Security-Awareness-Training: Darauf solltest du deine Mitarbeitenden sensibilisieren

Phishing-Mails, Virus, Trojaner, Spyware. Viele Unternehmen investieren in eine sichere IT-Infrastruktur und lassen diverse Sicherheitsmassnahmen umsetzen. Doch oft ist es nicht die Technik, sondern der Mensch, der Cyberkriminellen die Türe zum Unternehmen öffnet – unbewusst.

Cyberangriffe nehmen immer mehr zu. Seit der Corona-Krise beobachten Unternehmen vermehrt betrügerische E-Mail, Phishing-Versuche und eine Zunahme von Spam-Mails über den Geschäftsaccount. Genau darum ist es wichtig, dass du deine Mitarbeitende auf mögliche Gefahrenquellen sensibilisierst. Ich verrate dir dazu ein paar wertvolle Tipps aus unserem Security-Awareness-Training.

• Wie schützen wir PC & mobile Geräte?
• Wie schützen wir uns bei Mails?
• Wie schützen wir uns im Webbrowser?
• Wie schützen wir uns in den sozialen Netzwerken?
• Wie schützen wir uns bei Passwörtern?

Mitarbeitende sensibilisieren – mache jetzt den ersten Schritt
Security-Awareness-Training – alle Infos im Video zusammengefasst

Was ist ein Security-Awareness-Training und warum ist es wichtig?

Ein Security-Awareness-Training ist ein Schulungsprogramm, das Mitarbeitende dazu befähigt, sich in der digitalen Welt sicher zu bewegen und damit das Risiko von Cyberangriffen zu minimieren. Ein Security-Awareness-Training ist wichtig, da Cyberkriminelle immer hinterlistigere Methoden entwickeln, um an geschäftsrelevante Daten, Kreditkarteninformationen oder Passwörter zu kommen. Ohne Training und Sensibilisierung sind Mitarbeitende oft das schwächste Glied der IT-Sicherheitskette.

Die Ziele des Security-Awareness-Trainings auf einen Blick:

• Bewusstsein für IT und Sicherheit schaffen.
• Im Alltag lauernden Gefahren erkennen.
• In kritischen Situationen richtig reagieren.

Welche Arten von Cyberangriffen gibt es?

Wir schauen uns die gängigen Formen von Cyberangriffen etwas genauer an, damit wir wissen, wovor wir uns eigentlich schützen wollen.

Malware-Angriffe

Bei Malware (Abkürzung für «Malicious Software») handelt es sich um schädliche Software, die unerwünschte oder schädliche Aktionen auf einem Computer oder Netzwerk ausführt.

Ein paar Beispiele von Malware:

• Virus: Diese Art von Schadsoftware kann sich selbst reproduzieren und auf andere Computer oder Dateien übertragen. Ein Virus kann Daten löschen, Systemeinstellungen ändern oder andere ungewollte Aktionen durchführen.
• Trojaner: Diese Schadsoftware tarnt sich als nützliches Programm oder eine vertrauenswürdige Datei, um auf einem Computer installiert zu werden. Erinnerst du dich an das Trojanische Pferd aus der griechischen Mythologie? Anstelle eines grossen, holzigen Pferdes, erhältst du hier ein digitales «Geschenk». Mittels Trojaner können Angreifern beispielsweise die Kontrolle über deinen Computer übernehmen oder Daten stehlen.
• Ransomware: Die Installation einer sogenannte «Erpresser-Software» auf dem Computer des Opfers erlaubt es dem Hacker, Dateien zu verschlüsseln oder den Zugriff auf den Computer zu sperren. In den meisten Fällen fordert der Angreifer eine Lösegeldzahlung, um den Zugang zum Computer oder den Dateien wiederherzustellen.
• Spyware: Solche Spionage-Software wird heimlich auf einem Computer installiert, sammelt Informationen über den Benutzer oder den Computer und sendet diese dem Angreifer zu.

