In Unter­neh­men hat die Daten­si­cher­heit, also der gene­rel­le Schutz aller Unter­neh­mens­da­ten, obers­te Prio­ri­tät. In die­sem Zusam­men­hang denkt jede Mit­ar­bei­te­rin und jeder Mit­ar­bei­ter wahr­schein­lich als ers­tes an die klas­si­sche Viren­schutz-Soft­ware, wel­che auf Arbeits­rech­nern und tech­ni­schen Gerä­ten instal­liert (PC | Note­book | Tablet | Smart­pho­ne), Unter­neh­men und Mit­ar­bei­ter vor unvor­her­ge­se­he­nen Gefah­ren schüt­zen soll.

Doch auch auf ande­rem Weg kann uner­war­tet Ein­fluss genom­men wer­den. Durch Gefah­ren, denen man sich als Mit­ar­bei­ter nicht direkt bewusst, aber den­noch täg­lich aus­ge­setzt ist. Denn die Gefah­ren lau­ern hin­ter zahl­rei­chen Links in E‑Mails, Online-Anzei­gen und auf Web­sei­ten im Internet.

Ohne es zu bemer­ken kön­nen Mit­ar­bei­ter und Mit­ar­bei­te­rin­nen bei Ihrer Infor­ma­ti­ons­su­che in E‑Mails oder dem Inter­net durch Ankli­cken von Links eine Mal­wa­re (ein Zusam­men­schluss der Wör­ter “Mali­cious” und “Soft­ware”), wie bei­spiels­wei­se Viren oder Tro­ja­ner auf ihre End­ge­rä­te her­un­ter­la­den. Die­se instal­lie­ren sich oft unbe­merkt selbst und rich­ten nur in sel­te­nen Fäl­len klei­nen oder gar kei­nen Scha­den an.

Nie­mand ist davor gefeit, dem kri­mi­nel­len Netz­werk durch sol­che Phis­hing-Ver­su­che ins Netz zu gehen. Und es bleibt schwer, den Über­blick über Gefah­ren aus dem Inter­net zu behal­ten. Regel­mä­ßig tau­chen neue Viren oder Scamming-Metho­den auf, über die sel­ten in der Fach­pres­se berich­tet wird. Die nahe­lie­gends­te Ant­wort scheint, sich regel­mä­ßig selbst aktiv in IT-Foren auf­zu­hal­ten oder sich mit regel­mä­ßi­gen News­let­tern auf den aktu­ells­ten Stand zu bringen.

Denn unab­sicht­lich Mal­wa­re her­un­ter­zu­la­den ist mit zuneh­men­der Infor­ma­ti­ons­flut und stär­ke­rem E‑Mail-Auf­kom­men heu­te wei­ter ver­brei­tet denn je. Laut einer reprä­sen­ta­ti­ven Stu­die des Digi­tal­ver­ban­des Bit­kom hat­ten ca. 46 % von 1.120 Befrag­ten ihren Com­pu­ter bereits unwis­sent­lich mit einem Virus infi­ziert. Und das, obwohl 84 % der Befrag­ten ein Viren­schutz­pro­gramm oder eine akti­ve Fire­wall (65 % der Befrag­ten) auf ihrem Rech­ner instal­liert hatten.

Dr. Nabil Als­a­bah, IT-Bereichs­lei­ter des Bit­kom-Ver­ban­des, bezeich­ne­te Viren­schutz­pro­gram­me und Fire­walls nur als “Basis­aus­stat­tung”. Es sei eben­so wich­tig, Soft­ware-Updates des ent­spre­chen­den Her­stel­lers zeit­ge­recht zu instal­lie­ren, um wei­te­ren Sicher­heits­lü­cken vor­zu­beu­gen. Pass­wort-Mana­ger, die Pass­wör­ter auto­ma­tisch für den Nut­zer spei­chern und anwen­den, soll­ten nach Mög­lich­keit eben­falls ver­mie­den werden.

