90 Prozent der Cyber-Angriffe finden per E-Mail statt. Firewalls bieten einen Basisschutz vor kriminellen Zugriffen. Mitarbeiter bleiben aber das wichtigste Bollwerk gegen Hacker-Attacken. Und zwar für jede Form des Social Engineering.
Stellen Sie sich vor der CEO ruft Sie persönlich an und Sie arbeiten erst seit einer Woche in diesem Unternehmen. Sie konnten ihn noch gar nicht kennenlernen und kennen auch seine Stimme nicht. Der Überraschungseffekt führt dazu, dass Sie „ohne Wenn und Aber“ seinen Anweisungen Folge leisten. In diesem Fall bittet er Sie die Überweisung eines höheren Geldbetrags auf ein Bankkonto vorzunehmen. Oder jemand ruft Sie an und gibt sich als Technical Support Mitarbeiter von Microsoft aus.
Bevor Sie mitbekommen, dass es sich um einen böswilligen Hacker handelt, installieren Sie eine Malware, womit sensible Daten wie Passwörter geknackt werden oder ein Programm, das ihm den Fernzugriff auf ihren Rechner erlaubt. Das Besondere hier: Beim Voice-Phishing (Vishing) und CEO Fraud oder „Microsoft-Technical-Support-Scam“ helfen keine Firewalls. Beide Szenarien sind Social Engineering-Attacken, der Mensch ist hier das Angriffsziel Nr.1. Nicht selten haben Hacker zuvor in den Sozialen Medien Informationen zu Unternehmen und Mitarbeitern gesammelt, um diese sodann am Hörer noch mehr unter Vorspiegelung falscher Tatsachen unter Druck setzen zu können. Eine weitere Social Engineering Attacke sind Fake-Umfragen: Die dort eingesammelten Nutzer-Informationen, werden später für Cyber-Angriffe verwendet.
Security Awareness-Training zur Sensibilisierung der Mitarbeiter
Mit einem effektiven Awareness-Training kann man seine Mitarbeiter für diese Szenarien sensibilisieren. Mitarbeiter lernen mit einer notwendigen Routine und Gelassenheit solche Social Engineering Attacken zu erkennen – zum Beispiel in dem Sie die Identität des Anrufers prüfen, bevor sie seine Anweisungen befolgen. Überdies werden in Security Awareness-Schulungen nicht nur weitere Anti-Phishing-Maßnahmen besprochen, sondern ebenso zu Passwortschutz, 2-Faktor-Authentisierung, Datenschutz und zur Arbeit im Homeoffice aufgeklärt.
Auch Social Media Guidelines oder das Surfen in öffentlichen WLANs können Awareness-Themen sein. Geschult und getestet werden die Mitarbeiter digital, hybrid oder vor Ort. Simulationen, E-Learnings und Workshops sowie zertifizierte Aus- und Fortbildungslehrgänge runden das Angebot ab. Sprechen Sie mit ihren Mitarbeitern in diesem Rahmen über die Folgen von Cyber-Attacken und warum es eben nicht ausreicht, sich nur auf die „5. Firewall“ zu verlassen. Leben Sie praxisnahe Awareness-Maßnahmen vor, wie etwa das Erkennen verdächtiger Emails oder die Rücksprache mit Fachabteilungen und Kollegen.
Fazit: Mehr IT-Sicherheit wagen, bedeutet auf Befähigung und Vernetzung, anwendbares Wissen sowie auf emotionale Intelligenz zu setzen. Ausgewählte Lernkonzepte und Tools können helfen, die Gefahr eines Cyber-Angriffes zu mindern.