Phishing-Angriffe

Phishing-Angriffe haben zum Ziel, sensible Informationen von Opfern zu stehlen oder mittels gezielten Angriffen auf eine Person die Kontrolle über ein System oder Netzwerk zu erlangen. Der Begriff leitet sich von «Fishing» (Angeln) ab, da die Angreifer «Köder» auslegen, um ihre Opfer zu täuschen. Bestimmt hast du auch schon einmal ein Mail von «der Post» erhalten, in dem geschrieben war, dass du deine Kreditkartenangaben eingeben musst, damit dein Paket ausgeliefert wird. Voilà.

Phishing-Angriffe werden häufig über E-Mails, SMS oder soziale Medien durchgeführt, die den Empfänger dazu auffordern, auf einen Link zu klicken oder eine Anlage zu öffnen. Der Link führt zu einer gefälschten Webseite, die der offiziellen Webseite oft zum Verwechseln ähnlich sieht. Dort wird der Empfänger aufgefordert, persönliche Informationen einzugeben. Schwups und die Daten sind geklaut.

Social-Engineering-Angriffe

Social-Engineering-Methoden nutzen menschliche Schwächen wie Neugierde, Vertrauen oder den Wunsch nach Belohnungen aus, um Personen dazu zu bringen, schädliche Handlungen auszuführen oder vertrauliche Informationen preiszugeben. Du hast bestimmt auch schon einmal ein Mail von einem arabischen Prinzen erhalten, der dir einfach so $1’000’000 überweisen wollte, wenn du ihm deine Kontodaten schickst? Voilà.

Denial-of-Service-Angriffe (DoS)

Diese Angriffsmethode ist darauf ausgelegt, ein System zu überlasten und dadurch den normalen Betrieb zu stören oder zu stoppen. Das geschieht beispielsweise, indem der Angreifer eine grosse Menge an Anfragen einreicht, die das System nicht bewältigen kann. Erinnerst du dich an die WikiLeaks-Geschichte 2010? Damals haben Anhänger von WikiLeaks die Webseite von Mastercard genau auf diese Art für eine kurze Zeit lahmgelegt.

Übrigens, bei einem Ransomware- und einem Social-Engineering-Angriff sassen wir in der ersten Reihe. Ich berichte in diesem Video darüber:

Security-Awareness-Training: So schützen wir uns

Wie schützen wir PC & mobile Geräte?

Es lauern hier gleich mehrere Gefahren: Diebstahl des Geräts, ungewollte Softwareinstallationen sowie USB-Stick, Gratis-WLAN oder externe Ladestationen als Einstiegstor für Hacker.

Mit diesen Massnahmen kannst du dich schützen:

• Betriebssystem aktuell halten
• Starke Passwörter wählen (kryptische Passwörter, Windows Hello, Fingerabdruck)
• Multi-Faktor-Authentifizierung aktivieren
• Keine fremden USB-Sticks verwenden
• Gratis-WLAN meiden, stattdessen mobiler Hotspot aktivieren
• Antivirus-Programm verwenden und aktuell halten

Wie schützen wir uns bei Mails?

Achtung, Phishing-Mails. Du hast ein Mail erhalten, das dir suspekt erscheint?

Die folgenden Fragen kannst du dir stellen:

• Absender: Stimmt der angezeigte Namen mit der Absenderadresse überein?
• Inhalt: Erscheint dir der Text sinnvoll?
• Mail-Adressen: Stimmt die Absende- und Antwortadresse überein?
• Link: Ergibt die Link-URL einen Sinn?
• Anhänge: Um welches Dateiformat handelt es sich? (Achtung bei .exe-Format, da ausführende Datei)

Keine Phishing-Mails aber ein Chaos im Posteingang? Schaue dir unsere 5 Tipps für einen leeren Outlook-Posteingang an.

Wie schützen wir uns im Webbrowser?

Achtung vor Dateidownload mit Malware, Zugangsdaten Diebstahl, Fake-Websites und Browser-Plugins.

Diese Massnahmen helfen dir:

• Auf eine sichere Verbindung achten (https://)
• Möglichst keine Plugins nutzen
• Passwörter nie im Browser speichern
• Im Browser einstellen, dass Dateien nach dem Download nie automatisch geöffnet werden

Wie schützen wir uns in den sozialen Netzwerken?

