Schulung & Training

Security Awareness

Phishing Simulationen

Sensibilisierungskampagnen

Live Phishing Training

Awareness Training

Die Antwort auf semantische Angriffe aus dem Web.

 

Der Sicherheitsguru Bruce Schneier (2000) unterscheidet drei Wellen – oder Epochen – von Cyberangriffen:

  • Physisch
  • Syntaktisch
  • Semantisch

Physische Angriffe richten sich gegen Geräte, Medien der Datenübertragung und elektronische Schaltkreise. Schneier ist der Meinung, dass Zusammenbrüche von Stromversorgung, Leitungen und Elekronik zwar schlimm sind, aber doch beherrschbare und lösbare Probleme.

Die zweite Welle von Angriffen nennt Schneier „syntaktische Angriffe“ – das sind Angriffe auf die Verarbeitungslogik von Rechnern und Netzwerken. Schwachstellen von Softwareprodukten fallen darunter, Probleme mit kryptographischen Algorithmen und Protokollen, Denial-of-Service Attacken, praktisch alles, was dazu führt, dass technische Abläufe in Computernetzwerken entgleisen. Schneier meint, dass wir weit davon entfernt sind, diese Angriffe zu beherrschen. Immerhin wüssten wir aber, welches Problem wir haben.

Semantische Angriffe sind die dritte und neueste Entwicklung der Sicherheitsbedrohungen. Sie zielen direkt auf uns Menschen. Gezieltes Betrügen und Täuschen von Personen gab es schon immer. Durch das Internet und die Art und Weise, wie wir es benutzen, ist Betrug und Täuschung aber unendlich viel einfacher, schneller und unkontrollierbarer geworden, wie die Phänomene Phishing, Online-Erpressung und ganz allgemein Social Engineering im Internet zeigen.

Live Phishing Training

Live Phishing Training mit Code and Concept

In 95 % aller Vorfälle im Bereich Informationssicherheit und Datenschutz sind Mitarbeiter – und Menschen ganz allgemein – durch ihre unsicheren Handlungen Verursacher von Schadensfällen.

So ist die Befähigung der Mitarbeiter im Umgang mit den Unsicherheiten und Gefahren der digitalisierten Welt ist ein wichtiger Bestandteil gelebter Informationssicherheit. Die gesetzlichen Vorgaben der DSGVO schreiben deshalb auch Sensibilisierung und Schulung von Mitarbeitern vor.

Phishing ist der wichtigste Pfad, über den Angreifer in Netzwerke und IT-Infrastrukturen gelangen können. In seinen modernen Erscheinungsformen wie „Spear Phishing“ und „Business Email Compromise“ ist ein Phishing-Angriff schwer zu erkennen – Benutzer müssen folglich dauerhaft trainiert werden. Im Training werden unsichere Verhaltensweisen gelöscht und sichere Verhaltensweisen gelernt.

Phishing Simulation ist eine Trainingsmethode mit hohem Wirkungsgrad und einem guten Preis-Leistungsverhältnis. Die Methode hat sich in den letzten Jahren als Königsweg für das Training der Mitarbeiterinnen und Mitarbeiter im Umgang mit gefährlichen E-Mails und Websites etabliert.

Code and Concept empfiehlt deshalb die regelmäßige Durchführung von Phishing-Trainings in der Form von Phishing-Simulationen, etwa in der Form eines:

  • Basistrainings
  • Trainings zur Festigung sicherer Verhaltensweisen und
  • ad-hoc Trainings beim Auftauchen neuer Phishing-Formen

Code and Concept macht Phishing Simulationen am liebsten mit „on-premise“ – Werkzeugen, die im Netz des Auftraggebers installiert werden.

„on prem“ bedeutet also: Mitarbeiterdaten verlassen das Haus nicht, dazu gibt es viele technische, personelle und wettbewerbsrechtliche Vorteile.
Wenn im Haus noch kein Werkzeug für die Durchführung von Phishing-Simulationen vorhanden ist, unterstützt Code and Concept den Einsatz von mehreren Phishing-Simulatoren bzw. Phishing Simulationsplattformen.

Phishing Simulation|Live Phishing Training mit Lucy Security

Sensibilisierungs-Kampagnen

Menschen als Verursacher von Schadenfällen

Das Schulungskonzept von Code and Concept folgt den Standards des National Institute of Standards and Technology (NIST).

