Trainierte Mitarbeitende stärken Cyberabwehr

Die überwältigende Mehrheit der gezielten Cyber­attacken beginnt mit einer E-Mail – der «Data Breach Investigations Report 2019» von Verizon spricht von 94 Prozent. Umso wichtiger ist es, dass alle Mitarbeitenden, die mit E-Mail zu tun haben, auf die Risiken beim Umgang mit der elektronischen Post achten. Dazu müssen sie umfassend gegen Cybergefahren geschult werden, und zwar nicht nur einmal, sondern laufend und wiederholt. Denn die für solche Angriffe genutzten Phishing-Kampagnen kommen immer wieder in neuem und individuellerem Kleid daher und die Phishing-E-Mails sehen immer echter aus.

Eine einmalige Sicherheitsschulung genügt selbstverständlich nicht, um der ständigen Evolution der verschiedenartigen Cyberangriffe zu begegnen. Viele Sicherheitsspezialisten bieten deshalb spezielle Lösungen für das Security-Awareness-Training an, mit denen automatisierte Trainingskampagnen individuell definiert und dann intern oder extern durchgeführt werden können.

Dabei erhält jeder Mitarbeitende eine Schulung und wird mittels simulierter Phishing-E-Mails auf die korrekte Re­aktion auf Phishing-Kampagnen hin trainiert. Nicht bestandene Trainingseinheiten werden automatisch wiederholt. Für alle Mitarbeitenden oder pro Abteilung können individuelle Trainingseinheiten definiert werden. Zum Abschluss jeder Trainingseinheit wird das angeeignete Wissen mit einem Quiz getestet. Im Rahmen der simulierten Phishing-Kampagnen lässt sich zusätzlich das Verhalten der Mitarbeitenden prüfen. So lassen sich die trainierten Mitarbeitenden mehr und mehr zur echten Verteidigungslinie gegen Cyberangriffe aufbauen.

Beispielsweise bietet E-Mail-Security-Spezialist Proofpoint mit PSAT eine bestens bewährte Security-Awareness-Trainings-Plattform für Unternehmen ab einer Grösse von 150 bis zu Tausenden von Mitarbeitenden an. Vor Kurzem ist die speziell auf KMU zugeschnittene Lösung PE-SAT (Proofpoint Essentials – Security Awareness Training) hinzugekommen. Mit kurzen und dank Elementen wie Demos, Games und Wettbewerben durchaus unterhaltsamen Trainingsmodulen zu allen wichtigen Aspekten der Cybersecurity ermöglichen beide Plattformen ein umfassendes Security-Aware­ness-Training.

Die Anwender erhalten Schulungen zu Themen wie sichere Passwörter, schädliche Attachments, unsichere URLs oder Anfragen zur Preisgabe sensibler Daten. Dazu kommen ausgefeilte Phishing-Simulationen auf der Basis realistischer und laufend aktualisierter Vorlagen, mit denen die korrekte Reaktion auf Phishing-Kampagnen getestet und trainiert wird. Die Vorlagen lassen sich für ein besonders realistisches Bild anpassen oder von Grund auf neu erstellen – zum Beispiel, um auf gefälschte E-Mails im CI des Unternehmens hin zu trainieren.

Fällt ein Anwender auf eine Phishing-E-Mail herein, erhält er unmittelbar relevante Hinweise dazu, was schiefgelaufen ist. So kann er die Gefahren eines echten Angriffs besser einschätzen. Bei der Definition der Phishing-Kampa­gne lässt sich darüber hinaus festlegen, dass der betroffene User bestimmte weitere Trainings absolvieren muss.

PSAT und PE-SAT informieren auch über die Schwachpunkte und Verhaltensweisen der Mitarbeitenden. Die entsprechenden Berichte sind interaktiv über eine Weboberfläche zugänglich und zeigen anhand der Reaktionen auf die Phi­shing-Simulationen und der Resultate der Trainingsmodule den individuellen Fortschritt der Anwender auf. Die gewonnenen Erkenntnisse lassen sich an die jeweiligen Verantwortlichen weiterleiten, exportieren und im Detail analysieren sowie punkto Kennzahlen mit anderen Sicherheitsvorfällen vergleichen.

Die auf KMU zugeschnittene Lösung PE-SAT eignet sich für Unternehmen mit 1 bis 200 E-Mail-Nutzern. Sie lässt sich allein oder als Ergänzung zur E-Mail-Security-Lösung Proofpoint Essentials einsetzen. Die Lösung basiert im Kern auf der gleichen Technologie wie PSAT.

Im typischen KMU fehlen oftmals die Ressourcen für den detaillierten Aufbau eines Schulungsprogramms für die Informatiksicherheit. Meist ist die Unterstützung eines Fachhändlers, Security-Spezialisten oder Systemhauses gefragt. PE-SAT ist als SaaS-Lösung mandantenfähig und ermöglicht es den IT-Partnern, ihren KMU-Kunden bei der Einrichtung der Plattform für ihr Unternehmen individuell behilflich zu sein. Inkludiert sind die Planung und Definition der Schulungskampagnen sowie die Gestaltung einer möglichst realistischen Phishing-Simulation.