Obwohl es also sehr rat­sam ist, aktu­el­le Viren­schutz­pro­gram­me zu instal­lie­ren, bie­ten die­se für Nut­zer kei­nen ein­hun­dert­pro­zen­ti­gen Rund­um­schutz. Denn Mal­wa­re kann auch unab­sicht­lich manu­ell her­un­ter­ge­la­den wer­den. Dies geschieht bei­spiels­wei­se durch Ankli­cken unau­to­ri­sier­ter Links in E‑Mails, durch den Down­load unbe­kann­ter Datei­an­hän­ge oder durch Anzei­gen-Klicks und Datei-Down­loads auf unsi­che­ren Web­sei­ten. Auch bei bekann­ten E‑Mail-Absen­dern ist es rat­sam Vor­sicht wal­ten zu las­sen und nur Datei­en her­un­ter­zu­la­den oder zu öff­nen, deren Inhalt man kennt oder erwar­tet. Etwa durch vor­he­ri­ge Ankün­di­gun­gen oder tele­fo­ni­sche Rück­ver­si­che­run­gen (Nach­fra­gen). Denn es kann durch­aus vor­kom­men, dass E‑Mails von bekann­ten Absen­dern gehackt und zur Viren­ver­brei­tung genutzt werden.

Gegen die­se, durch Men­schen ver­ur­sach­ten Feh­ler, kann sich kein Unter­neh­men mit Viren­pro­gram­men schüt­zen. Die ein­zi­ge Abhil­fe, die hier geschaf­fen wer­den kann ist, Mit­ar­bei­ter und Mit­ar­bei­te­rin­nen auf die Gefah­ren im Umgang mit E‑Mails und dem Inter­net auf­merk­sam zu machen. Durch die­ses Pro­ze­de­re kann erfolg­reich eine ergän­zen­de “mensch­li­che Fire­wall” im Unter­neh­men gebil­det wer­den, die uner­wünsch­ten äuße­ren Angrif­fen stand­hält. Mit inter­nen und räum­lich gebun­de­nen Sicher­heits­schu­lun­gen durch IT-Abtei­lun­gen von Unter­neh­men wer­den Mit­ar­bei­ter in zahl­rei­chen Unter­neh­men bereits erfolg­reich für einen rich­ti­gen Umgang mit Inter­net und E‑Mails sensibilisiert.

Doch auch für klei­ne­re Unter­neh­men ohne ent­spre­chen­de IT, mit­tel­stän­di­sche Unter­neh­men mit meh­re­ren Stand­or­ten oder gar Kon­zer­nen mit schwie­ri­ger Kon­zern­struk­tur kön­nen exter­ne Dienst­leis­ter für mehr Sicher­heit bei Mit­ar­bei­tern sorgen.

Vimeo

Mit dem Laden des Vide­os akzep­tie­ren Sie die Daten­schutz­er­klä­rung von Vimeo.
Mehr erfah­ren

Video laden

Das Modell von Secur­e­point Awa­reness PLUS bil­det als E‑Lear­ning-Platt­form mit viel­sei­ti­gen Lern­mo­du­len und Trai­nings­kur­sen den opti­ma­len Schutz für Unter­neh­men und Mit­ar­bei­ter im Bereich Cyber­se­cu­ri­ty. Secur­e­points Awa­reness PLUS gibt Unter­neh­men wie Mit­ar­bei­tern die Mög­lich­keit auf eine E‑Learning Platt­form zuzu­grei­fen, durch wel­che sie auf die Gefah­ren im IT-Bereich vor­be­rei­tet wer­den. Vor allem im Home-Office ist dies eine sehr güns­ti­ge Lösung. Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter kön­nen zu jeder Zeit auf die Platt­form zuzu­grei­fen und sich wei­ter­bil­den. Zum Ein­stieg bie­tet Secur­e­point ein Erklär­vi­deo auf ihrer Web­sei­te an, wel­ches die Navi­ga­ti­on auf der Sei­te erleich­tert und die Grund­funk­tio­nen vor­stellt. Ent­schei­det sich ein Unter­neh­men für Awa­reness PLUS erhält jeder Mit­ar­bei­ten­de ein eige­nes Pro­fil, wel­ches im zeit­li­chen Ver­lauf der Nut­zung die per­sön­li­chen Lern­fort­schrit­te anzeigt.

