Security Awareness ist das Verständnis für die Bedeutung der Informationssicherheit sowie das Wissen und die Maßnahmen, die zum Schutz vor Cyber-Bedrohungen ergriffen werden. Dazu gehört die Aufklärung von Mitarbeitenden und Nutzer:innen über potenzielle Risiken und bewährte Verfahren zum Schutz sensibler Informationen und IT-Systeme vor unbefugtem Zugriff, unbefugter Nutzung, Offenlegung, Störung, Änderung oder Zerstörung.
IT-Schulungen vermitteln unverzichtbares Wissen über IT-Sicherheit und stärken die Sicherheit ihrer IT-Infrastruktur nachhaltig.
Seit Beginn der Corona-Pandemie meldet das FBI einen Anstieg von 300 % von aufgezeichneten Cyberverbrechen. Aus dem BSI-Lagebericht 2022 geht hervor dass täglich über 400.000 neue Schadprogramm-Varianten gezählt werden. Laut statista ist die Infizierung mit Schadsoftware die größte Bedrohung für Unternehmen in der deutschen Wirtschaft. Unterschiedlichste Cyberangriffe auf IT-Systeme, zum Beispiel Phishing- oder Ransomware-Attacken, können existenzielle Konsequenzen für Unternehmen haben. Laut statista betrug die Gesamtschadenssumme 2022 von Cyberangriffen 192 Mrd. Euro. Durch die Nutzung verschiedenster Technologien und persönlicher Geräte in der täglichen Lebens- und Arbeitswelt sind Mitarbeitenden die ersten Opfer von Cyberangriffen und damit die Türöffner in IT-Systeme von UnternehmenWarum ist Cyber Security Awareness wichtig für Unternehmen
Die Chance Opfer eines Cyberangriffs zu werden ist hoch
Cyberangriffe haben existenzielle Konsequenzen
Eine Schwachstelle reicht aus
Es reicht nicht, wenn 70 - 80% der Mitarbeitenden eine ausgeprägte Cyber Security Awareness haben. Eine vollumfängliche IT Security Awareness aller Mitarbeitenden ist unumgänglich für eine nachhaltige Sicherheitsstrategie im Unternehmen.
Was haben Cyberangriffe für Auswirkungen?
Cyberangriffe haben existenzielle Konsequenzen
Cyber-Angriffe können vielseitig sein und dadurch ist nahezu jedes Unternehmen gefährdet. Im folgenden Abschnitt stellen wir Ihnen zwei Beispiele vor was passieren kann, wenn Unternehmen Opfer von Cyber-Angriffen werden.
Im Jahr 2020, während der COVID-19-Pandemie, richtete sich ein Spear-Phishing-Angriff gegen eine Task Force der deutschen Bundesregierung. Die Angreifer schickten E-Mails an die Mitglieder der Task Force, die scheinbar von vertrauenswürdigen Quellen wie Regierungsbehörden oder Gesundheitsorganisationen stammten und Links zu bösartigen Websites oder Anhängen enthielten. Die Angreifer nutzten, die durch den Spear-Phishing-Angriff erlangten Informationen, um sich unbefugt Zugang zum Netzwerk der Task Force zu verschaffen und sensible Daten zu stehlen. Die deutsche Regierung berichtete, dass der Angriff wahrscheinlich von einem ausländischen staatlichen Akteur durchgeführt wurde, obwohl keine spezifische Gruppe öffentlich identifiziert wurde. Der Angriff unterstreicht das erhöhte Risiko von Cyberangriffen in Krisenzeiten und zeigt, wie wichtig es ist, Einzelpersonen und Organisationen für die Cybersicherheit zu sensibilisieren und zu schulen.
Ein aktuelleres Beispiel geschah in der Nacht vom 7. auf den 8. November 2021. Media Markt und Saturn wurden von Opfer eines Cyberangriffes. Dabei ist es den Angreifern gelungen, die Server der MediaMarktSaturn-Holding mit einem Verschlüsselungstrojaneranzugreifen und ein Lösegeld von 50 Mio. US-Dollar zu fordern. Medienberichten zufolge wurde für diesen Angriff die Ransomware Hive verwendet. Obwohl die Märkte geöffnet blieben, waren die Auswirkungen immens: Es konnte nur noch gegen Bargeld verkauft werden, eine Bestellung oder Abholung von Waren war nicht mehr möglich, die Warenwirtschaftssysteme waren betroffen und die Rückgabe von Waren war nur noch persönlich im jeweiligen Markt möglich.
