Awareness Trainings

You could spend a fortune purchasing technology and services, and your network infrastructure could still remain vulnerable to old-fashioned manipulation.“ – Kevin Mitnick

Grundlegende Frage

Existiert ein Sicherheitsrisiko in einem technischen System, so werden Updates geschrieben, um dieses System sicher zu machen. Wie aber könnte ein sinnvolles Update des Menschen aussehen?

Awarcos Social Engineering Is More Than Phishing

Awareness – mehr als nur Phishing

Die Begriffe Awareness und Social Engineering werden oftmals als Synonym für Phishing angesehen. Wenn es sich bei Phishing-Angriffen nicht um die klassische Variante handelt, sondern beispielsweise um Spear- oder Dynamite-Phishing, ist die initiale Informationssammlung und eigentliche Angriffsphase bereits längst erfolgt.

Gut geplante Angriffe beginnen in der Regel viel früher und an anderer Stelle. Vishing (Telefon-Phishing), Dumpster-Diving oder gezieltes Ansprechen von Personen an öffentlichen Orten könnten solche Informationssammlungsansätze sein.

Das normale Phishing ist ein Streuangriff, welcher sich nicht konkret auf ein Ziel bezieht. In diesem Fall wird eine E-Mail erstellt und an viele bekannte E-Mail-Adressen versendet. Die Angreifer haben bis jetzt noch kein genaues Zeil, es wird lediglich geschaut, wer auf einen Link klickt oder die Datei im Anhang herunterlädt und damit erpressbar wird. Die gängigen internen Phishing-Kampagnen behandeln das Thema Awareness nur bis zu einem sehr geringen Prozentsatz, welcher alleine kaum nachhaltige Awareness erzeugen kann.

Sensibilisierung – Wie geht das?

Wir von Awarcos sind der Auffassung, dass vordergründig Interesse, Bereitschaft sowie Betroffenheit bei den Mitarbeitern vorhanden sein muss. Das Vorhandensein dieser Kriterien wird allerdings nicht ausschließlich durch eine Phishing-Kampagne, noch die anschließende Belehrung, falls beispielsweise auf einen bösartigen Link geklickt wurde, oder ein Online-Awareness-Training ausreichend erzeugt. Ein wirklicher Kulturwandel ist somit schwierig.

Wir haben einen anderen Ansatz entwickelt. Wir wollen die Mitarbeiter nicht durch Anweisungen, sondern durch Verständnis zu einer Security-Awareness-Kultur begleiten. Um dies zu erreichen, sind Präsenzschulungen das beste Mittel.

Eine Präsenzschulung mit interaktiven Inhalten, welche nicht nur auf die Teilnehmer abgestimmt ist, sondern auch von den Teilnehmern größtenteils selbst gestaltet werden kann, ist in unseren Augen der richtige Ansatz. Die Präsenzschulung bildet den Grundbaustein und kann sinnvollerweise durch Online-On-Demand-Trainings ergänzt werden.

Transferwirksamkeit und Nachhaltigkeit

Wenn Menschen ein Verständnis für gewisse Situationen entwickeln, ist die Wahrscheinlichkeit viel höher, dass diese die notwendigen Aktionen zum Schutz von Informationen ausüben. Ebenso fördert es die Nachhaltigkeit. Und darauf kommt es bei einem Kulturwandel wirklich an. Funktionierendes Change-Management, anstatt eines Fehlers des Mitarbeiters mit anschließender Belehrung, wie es bei den gängigen Phishing-Kampagnen der Fall ist.

Wir verfolgen bei unseren Trainings einen Lernprozess der nicht nur deklaratives, sondern auch prozedurales Wissen bei den Mitarbeitern erzeugt. Durch Storytelling werden Fallbeispielen, welche auf die jeweilige Zielgruppe angepasst sind, nachhaltig in den Köpfen der Mitarbeiter gespeichert.

Damit ist es möglich, dass Awareness den Arbeitsalltag nicht einschränkt, aber zeitgleich dafür sorgt, dass in einer Angriffssituation bei den Mitarbeitern ein Auslöser nach dem folgenden Prinzip existiert: „Das habe ich schon einmal gehört/das kenne ich, ich weiß wie ich reagieren muss.“

Interessiert an unserer Awareness-Schulungs-Lösung?
Wir freuen uns auf ein persönliches Gespräch mit Ihnen!




    Ich habe die Datenschutzerklärung gelesen und akzeptiert.

    * Pflichtfeld