Awa­reness PLUS bie­tet regel­mä­ßi­ge Übun­gen im Rah­men von Inva­si­ons-Simu­la­tio­nen. Die­se simu­lie­ren Angrif­fe durch “Phis­hing” und “Spe­ar-Phis­hing”. Damit ist sind zwei gän­gi­ge Metho­den des Hackings gemeint.

Phis­hing bezeich­net das Ver­sen­den einer E‑Mail, mit dem Ziel den Adres­sier­ten dazu zu bewe­gen, pri­va­te Daten zu tei­len. Links inner­halb die­ser E‑Mails kön­nen zu Web­sei­ten füh­ren, die ver­traut aus­se­hen und Log­in-Daten abfra­gen oder das Bestä­ti­gen der eige­nen Mail-Adres­se anfor­dern. Phis­hing-Mails sind meist kein per­sön­li­cher Angriff. Nur sel­ten wer­den kon­kre­te Mit­ar­bei­ten­de aus­ge­sucht, um Hacking-Angrif­fe zu star­ten. Letzt­lich kann es also jeden tref­fen. Die­se Phis­hing-Mails sind in der Regel leich­ter zu erken­nen, da sie kom­plett irrele­van­te The­men beinhal­ten kön­nen. In der Pra­xis sieht das dann so aus, dass bei­spiels­wei­se jemand, der rein gar nichts mit dem Ver­sen­den von Pake­ten zu tun hat, eine E‑Mail erhält, die ihn dar­über infor­miert, dass ein Paket für ihn oder sie ange­kom­men ist. Dies hat also für die betrof­fe­ne Per­son kei­ner­lei Rele­vanz, wes­halb es auch kei­nen Grund gäbe, dem Link in der E‑Mail zu folgen.

Unter Spe­ar-Phis­hing hin­ge­gen wird der bewuss­te Angriff auf kon­kre­te Per­so­nen ver­stan­den. Die Hacker infor­mie­ren sich vor­her über die Anstel­lung oder Inter­net­nut­zung der Ziel­per­son und kre­ieren E‑Mail-Inhal­te oder Absen­der, mit denen die betrof­fe­ne Per­son häu­fi­ger in Kon­takt tritt. So könn­te eine Mit­ar­bei­te­rin in der Buch­hal­tung eine E‑Mail erhal­ten, die vor­gibt von einem Busi­ness-Part­ner zu sein, der zur Bestä­ti­gung eini­ger Bank­da­ten auf­ruft. Sie könn­te einen Link beinhal­ten, der zu einem Online-Ban­king Por­tal führt, wel­ches die Log­in-Daten der Ziel­per­son wider­recht­lich spei­chert und somit den Zugriff auf sen­si­ble Daten des Unter­neh­mens mög­lich macht.

Genau die­sen Vor­gang bil­det auch die Awa­reness PLUS Lösung von Secur­e­point ab. Doch im Unter­schied zum rea­len Spe­ar-Phis­hing sind die Phis­hing-Simu­la­tio­nen von Secur­e­point gänz­lich unge­fähr­lich. Die ein­zel­nen Ergeb­nis­se der Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter wer­den durch anony­me Ser­ver ver­merkt und kön­nen nicht per­sön­lich zuge­ord­net wer­den. Es ist aller­dings mög­lich die indi­vi­du­el­len Lern­fort­schrit­te zu sich­ten. Soll­ten Ange­stell­te auf ver­sen­de­te Phis­hing-Mails rein­fal­len und Log­in-Daten preis­ge­ge­ben haben, wer­den die­se eben­falls nicht gespeichert.