Wir präsentieren Ihnen eine nachhaltige und dauerhafte Lösung, um Ihr Unternehmen vor Cyberangriffen zu schützen. Mit unserem Cyber Security Awareness Angebot ermöglichen wir es Ihnen und Ihren Mitarbeitenden sich allumfassend für IT Security Awareness zu sensibilisieren. In drei Phasen sorgen wir dafür, dass:
95% der Cybersicherheitsprobleme sind durch den Faktor Mensch unbeabsichtigt verschuldet
"World Economic Forum: The Global Risks Report 2022"
Cyberkriminelle nutzen psychologische Tricks um Mitarbeitende zu täuschen zum Beispiel: Zeitdruck, Routine, Dateifreigabe, Neugier, Autoritäten, Hilfsbereitschaft und Angst.
IT-Infrastrukturen und IT-Systeme müssen allumfassend geschützt werden, damit die sensiblen Unternehmensdaten vor Cyberangriffen bewahrt sind.
Es gibt ein stetiges Aufrüsten von technischen Schutzmaßnahmen im IT-Securitymarkt. Wodurch der gleichzeitige Anstieg von Social-Engineering-Angriffen weltweit begründet werden kann. Noch vor 10 Jahren enthielten nur 17% aller Cyberangriffe eine Social Engineering-Komponente. Heute wird die überwiegende Mehrheit aller Cyberangriffe durch Social Engineering vorbereitet. Hierbei wird versucht durch die Beeinflussung des Menschen durch die Forderung nach Hilfsbereitschaft oder unter zeitlichem Druck unüberlegte Dinge zu tun, um dadurch an sicherheitstechnische, sensible und relevante Unternehmensdaten zu kommen.
Die Mitarbeitenden eines Unternehmens werden als vermeintlich schwächstes Glied des IT-Sicherheitskonzepts von Unternehmen ausgewählt und der Cyberangriff wird über selbige vorbereitet und gestartet. Es ist somit nicht verwunderlich, dass einer der Hauptgründe für Unternehmensinformationsverlust die ahnungslosen Mitarbeitenden sind. Wir nehmen Ihre Mitarbeitenden aus der Schusslinie! Mit unserem Cyber Security Awareness Angebot steigern sie nicht nur das Sicherheitsbewusstsein Ihrer Mitarbeitenden in Bezug auf Social Engineering und vielen anderen Cyber Security Themen sondern verankern eine nachhaltige Sicherheitsstrategie in Ihrer Organisation.
Unser Prozess steigert das Sicherheitsbewusstsein nachhaltig und hilft dabei Sicherheitsrichtlinien in Ihrer Organisation zu implementieren. Es ist unumgänglich die Mitarbeitenden nicht als Risiko, sondern als Teil des IT-Sicherheitskonzeptes Ihres Unternehmens zu sehen. Wir vermitteln Ihren Mitarbeiter:Innen, wie Sie Grundinhalte von verschiedenen IT-Sicherheitsthemen berücksichtigen, anwenden und umsetzen. Cyber Security Awareness ist ein Prozess. Für das Thema muss Aufmerksamkeit geschaffen werden, um einen hohen Bekanntheitsgrad bei den Mitarbeiter:Innen zu erreichen. Nur so können Sicherheitsrisiken im Unternehmen nachhaltig reduziert werden.
Gerne möchten wir Ihnen unseren vollständigen Cyber Security Awareness Prozess, der nachhaltig zur Sicherheit Ihres Unternehmens beiträgt skizzieren. Wir starten mit einer Bestandsaufnahme der Ist-Situation „Cyber Security Awareness“ in Ihrem Unternehmen. Anschließend empfehlen wir Workshops, die zur ersten Sensibilisierung aller Mitarbeitenden beitragen. Zur Sensibilisierung können verschiedene Methoden eingesetzt werden. So schafft beispielsweise ein Impulsvortrag für Vorstände und Führungskräfte Aufmerksamkeit an der Unternehmensspitze. Dadurch kann das Bewusstsein der Mitarbeiter:innen nachhaltig gestärkt werden. Darüber hinaus können Online-Kurse oder Präsenzworkshops genutzt werden, um den Mitarbeitenden spezifisches Wissen zum Thema IT-Sicherheit zu vermitteln. Nachfolgend entwickeln unsere Security Experten ein Konzept, auf dem aufbauend weitere Maßnahmen ergriffen werden sollten.