In den sozialen Netzwerken warten Hacker nur darauf, dass du auf Fake-Websites oder Malware-Datei reinfällst. Profiling ist ebenfalls hoch im Kurs. Hacker sammeln dabei persönlichen Daten oder Firmendaten, um diese an Dritte zu verkaufen.

So schützt du dich:

• Profile privat halten
• Bewusstsein schaffen, welche Daten öffentlich zugänglich sind
• Keine unbekannten Anhänge öffnen

Wie schützen wir uns bei Passwörtern?

Achtung vor Brute-Force-Attacken. Bei dieser Hacking-Methode probieren Angreifer automatisch alle möglichen Kombinationen von Passwörtern durch, bis sie erfolgreich Zugang zu deinem System oder deiner Anwendung erlangen. Wenn du schwache Passwörter ohne Multi-Faktor-Authentifizierung verwendest, bist du ein gefundenes Fressen. Der Angreifer benötigt lediglich Zeit und Rechenleistung, um das Passwort zu erraten.

Mit diesen Massnahmen kannst du dich schützen:

• Bei jedem Account ein anderes Passwort verwenden
• Passwörter sicher aufbewahren (Passwort-Manager wie z. B. KeePass, SecureSafe, 1Password)
• Zugriffsversuche überwachen, um verdächtige Aktivitäten schnell zu erkennen und darauf zu reagieren
• Starke Passwörter wählen
  • Zahlen, Wörter, Symbole, Klein- und Grossschreibung kombinieren
  • Satz überlegen und dann accountspezifisches Merkmal setzen und von jedem Wort 1. und letzter Buchstabe verwenden
  • Beispiel:
    • iTrust feiert am 21.8.2023 das 20-Jahre-Jubiläum
    • Für Facebook: F iTrust feiert am 21.8.2023 das 20-Jahre-Jubiläum acebook
    • Ableiten 1. und letzter Buchstaben von jedem Wort: Fitftam23ds2macebook

Ein Brute-Force-Angriff kann verheerende Folgen haben. Diga möbel kann ein Liedchen davon singen. Wie es zum Cyberangriff kam und welche Folgen dieser für das Unternehmen hatten, hörst du im iTrust-Talk mit Philipp Diethelm.

Mitarbeitende sensibilisieren – mache jetzt den ersten Schritt

Security-Awareness-Training ist wichtig – auch für dich und dein Unternehmen. Denn jede noch so sichere IT-Landschaft stösst an ihre Grenzen, wenn deine Mitarbeitenden in eine Hacker-Falle tappen. Fordere dein Glück also nicht heraus, sondern biete deinen Leuten regelmässige Security-Awareness-Trainings an.

Du denkst, das deine Mannschaft doch niemals auf solche Methoden reinfallen würde? Mache den Test und lasse deine IT-Abteilung ein «Phishing-Mail» an die Belegschaft verschicken. Dann siehst du, wie deine Mitarbeitenden reagieren und ob ein Training vielleicht doch nicht schaden würde. 😉

Noch ein kurzer Gedanken zum Schluss: Es herrscht ein grosses Konfliktpotenzial zwischen Nutzerfreundlichkeit und Sicherheitsansprüchen. Wie bequem es doch wäre, einfach alle Passwörter im Browser abzuspeichern. Wenn du willst, dass deine Mitarbeitenden sich an die IT-Sicherheitsrichtlinien deines Unternehmens halten, darf die «sichere Variante» nicht zu umständlich sein. Die Multi-Faktor-Authentifizierung mit dem Authentifikator-App von Microsoft beispielsweise, bietet hier eine nutzerfreundliche Lösung, die kaum Zeit frisst.

Du möchtest dein Team bei einem Security-Awareness-Training schulen? Unser Spezialisten-Team steht dir gerne zur Seite. In unseren Security-Awareness-Trainings erfahren deine Mitarbeitenden mehr über die grössten Gefahrenquellen und erhalten praktische Tipps zur Hand, um sich in der digitalen Welt sicher zu bewegen. Kontaktiere uns unverbindlich.

Security-Awareness-Training – alle Infos im Video zusammengefasst

Im Video erläutert dir Patrick die genannten Massnahmen noch etwas genauer und zeigt dir auch gleich ein paar Praxisbeispiele. Viel Spass beim Anschauen.