In Unternehmen hat die Datensicherheit, also der generelle Schutz aller Unternehmensdaten, oberste Priorität. In diesem Zusammenhang denkt jede Mitarbeiterin und jeder Mitarbeiter wahrscheinlich als erstes an die klassische Virenschutz-Software, welche auf Arbeitsrechnern und technischen Geräten installiert (PC | Notebook | Tablet | Smartphone), Unternehmen und Mitarbeiter vor unvorhergesehenen Gefahren schützen soll.

Doch auch auf anderem Weg kann unerwartet Einfluss genommen werden. Durch Gefahren, denen man sich als Mitarbeiter nicht direkt bewusst, aber dennoch täglich ausgesetzt ist. Denn die Gefahren lauern hinter zahlreichen Links in E-Mails, Online-Anzeigen und auf Webseiten im Internet.

Ohne es zu bemerken können Mitarbeiter und Mitarbeiterinnen bei Ihrer Informationssuche in E-Mails oder dem Internet durch Anklicken von Links eine Malware (ein Zusammenschluss der Wörter “Malicious” und “Software”), wie beispielsweise Viren oder Trojaner auf ihre Endgeräte herunterladen. Diese installieren sich oft unbemerkt selbst und richten nur in seltenen Fällen kleinen oder gar keinen Schaden an.

Niemand ist davor gefeit, dem kriminellen Netzwerk durch solche Phishing-Versuche ins Netz zu gehen. Und es bleibt schwer, den Überblick über Gefahren aus dem Internet zu behalten. Regelmäßig tauchen neue Viren oder Scamming-Methoden auf, über die selten in der Fachpresse berichtet wird. Die naheliegendste Antwort scheint, sich regelmäßig selbst aktiv in IT-Foren aufzuhalten oder sich mit regelmäßigen Newslettern auf den aktuellsten Stand zu bringen.

Denn unabsichtlich Malware herunterzuladen ist mit zunehmender Informationsflut und stärkerem E-Mail-Aufkommen heute weiter verbreitet denn je. Laut einer repräsentativen Studie des Digitalverbandes Bitkom hatten ca. 46 % von 1.120 Befragten ihren Computer bereits unwissentlich mit einem Virus infiziert. Und das, obwohl 84 % der Befragten ein Virenschutzprogramm oder eine aktive Firewall (65 % der Befragten) auf ihrem Rechner installiert hatten.

Dr. Nabil Alsabah, IT-Bereichsleiter des Bitkom-Verbandes, bezeichnete Virenschutzprogramme und Firewalls nur als “Basisausstattung”. Es sei ebenso wichtig, Software-Updates des entsprechenden Herstellers zeitgerecht zu installieren, um weiteren Sicherheitslücken vorzubeugen. Passwort-Manager, die Passwörter automatisch für den Nutzer speichern und anwenden, sollten nach Möglichkeit ebenfalls vermieden werden.

Obwohl es also sehr ratsam ist, aktuelle Virenschutzprogramme zu installieren, bieten diese für Nutzer keinen einhundertprozentigen Rundumschutz. Denn Malware kann auch unabsichtlich manuell heruntergeladen werden. Dies geschieht beispielsweise durch Anklicken unautorisierter Links in E-Mails, durch den Download unbekannter Dateianhänge oder durch Anzeigen-Klicks und Datei-Downloads auf unsicheren Webseiten. Auch bei bekannten E-Mail-Absendern ist es ratsam Vorsicht walten zu lassen und nur Dateien herunterzuladen oder zu öffnen, deren Inhalt man kennt oder erwartet. Etwa durch vorherige Ankündigungen oder telefonische Rückversicherungen (Nachfragen). Denn es kann durchaus vorkommen, dass E-Mails von bekannten Absendern gehackt und zur Virenverbreitung genutzt werden.

Gegen diese, durch Menschen verursachten Fehler, kann sich kein Unternehmen mit Virenprogrammen schützen. Die einzige Abhilfe, die hier geschaffen werden kann ist, Mitarbeiter und Mitarbeiterinnen auf die Gefahren im Umgang mit E-Mails und dem Internet aufmerksam zu machen. Durch dieses Prozedere kann erfolgreich eine ergänzende “menschliche Firewall” im Unternehmen gebildet werden, die unerwünschten äußeren Angriffen standhält. Mit internen und räumlich gebundenen Sicherheitsschulungen durch IT-Abteilungen von Unternehmen werden Mitarbeiter in zahlreichen Unternehmen bereits erfolgreich für einen richtigen Umgang mit Internet und E-Mails sensibilisiert.

Doch auch für kleinere Unternehmen ohne entsprechende IT, mittelständische Unternehmen mit mehreren Standorten oder gar Konzernen mit schwieriger Konzernstruktur können externe Dienstleister für mehr Sicherheit bei Mitarbeitern sorgen.

Vimeo

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von Vimeo.
Mehr erfahren

Video laden

Das Modell von Securepoint Awareness PLUS bildet als E-Learning-Plattform mit vielseitigen Lernmodulen und Trainingskursen den optimalen Schutz für Unternehmen und Mitarbeiter im Bereich Cybersecurity. Securepoints Awareness PLUS gibt Unternehmen wie Mitarbeitern die Möglichkeit auf eine E-Learning Plattform zuzugreifen, durch welche sie auf die Gefahren im IT-Bereich vorbereitet werden. Vor allem im Home-Office ist dies eine sehr günstige Lösung. Mitarbeiterinnen und Mitarbeiter können zu jeder Zeit auf die Plattform zuzugreifen und sich weiterbilden. Zum Einstieg bietet Securepoint ein Erklärvideo auf ihrer Webseite an, welches die Navigation auf der Seite erleichtert und die Grundfunktionen vorstellt. Entscheidet sich ein Unternehmen für Awareness PLUS erhält jeder Mitarbeitende ein eigenes Profil, welches im zeitlichen Verlauf der Nutzung die persönlichen Lernfortschritte anzeigt.