Mit unseren monatlich wiederkehrenden oder einmaligen Leistungen erhalten Sie eine Schulung über Security-Awareness für all ihre Mitarbeitenden. Eine Security-Awareness-Schulung ist eine wichtige Maßnahme zur Verbesserung der IT-Sicherheit in Unternehmen und Organisationen. Solche Schulungen sollen Mitarbeiterinnen und Mitarbeiter auf die Bedeutung von IT-Sicherheit aufmerksam machen und ihnen helfen, sicherheitsrelevante Risiken zu erkennen und zu minimieren. Durch die Schulung von IT-Security-Awareness werden die Mitarbeiterinnen und Mitarbeiter zu einem wichtigen Baustein in der IT-Sicherheitsstrategie des Unternehmens. Sie können dazu beitragen, Sicherheitsrisiken zu minimieren und sensible Daten zu schützen. Eine regelmäßige Auffrischung der Security-Awareness-Schulungsinhalte und eine kontinuierliche Überwachung der IT-Sicherheit sind jedoch ebenso wichtig, um ein hohes Sicherheitsniveau aufrechtzuerhalten. Wir empfehlen Ihnen deshalb unsere monatlich wiederkehrenden Leistungen!
Rundum abgesichert
Die Security Awareness Suite bietet ein umfassendes Security Awareness Training für Ihre Mitarbeitenden. Dabei werden zur Trainingssteuerung verschiedene Automatisierungen in Form der Awareness Engine und der Spear Phishing-Engine eingesetzt. Auf diese Weise werden Mitarbeiter:Innen bedarfsgerecht trainiert, um Cyber-Angriffe sicher zu erkennen und effektiv abzuwehren – ohne, dass sich Administratoren oder CISOs selbst in die zugrundeliegende Psychologie und Didaktik einarbeiten müssen. Die Grundlage des Awareness Trainings bildet ein patentiertes Verfahren zur Messung des Sicherheitsverhaltens aller am Security Awareness-Training teilnehmenden Gruppen und Benutzer. Auf Basis des gemessenen Sicherheitsverhaltens wird die wissenschaftliche Kennzahl Employee Security Index (ESI®) sowie der Trainings KPI berechnet. Die Level der Spear Phishing-E-Mails basieren auf standardisierten Einteilungen: je höher das Level, desto höher der Zeitaufwand eines Angreifers. Die automatisierte Auswahl der Spear-Phishing-E-Mails erfolgt über individuelle Personen-, Abteilungs-, Unternehmens- und Branchen-Szenarien. Sie nutzen, genau wie echte Angreifer, potenziell gefährliche Links, gefälschte Login-Seiten, Makros und verschlüsselte Dateianhänge. Spear-Phishing-E-Mails werden in verschiedenen Schwierigkeitsgraden versandt, bei denen unter anderem hochqualitatives Spear-Phishing mit der Simulation von gefälschtem, internen E-Mail-Verkehr realisiert wird:
Mehr Informationen finden Sie im Datenblatt.
Kombination aus Phishing Training und interaktiven Lernmodul
Dieses Modul kombiniert die zwei angebotenen monatlichen Leistungen von Network Box. Kunden bekommen 2 Phishing Kampagnen und jeweils Reports. In den Reports werden allgemeine Ergebnisse, Schwachstellen und Stärken der Teilnehmenden abgebildet. Sodass Kunden nach Abschluss einen genauen Überblick über nächste to do's haben. Zusätzlich werden Teilnehmende durch das eLearning geschult, müssen Prüfungen ablegen und bekommen bei Erfolg Teilnehmerzertifikate. Im eLearning Modul werden Ihre Mitarbeiter:Innen interaktiv in den Themenbereichen Clear Desk, Passwortmanagement, sicheres Surfen, Phishing und 2-Faktor-Authentifizierung geschult. Sie erhalten außerdem kostenlos Zugriff auf das Browser Plug-In „NB Detector“, welches vor Fake-Webseiten warnt.
Schnelle und einfache Einrichtung und maximale Erfolge
Mit diesem Phishing-Angriffssimulator werden Ihre Mitarbeitenden zur menschlichen Firewall Ihres Unternehmens. Sophos Phish Threat stellt verschiedene Phishing Angriffe nach damit die Schwachstellen Ihres Unternehmens schnell gefunden und angegangen werden können. Durch praxisnahe Trainings werden die Teilnehmenden über die Gefahren von Phishing aufgeklärt und in der Vorbeugung geschult. Inhalte des Awareness Trainings sind:
Das Anti-Phish-Training ist involviert in die cloudbasierte Security-Konsole Sophos Central. Wenn Sie Zugriff auf die Konsole haben, dann können Sie das Phish Threat Training aktivieren, ohne Hardware oder Software zu installieren. Das Sophos Anti-Phish Threat Training ist die marktweit einzige Lösung, die neben Phishing-Simulationen- und Benutzertrainings auch IT-Security für u.a. die Bereiche E-Mail, Endpoint und Mobile bietet.
