Unglaubliche 9 von 10 Unternehmen waren 2022 laut Bitkom von Cyber-angriffen betroffen. Der wirtschaftliche Schaden: 203 Milliarden Euro. Doch was macht die Cyberkriminellen so „erfolgreich“, wo doch jedes Unternehmen Security Software im Einsatz hat? Und warum sollte sich die Personalabteilung um Cybersecurity kümmern? Ist das nicht ein Thema für die IT?
Natürlich ist Cybersecurity ein zentrales Thema der IT-Abteilung. Sie sorgt für den technischen Schutz des Unternehmens. Aber Statistiken belegen, dass die Abwehr von Viren in Netzwerken und auf Computern nicht reicht. Denn wer schützt den Menschen vor dem Gerät?
Vorsicht, Phishing!
Wenn Unternehmen gefragt werden, welche Art von Cyberangriffen sie am häufigsten erlebt haben, steht Phishing an erster Stelle. Genau wie bei der Frage, welcher dieser Angriffe am schwerwiegendsten war (Quelle: Kriminologisches Forschungsinstitut Niedersachen e. V.). Allzu oft steht am Anfang eines solchen Angriffs eine E-Mail. Genau genommen eine gefälschte E-Mail, die aussieht wie eine echte, aber nur zum Ziel hat, an Ihre Logins und Ihr Passwort zu kommen. Vielleicht kennen Sie solche Nachrichten aus Ihrem persönlichen Postfach: Eine Info über eine vermeintliche Paketzustellung, die Aufforderung, Ihr Paypal-Passwort zu ändern oder der ominöse entfernte Verwandte, der sich plötzlich meldet und Ihnen Geld vererben möchte.
Aber nicht alle Phishing-Mails sind so einfach zu entlarven. Cyberkriminelle verfeinern ihre Betrugsmaschen immer weiter und passen ihre Nachrichten sehr genau auf die Empfänger an. Woher sie die Infos bekommen? Ganz einfach: aus den sozialen Netzwerken. Eine kurze Suche bei LinkedIn reicht, um Name, Position, Vorgesetzte und Interessen von Mitarbeitenden herauszufinden. Aus diesen Informationen erschließen sich Angreifende auch die Logik der E-Mail-Adressen eines Unternehmens und senden ihre maßgeschneiderten Phishing-Mails an diese ab. So sieht die E-Mail auf den ersten Blick aus wie eine legitime Nachricht des Chefs, der eine Überweisung beauftragt. Oder wie eine Bewerbung mit entsprechenden Unterlagen im Anhang. Nur dass der Anhang statt Anschreiben und Lebenslauf Ransomware enthält, die beim Öffnen das ganze System lahmlegt.
Der Mensch im Visier von Cybercrime
Sie merken es bereits: Gegen diese Art von personalisierten Angriffen können technische Schutzmaßnahmen oft nicht helfen. Hier ist der Mensch das Ziel, der mit psychologischen Tricks dazu verleitet werden soll, etwas Bestimmtes zu tun. Nämlich zu klicken, einen Anhang zu öffnen, sein Passwort einzugeben – aus freien Stücken. Was hier hilft? Allen Mitarbeitenden im Unternehmen beizubringen, wie sie sich im digitalen Alltag sicher verhalten.
Wer weiß, was auf ihn zukommt, kann sich schützen
Cybersecurity geht uns also alle etwas an. Aber wie betrifft uns das genau – abgesehen von unserem E-Mail-Postfach? Themen, bei denen viele Mitarbeitende unsicher sind, sind zum Beispiel:
- Was genau macht Schadsoftware eigentlich mit meinem Computer?
- Wie behandele ich vertrauliche Informationen, wenn ich damit arbeiten oder sie versenden muss?
- Was muss ich beim Thema Datenschutz und Privatsphäre unserer Kund*innen beachten?
- Wie schütze ich meinen Computer, wenn ich mich in ein öffentliches WLAN einwähle oder von zuhause aus arbeite?
- Woran erkenne ich eine Phishing-Mail?
- Mir kommt etwas komisch vor. Wie melde ich den Vorfall überhaupt?
- Wie wähle ich ein sicheres Passwort und vor allem: Wie merke ich es mir?
- Was kann ich unbedenklich bei Facebook, Instagram und WhatsApp teilen?
- Was darf in die Cloud und wie schütze ich diese Daten am besten?
Haben Sie oder Ihre Mitarbeitenden einfache Antworten auf diese Fragen parat? Wenn Sie die richtigen Reaktionen regelmäßig trainieren, haben Sie bereits einen großen Schritt dafür getan, dass Ihre Organisation in Zukunft vor Cyberangriffen besser geschützt ist.
Cybersecurity lernen mit den richtigen Methoden
Damit sich neu erlerntes Wissen fest in den Köpfen des Teams verankert, sollten die Schulungen didaktisch optimal aufgebaut sein. Selbst aktiv zu werden, Dinge auszuprobieren, Fehler machen zu dürfen – all das fördert die Lernbereitschaft.