Awa­reness Plus bie­tet zudem eine Rei­he von Lern­mo­du­len und Lern­vi­de­os sowie die Mög­lich­keit, das Gelern­te im Rah­men von bran­chen­spe­zi­fi­schen Vor­la­gen anzu­wen­den. Das geschieht in Form von Quiz­fra­gen, die sich unter ande­rem auf den Arbeits­all­tag bezie­hen. Durch das regel­mä­ßi­ge Abfra­gen des erlern­ten IT-Wis­sens auto­ma­ti­sie­ren sich die Reak­tio­nen Ihrer Mit­ar­bei­ter und die Gefahr von Phis­hing-Angrif­fen wird signi­fi­kant minimiert.

Die Lern­er­fol­ge kön­nen über ein Mana­ger-Por­tal und ein Ana­ly­tics-Dash­board beglei­tet wer­den. So haben Geschäfts­füh­rung, IT-Abtei­lung und oder Human Resour­ces fort­wäh­rend die Mög­lich­keit, die Lern­er­fol­ge ihrer Ange­stell­ten bei Awa­reness Plus nach­zu­voll­zie­hen. Beim Ein­stieg in die Lösung bie­tet Secur­e­point eine über­sicht­li­che Ein­wei­sung in die Ver­wen­dung des Mana­ger-Por­tals und macht es somit mög­lich, dass Awa­reness Plus ohne wei­te­re Vor­kennt­nis­se oder geson­der­te Schu­lun­gen genutzt wer­den kann.

Außer­dem wird durch frei­schalt­ba­re Lern­er­fol­ge die Moti­va­ti­on von Mit­ar­bei­te­rin­nen und Mit­ar­bei­tern gestärkt. Es wer­den Punk­te und Abzei­chen für erfolg­reich abge­schlos­se­ne Lern­ein­hei­ten ver­ge­ben. Schü­ler für ihre Erfol­ge zu beloh­nen ist eine gän­gi­ge Moti­va­ti­ons­stär­kung und auch im Volks­mund als sol­che bekannt. Die­ses Prin­zip ist selbst bei Erwach­se­nen noch sinn­voll, obwohl Beloh­nun­gen dort in ande­rer Form auf­tre­ten soll­ten. Die Bestand­tei­le die­ses Beloh­nungs­sys­tems wer­den häu­fig als Gami­fi­ca­ti­on-Ele­men­te bezeich­net. Doch haben Sti­cker und Stem­pel für die meis­ten Erwach­se­nen kei­nen beson­de­ren Stel­len­wert und unter­stüt­zen die Stei­ge­rung der Eigen­mo­ti­va­ti­on nur sel­ten. Zer­ti­fi­ka­te und Abzei­chen hin­ge­gen kön­nen die­se aber erfolg­reich ersetzen.

Mit Awa­reness PLUS Zer­ti­fi­ka­ten kön­nen Ange­stell­te ihr neu­es Wis­sen nach­hal­tig und dau­er­haft nach­wei­sen. Ähn­lich einer Wei­ter­bil­dung wer­den die Zer­ti­fi­ka­te auch für den eige­nen Lebens­lauf genutzt. Dar­über hin­aus stei­gern Mit­ar­bei­te­rin­nen und Mit­ar­bei­te­rin­nen ihren Lern­le­vel stets und stän­dig. Das Schu­lungs­mo­dell Awa­reness PLUS bie­tet damit den opti­ma­len Schutz von Cyber-Angrif­fen für Geschäfts­füh­rung und Personal.

Die Dienst­leis­tun­gen von Secur­e­point sind auf deutsch und eng­lisch verfügbar.

Ansprechpartner

René Pioch

René Pioch

Ver­triebs­lei­ter Mana­ged IT Services

(030) 747526–394

Medien