verstärkt genutzte Strategie nennt sich Spear Phishing. Gemeint ist damit das Versenden vermeintlich vertraulicher E-Mail-Nachrichten, denen ein gutes Stück Vorarbeit seitens der Hacker vorausgeht. Diese haben sich für einen erfolgreichen Cyberangriff via E-Mail mit Informationen zum Anwender/zur Anwenderin versorgt, die im E-Mail-Text den Anschein erwecken sollen, dass die Nachricht von einem bekannten Absender stammt.
Dass dem nicht so ist, bekommt das SecOps-Team spätestens dann zu spüren, sobald das Sicherheitssystem Alarm schlägt – falls es die Cyberattacke überhaupt erkennt. Den damit einher gehenden Erpressungsversuch wird das Sicherheitsteam allerdings schmerzhaft zu spüren bekommen.
[irp posts=“168489″ ]
Das Sensibilisieren für gefälschte E-Mails ist ein probates Werkzeug
Damit es erst gar nicht so weit kommt, stehen dem SecOps-Team diverse Optionen zur Verfügung. Eine wirksame Methode ist es, neben den passenden Sicherheitstools das Sensibilisieren der Mitarbeitenden für die möglichen Gefahren, die vor allem von E-Mail-Nachrichten ausgehen. Denn gerade in Zeiten von ChatGPT und ähnlichen KI-Tools war das Verfassen von fehlerfreien Texten und das Sammeln der benötigen „Opferdaten“ noch nie einfacher. Damit kommt der Schulung der eigenen Belegschaft rund um das Thema Spear Phishing & Co. eine immer größere Bedeutung zu.
[irp posts=“168351″ ]
Doch wie kann das gelingen in Zeiten von Fachkräftemangel und damit unterbesetzten SecOps-Teams, deren Aufgabe das Sensibilisieren der Anwender:innen eigentlich wäre? Nun, hierfür gibt es eigens entwickelte Services, die sich darum kümmern, das Bewusstsein rund um IT-Sicherheit und insbesondere für Gefahren zu schärfen, die von E-Mails ausgehen können. Solch ein Angebot nennt sich Security Awareness Service, den der Sicherheitsanbieter Hornetsecurity im Portfolio hat. Was hat es damit genau auf sich und wie profitieren Unternehmen von diesem Angebot?
Mit einem patentierten Verfahren das Sicherheitsbewusstsein schärfen
Nun, in einem ersten Schritt hat Hornetsecurity ein hierfür patentiertes Verfahren entwickelt, das im sogenannten Employee Security Index (ESI) mündet. Mit diesem ESI-Awareness-Benchmark lässt sich ziemlich genau das Sicherheitsverhalten sämtlicher Mitarbeiter eines Unternehmens kontinuierlich messen und bewerten. Damit steht ein Tool zur Verfügung, das ziemlich konkret den aktuellen Wissensstand rund um das Thema Cybersecurity ausweist.
Hierfür setzt Hornetsecurity auf die Awareness Engine, die vollautomatisiert Lerninhalte zur Verfügung stellt, die am jeweiligen Lernbedarf der Mitarbeitenden ausgerichtet sind.
Das Besondere an dem Security Awareness Service ist die Spear Phishing Engine, mit deren Hilfe eine Vielzahl realistischer und aktueller E-Mail-Phishing-Angriffe simuliert werden können. Damit sollen die Mitarbeitenden so gut wie möglich auf relevante E-Mail-Attacken vorbereitet werden. Auf diesem Weg lassen sich unterschiedliche Schwierigkeitsgrade und Anforderungen „nachstellen“, gerade so, wie es die aktuell bekannten Spear Phishing-Angriffe erlauben. Das reicht von einfachen E-Mail-Trainingseinheiten bis hin zu ausgeklügelten Phishing-Szenarien.
Das Awareness Dashboard zeigt den Status Quo auf einen Blick
Unterstützt bei der Kontrolle und Auswertung der Security Awareness-Schulungsinhalte werden die Sicherheitsverantwortlichen vom Awareness Dashboard, das Teil des Hornetsecurity Control Panels ist. Dort lässt sich mit einem Blick die Reaktionen der Anwender:innen auf das Spear Phishing-Training abrufen, genauso wie der aktuelle Stand des Sicherheitsbewusstseins der bisher geschulten Mitarbeitenden.
Darüber hinaus steht mit dem Security Hub eine zentrale Plattform zur Verfügung. Dort stehen sämtliche E-Learning-Inhalte zur Verfügung, die von den einzelnen Benutzer:innen aufgerufen werden können. Ergänzt wird das um einen Gamification-Ansatz, der auf spielerische Art und Weise die Mitarbeitenden für das Security Awareness Training zu motivieren und für bessere Ergebnisse sorgen soll, was das Sicherheitsbewusstsein betrifft.
Mehr Infos und Webinare auf https://www.hornetsecurity.com/de/
Für mehr Informationen stehen auf der zugehörigen Hornetsecurity-Seite weiterführende Informationen zum Download bereit, und das in kurzer und längerer Version. Zudem veranstaltet der Anbieter regelmäßig Webinare zu dem Thema.
Disclaimer: Diesen Beitrag habe ich im Auftrag von Hornetsecurity verfasst. Bei der Ausgestaltung der Inhalte hatte ich weitgehend freie Hand.