IT-Sicherheit kann als trocken oder nervig empfunden werden. Daher sind Methoden wie charakterbasiertes Storytelling, ein hoher Interaktionsgrad und Gamification wichtige Erfolgsfaktoren. Die American Federation of Scientists (AFS) hat herausgefunden, dass sich Lernende bei Game-basierten Lernmethoden an bis zu 90 % mehr Inhalt erinnern als bei traditionellem Lernen. Genau das Richtige für den nachhaltigen Wandel in Ihrer Sicherheitskultur.
Die G DATA academy bietet daher Security Awareness Trainings, die Game-based Learning nutzen, um die intrinsische Motivation der Lernenden anzusprechen und das Bewusstsein für IT-Sicherheit nachhaltig zu schärfen. In interaktiven Trainings lernen Mitarbeitende, wie sie sich und ihr Unternehmen vor Angriffen im digitalen Alltag schützen.
Abtauchen in den Phishing-Strudel
Interaktiv bedeutet, dass Mitarbeitende in einem der Trainings selbst in den Phishing-Strudel hinabtauchen: Als Begleiter unserer vier Hauptcharaktere navigieren sie durch eine erlebnisreiche Unterwasserwelt und lernen, wie sie mit betrügerischen E-Mails und Webseiten umgehen. Alle Multiple-Choice-Fragen, Videos, Drag&Drop-Aufgaben und Games sind eingebettet in die größere Geschichte. Das Ziel: Einer bösen Phisherin das Handwerk zu legen. Probieren Sie die Kurse gerne selbst einmal aus, kostenfrei und ohne Umwege unter www.gdata.de/abtauchen
Ransomware-Game
Hauptfigur Martin ist dem Phishing-Strudel gerade entkommen, schon wartet die nächste Lernreise auf ihn: Durch einen dummen Fehler landet er in der Cyber-Unterwelt und muss sich aus den Fängen des Entführers Randy Ransom befreien. In den vier Teilen unseres brandneuen Serious Games dreht sich alles um das Thema Ransomware: Wie gelangt so ein Erpressertrojaner überhaupt auf meinen Rechner? Und vor allem: Wie schütze ich mich davor? Das lernen Mitarbeitende mithilfe dieses Point-and-Click-Adventures in stilechter Retro-Optik. Neugierig? Testen Sie das Game gerne selbst unter www.gdata.de/ransomware-game
Tipps für echten Change in Ihrer Sicherheitskultur
Damit Security Awareness Trainings in Ihrer Organisation angenommen und zum Erfolg werden, ist die richtige Kommunikation das A und O. Hier haben wir noch einige Tipps für Sie, wie Sie damit starten können, das Sicherheitsbewusstsein Ihrer Belegschaft zu schärfen:
- Koordinieren Sie sich mit Ihrer IT-Abteilung beziehungsweise Ihrem IT-Sicherheitsverantwortlichen. Mit Ihrer Expertise bei der Personalentwicklung tragen Sie entscheidend zu einer stärkeren Sicherheitskultur bei.
- Holen Sie Ihre Führungskräfte zu dem Thema ab. So steht auch das Management hinter der Initiative und geht mit gutem Beispiel voran.
- Stimmen Sie Ihre Belegschaft auf die Trainings ein. Kündigen Sie die Einführung der Online-Schulungen an, schreiben Sie Anleitungen und FAQs, um offene Fragen direkt abzufangen.
- Rufen Sie die Trainings in regelmäßigen Abständen in Erinnerung, zum Beispiel via Erinnerungsmail oder Intranet-Eintrag.
- Poster an den Wänden im Büro, Bildschirmschoner oder Tassen mit Awareness-Slogans sind ein konstanter Reminder an sicheres Verhalten.
- Sorgen Sie dafür, dass die IT-Sicherheitsexpert*innen bei Ihnen im Haus ansprechbar sind und bei Rückfragen zur Verfügung stehen.
Bei diesem Artikel handelt es sich um einen bezahlten Beitrag der G DATA CyberDefense AG.
Stichworte:
Zielgruppe
Die G DATA academy richtet sich an IT-Sicherheitsverantwortliche und Personalentwickler*innen, die Beschäftigten beibringen möchten, sich im digitalen Alltag sicher zu verhalten.
Methodik
Unsere E-Learnings zeichnen sich durch einen hohen Interaktionsgrad, Storytelling und gamifizierte Elemente aus.
Portfolio
Learning Management System & Online-Kurse zu Cybersecurity | Content-Streaming
Phishing Simulation | Vertiefungstrainings Serious Games | Betriebliche Unterweisungen
Referenzkunden
Um Mitarbeitende auf digitale Gefahren vorzubereiten, setzt EDELRID auf die G DATA academy. Der Hersteller von Kletterausrüstung schult seine 220 Beschäftigten mit Security Awareness Trainings und findet mit gezielten Phishing-Tests Lücken in der Cyberabwehr.
Der Autor:
Christian Laber
Christian Laber ist Head of E-Learning Development bei G DATA CyberDefense. Er ist seit 2020 bei G DATA. Zuvor war er als Unternehmensberater im Bereich People Development und als Projektleiter für LMS- und E-Learning-Projekte tätig.
Kontakt:
G DATA CyberDefense AG
Königsallee 178
D-44799 Bochum
Tel: +49 (0) 234 / 97 62 0
