Wie sollten die Mitarbeiter in einem Anwenderunternehmen idealerweise von einem externen IT-Security-Dienstleister für Bedrohungen durch Malware – wie etwa Ransomware oder CEO Fraud – sensibilisiert werden? Dieser Frage stellten sich Security-Spezialisten im dritten Teil der Expertenrunde.

Im ersten Teil der Expertenrunde lag der Fokus auf der Frage, was die drei größten Vorteile sind, wenn mittelständische Anwenderunternehmen das Outsourcing ihrer IT-Sicherheitsumgebung umsetzen. Im zweiten Teil ging es um die Services., die ein IT-Security-Dienstleister anbieten sollte. Im abschließenden und dritten Teil rückt die Sensibilisierung der Mitarbeiter im Unternehmen im Mittelpunkt.

„Neben technischen Maßnahmen ist es wichtig die Mitarbeiter mit Security Awareness Trainings zu schulen. Man muss sich nur vorstellen, dass 85 Prozent aller Cyber-Angriffe über den Menschen, und nicht über die Maschine erfolgen“, erklärt Nicolas Leiser, Geschäftsführer der Cyber Samurai GmbH. Aus diesem Grund sei es so wichtig, dass Mitarbeiter Angriffe erkennen und sich richtig verhalten, egal ob dieser per Phishing-E-Mail, per Telefon, QR Code, USB-Stick oder sogar persönlich vor Ort stattfindet. „Dauerhaft richtiges Verhalten wird am besten durch eine Kombination aus kurzen Video-Trainings und Phishing-Simulationen erzielt. Diese sollten langfristig angelegt sein“, so die Erfahrung von Leiser.

Quelle: ESET Deutschland GmbH

Simon Dreyer, Channel Account Manager MSP bei der ESET Deutschland GmbH

„Die Bedeutung von Security Awareness wächst von Tag zu Tag“, so schätzt Simon Dreyer die Entwicklung ein. Für den Channel Account Manager MSP bei der ESET Deutschland GmbH zeichnet sich ab, dass Cyber-Kriminelle immer mehr Social Engineering-Angriffe nutzen, um über die Schwachstelle Mensch ans Ziel zu kommen. „Aus diesem Grund ist es wichtig, dass Schulungen regelmäßig, praxisnah und in Workshop-Form erfolgen. Der klassische ‚Frontalunterricht‘ hat ausgedient und selten den gewünschten Erfolg gebracht“, so Dreyer weiter.

Thematisch habe sich auch vieles verändert. Während früher „nur“ die Angriffswege von Malware und Exploits erklärt wurden, kommen nun auch die Themen „Angriffsvektor Mitarbeiter“ und Technikwissen hinzu. „Nur wer sein Rüstzeug, zum Beispiel die Sicherheitslösung, besser versteht und die Grenzen kennt, kann auch in der Praxis richtig reagieren. Immer attraktiver werden auch Online-Schulungen, die ansprechend und informativ die Mitarbeiter für Cyber-Gefahren sensibilisieren.“

Für den Geschäftsführer & Founder von Indevis, Wolfgang Kurz, gilt die Sensibilisierung der Mitarbeiter als ein nicht zu vernachlässigender Teil der Security-Strategie eines Unternehmens: „Sie muss kontinuierlich passieren und sollte die unterschiedlichsten Facetten von Angriffen beleuchten. Bei steigender Bedrohungslage ist es empfehlenswert, noch spezifischer zu informieren. Hierbei obliegt die grundsätzliche Sensibilisierung der Mitarbeiter meist dem Unternehmen, während die Aufgabe eines Managed Security Service Providers dediziert die Warnung vor speziellen Bedrohungen ist.“

Quelle: DCSO

Stefan Steinberg, Director Cyber Defense bei der DCSO

Auch bei Stefan Steinberg, Director Cyber Defense bei der DCSO, steht die Regelmäßigkeit im Vordergrund: „Hier hilft leider nur regelmäßiges Training mit automatisierten Phishing-Simulation-Produkten. Keine Schulung ersetzt den Schockmoment, wenn sich die weitergeleitete E-Mail als Phishing herausstellt. Die Häufigkeit der Übungen macht viel aus, einmal im Monat sollte es schon sein.“

Die Risikobewertung der Mitarbeiter ist für Robert Korherr, Geschäftsführer der ProSoft GmbH, oftmals die letzte Hürde, falls technischen Maßnahmen überwunden wurden: „Bei unseren Kunden haben sich organisatorische Maßnahmen, wie regelmäßig durchgeführte Sicherheitsschulungen und die Etablierung obligatorischer Verhaltensregeln, für Mitarbeiter als äußerst wirksame Maßnahmen zur Abwehr vieler Bedrohungsszenarien gezeigt. Die dadurch erlernte Wachsamkeit und Skepsis ist zudem gegen Zero-Day-Malware sehr wirkungsvoll.“

Quelle: WatchGuard Technologies

Michael Haas ist Regional Vice President Central Europe bei WatchGuard Technologies

Dagegen sieht Michael Haas, Regional Vice President Central Europe bei WatchGuard Technologies, die persönlichen Schulungen oder Online-Trainings anfangs als sinnvolle Aktivitäten, um grundsätzlich für das Thema und die vielfältigen Gefahren zu sensibilisieren: „Hier spielen Verständlichkeit und Praxisbezug eine entscheidende Rolle. Aber gerade auch spezifische Hinweise mit direktem Bezug zum aktuellen Handeln sind äußerst konstruktiv. So hat WatchGuard bei der Lösung ‚DNSWatchGO‘ beispielsweise Schutz und Aufklärung unter einen Hut gebracht. Sobald ein Anwender auf einen als schädlich eingestuften Link klickt, wird die Verbindung zur verdächtigen Domain nicht nur unterbunden, sondern direkt zu einem interaktiven Video umgeleitet, das die Warnzeichen eines Phishing-Angriffs nochmal betont.“

Rainer Huttenloher

Teilnehmer an der Diskussionsrunde:
Simon Dreyer, Channel Account Manager MSP bei der ESET Deutschland GmbH
Michael Haas, Regional Vice President Central Europe bei WatchGuard Technologies
Nicolas Leiser, Geschäftsführer von Cyber Samurai GmbH
Robert Korherr, Geschäftsführer der ProSoft GmbH
Wolfgang Kurz, Geschäftsführer & Founder Indevis
Stefan Steinberg, Director Cyber Defense bei der DCSO – Deutschen Cyber-Sicherheitsorganisation

Cyber Samurai GmbH
DCSO – Deutschen Cyber-Sicherheitsorganisation
ESET Deutschland GmbH
Indevis
ProSoft GmbH
WatchGuard Technologies