Die NIST-Standards finden sich im Baustein ORP.3 (Sensibilisierung und Schulung) des BSI IT-Grundschutzkompendiums wieder und wurden auch von ENISA und BaköV für die Strukturierung von Sensibilisierungs-Maßnahmen übernommen. Das Schulungskonzept kennt vier unterschiedliche Lernsituationen und Lernkontexte:

  • Sensibilisierung
  • Schulung
  • Training
  • Bildung

„Sensibilisierung“ bezeichnet Maßnahmen zur Steigerung der Aufmerksamkeit für das Thema Informationssicherheit. Dieses Thema soll den BenutzerInnen als wichtiges Thema bekannt und für den eigenen Arbeits- und Wirkungsbereich als bedeutsam anerkannt sein.
Beispiele für Sensibilisierungsmaßnahmen sind Informationssveranstaltungen zum Datenschutzrecht oder zu Angriffsszenarien, das Verteilen von Anleitungen, Rundschreiben des Unternehmens- oder Amtsleiters oder Hinweise auf die Presse-Berichterstattung.

„Schulung“ dient vorrangig der Wissensvermittlung in kleineren Gruppen. Im Gegensatz zu einem Vortrag werden bei einer Schulung die Teilnehmer aktiver eingebunden, es wird Gelegenheit zu Fragen und Diskussionen geboten und es wird Mitarbeit erwartet.
Je nach didaktischer Ausrichtung und Dauer wird auch oft die Bezeichnung Workshop oder Kurs verwendet.

„Training“ will relevante Fähigkeiten und Fertigkeiten vermitteln, richtiges Verhalten stärken und falsche Verhaltensweisen löschen. Training ist für Trainer und Trainierte aufwendiger als Sensibilisierungsmaßnahmen zur Stärkung der „Awareness“ und hat starke Übungsanteile, die die Nachhaltigkeit der Maßnahmen fördern.

„Bildung“ bezieht sich auf die Ausbildung von Personen, die sich der Informationssicherheit als Profession verschrieben haben – „Bildung“ zeichnet Spezialisten aus. Hier geht es darum mit Erfahrung, Verständnis und Weitblick die Fähigkeit zu entwickelt, frühe Anzeichen von Schadsituationen zu erkennen und proaktiv zu reagieren.

Für Code and Concept ist Sensibilisierung, Training und Schulung als ganzheitliche Kampagne für Informationssicherheit insofern sinnvoll, als dass durch Phishing Simulationen und weitere Trainingsangebote ein dauerhafter Rahmen geschaffen wird, um Aufmerksamkeit und Sicherheitsbewusstsein zu fördern.

Phishing Simulation ist eine Trainingsmethode mit hohem Wirkungsgrad und einem guten Preis-Leistungsverhältnis. Die Methode hat sich in den letzten Jahren als Königsweg für das Training der Mitarbeiterinnen und Mitarbeiter im Umgang mit gefährlichen E-Mails und Websites etabliert.
Code and Concept empfiehlt deshalb die regelmäßige Durchführung von Phishing-Trainings in der Form von Phishing-Simulationen, etwa in der Form eines Basistrainings, Trainings zur Festigung sicherer Verhaltensweisen und ad-hoc Trainings beim Auftauchen neuer Phishing-Formen.

Gamification: Schulungen zur Verankerung und Vertiefung von sicheren Verhaltensweisen sind effizienter und motivierender, wenn für die Seminargestaltung moderne didaktische Aufbereitungen wie Social Engineering Spiele oder Sicherheitsparcours verwendet werden.

Ad Hoc Trainings: Probleme der Informationssicherheit treten im Arbeitsfluss unvorhersehbar auf und müssen ad hoc gelöst werden. Die schnellste und beste Möglichkeit ,„jetzt gleich“ kontextbezogene Hilfe zu bekommen ist immer, die Kollegin und den Kollegen anzusprechen, die sich am besten mit der Lösung eines Problems auskennen und als „information security pal“ die entstandene Verhaltensunsicherheit kompetent und produktiv auflösen können.

Phishing Simulation|Live Phishing Training mit Lucy Security