Awareness PLUS bietet regelmäßige Übungen im Rahmen von Invasions-Simulationen. Diese simulieren Angriffe durch “Phishing” und “Spear-Phishing”. Damit ist sind zwei gängige Methoden des Hackings gemeint.

Phishing bezeichnet das Versenden einer E-Mail, mit dem Ziel den Adressierten dazu zu bewegen, private Daten zu teilen. Links innerhalb dieser E-Mails können zu Webseiten führen, die vertraut aussehen und Login-Daten abfragen oder das Bestätigen der eigenen Mail-Adresse anfordern. Phishing-Mails sind meist kein persönlicher Angriff. Nur selten werden konkrete Mitarbeitende ausgesucht, um Hacking-Angriffe zu starten. Letztlich kann es also jeden treffen. Diese Phishing-Mails sind in der Regel leichter zu erkennen, da sie komplett irrelevante Themen beinhalten können. In der Praxis sieht das dann so aus, dass beispielsweise jemand, der rein gar nichts mit dem Versenden von Paketen zu tun hat, eine E-Mail erhält, die ihn darüber informiert, dass ein Paket für ihn oder sie angekommen ist. Dies hat also für die betroffene Person keinerlei Relevanz, weshalb es auch keinen Grund gäbe, dem Link in der E-Mail zu folgen.

Unter Spear-Phishing hingegen wird der bewusste Angriff auf konkrete Personen verstanden. Die Hacker informieren sich vorher über die Anstellung oder Internetnutzung der Zielperson und kreieren E-Mail-Inhalte oder Absender, mit denen die betroffene Person häufiger in Kontakt tritt. So könnte eine Mitarbeiterin in der Buchhaltung eine E-Mail erhalten, die vorgibt von einem Business-Partner zu sein, der zur Bestätigung einiger Bankdaten aufruft. Sie könnte einen Link beinhalten, der zu einem Online-Banking Portal führt, welches die Login-Daten der Zielperson widerrechtlich speichert und somit den Zugriff auf sensible Daten des Unternehmens möglich macht.

Genau diesen Vorgang bildet auch die Awareness PLUS Lösung von Securepoint ab. Doch im Unterschied zum realen Spear-Phishing sind die Phishing-Simulationen von Securepoint gänzlich ungefährlich. Die einzelnen Ergebnisse der Mitarbeiterinnen und Mitarbeiter werden durch anonyme Server vermerkt und können nicht persönlich zugeordnet werden. Es ist allerdings möglich die individuellen Lernfortschritte zu sichten. Sollten Angestellte auf versendete Phishing-Mails reinfallen und Login-Daten preisgegeben haben, werden diese ebenfalls nicht gespeichert.

Awareness Plus bietet zudem eine Reihe von Lernmodulen und Lernvideos sowie die Möglichkeit, das Gelernte im Rahmen von branchenspezifischen Vorlagen anzuwenden. Das geschieht in Form von Quizfragen, die sich unter anderem auf den Arbeitsalltag beziehen. Durch das regelmäßige Abfragen des erlernten IT-Wissens automatisieren sich die Reaktionen Ihrer Mitarbeiter und die Gefahr von Phishing-Angriffen wird signifikant minimiert.

Die Lernerfolge können über ein Manager-Portal und ein Analytics-Dashboard begleitet werden. So haben Geschäftsführung, IT-Abteilung und oder Human Resources fortwährend die Möglichkeit, die Lernerfolge ihrer Angestellten bei Awareness Plus nachzuvollziehen. Beim Einstieg in die Lösung bietet Securepoint eine übersichtliche Einweisung in die Verwendung des Manager-Portals und macht es somit möglich, dass Awareness Plus ohne weitere Vorkenntnisse oder gesonderte Schulungen genutzt werden kann.

Außerdem wird durch freischaltbare Lernerfolge die Motivation von Mitarbeiterinnen und Mitarbeitern gestärkt. Es werden Punkte und Abzeichen für erfolgreich abgeschlossene Lerneinheiten vergeben. Schüler für ihre Erfolge zu belohnen ist eine gängige Motivationsstärkung und auch im Volksmund als solche bekannt. Dieses Prinzip ist selbst bei Erwachsenen noch sinnvoll, obwohl Belohnungen dort in anderer Form auftreten sollten. Die Bestandteile dieses Belohnungssystems werden häufig als Gamification-Elemente bezeichnet. Doch haben Sticker und Stempel für die meisten Erwachsenen keinen besonderen Stellenwert und unterstützen die Steigerung der Eigenmotivation nur selten. Zertifikate und Abzeichen hingegen können diese aber erfolgreich ersetzen.

Mit Awareness PLUS Zertifikaten können Angestellte ihr neues Wissen nachhaltig und dauerhaft nachweisen. Ähnlich einer Weiterbildung werden die Zertifikate auch für den eigenen Lebenslauf genutzt. Darüber hinaus steigern Mitarbeiterinnen und Mitarbeiterinnen ihren Lernlevel stets und ständig. Das Schulungsmodell Awareness PLUS bietet damit den optimalen Schutz von Cyber-Angriffen für Geschäftsführung und Personal.

Die Dienstleistungen von Securepoint sind auf deutsch und englisch verfügbar.

Ansprechpartner

René Pioch

René Pioch

Vertriebsleiter Managed IT Services

(030) 747526-394

Medien