Video - anpassbare Mails:
Mehr Informationen finden Sie im Datenblatt.
Eine umfassende Keynote zum Thema Cyber Security
Sie erhalten von uns einen IT Security Lagebericht. Wir besprechen nationale und internationale Cyber-Vorfälle, berichten über das Vorgehen der Angreifer und klären über die entstandenen Schäden auf. Wir erzählen Ihnen über klassische Sicherheitstechniken, Herausforderungen und to do’s für das Management und gehen auf den IT-Sicherheitsstatus Ihres Unternehmens ein. Zum Schluss bekommen Sie von uns ausgehend von dem vorangegangen Dialog Handlungsempfehlungen.
Workshop mit anschließendem Grobkonzept
Dieses Modul beinhaltet einen Workshop, der sich die Unternehmensleitung, IT-Leiter, Personal und HR-Leitung, Betriebs- oder Personalrat, Datenschutzbeauftragte, IT-Sicherheitsbeauftragte, Marketing und Unternehmenskommunikation im Unternehmen richtet. Die Auswahl legt Ihre Unternehmensleitung fest. Anhand einer Checkliste wird festgestellt in welcher Situation das Unternehmen hinsichtlich seiner Security Awareness ist. Wir beginnen mit unserer Keynote und sprechen danach über eine Informationsstrategie und betriebliche Sicherheitsrichtlinien. Anhand der Ergebnisse erhalten Sie von uns ein Grobkonzept als Handlungsempfehlung.
Präsenz- oder Online-Workshops für Mitarbeitenden
Der Mitarbeiter Awareness-Workshop basiert auf einer interaktiven Wissensvermittlung. Wir untersuchen Wissensstand der Teilnehmer:Innen und tauschen uns gemeinsam über Erfahrungen aus. Wir sprechen über verschiedene IT-Sicherheitsthemen zum Beispiel E-Mail Security, Endpoint Security, Social Engineering und die Motive der Hacker. Wir geben Ihnen in der Schulung wertvolle Tipps zur Verteidigung von Angriffen und Vermeidung von IT-Ausfällen.
Gerne können Sie alle Bestandteile unserer Leistungen in unserem Datenblatt nachlesen.
Sie sind sich nicht sicher, ob Sie eine einmalige Leistung beziehen möchten oder eine monatlich wiederkehrende Leistung. Unsere Medialine Security Experten beraten Sie, ausgehenden von Ihren Ansprüchen und Anforderungen gerne über die für Sie individuell am besten geeignete Lösung.
Wir helfen Ihnen dabei IT-Sicherheit und damit Cyber Security Awareness in Ihrer Unternehmenskultur fest zu verankern und Ihr Unternehmen nachhaltig sicherer vor äußeren Angriffen zu machen.
"Cyber Security ist ein Prozess. Workshops, Schulungen und Phishing-Mail-Kampagnen sind verschiedene Bausteine, die in einem Prozess im Unternehmen etabliert werden müssen. Erst wenn dieser Prozess vollzogen und eingesunken ist, kann der Schutz auch proaktiv angegangen werden."
Die Beauftragten unterstützen Sie dabei Cyber Security Awareness als Prozess zu definieren und zu implementieren. Wir helfen Ihnen dabei Kampagnen und Trainings zu planen, zu organisieren und durchzuführen. Die Fortschritte der Trainings und Ihrer Mitarbeitenden werden anhand von Reports und Management-Jour-Fixes überwacht und optimiert, damit eine angstfreie Kultur bei der Meldung von Cyber-Angriffen etabliert wird. Der Security-Service unterstützt den bewussten Umgang mit den Gefahren von Cyber-Angriffen. Außerdem beraten wir Management, IT und HR in Sachen IT-Sicherheit und der Entwicklung und Umsetzung von Kampagnen für Ihre Mitarbeiter. Auf Wunsch wirken wir bei der Erfassung und Analyse von IT-Sicherheitsvorfällen mit. Mit der/dem Cyber-Security Awareness Beauftragten können Sie ein wachsendes Bewusstsein für Cyber-Security in Ihrer Organisation schaffen.
Würden Sie einen Angriff erkennen? Schauen Sie sich hier einige Beispiele an, wie Angreifer versuchen uns dazu bewegen auf gefährliche Links zu klicken.
Sie interessieren sich für unser Cyber Security Awareness Angebot? Kontaktieren Sie uns gerne über das Kontaktformular
Cyber Security Awareness bezieht sich auf die Schulung von Individuen und Unternehmen, um sie über Cyber-Bedrohungen und -Sicherheitsmaßnahmen aufzuklären, um ihre digitale Sicherheit zu stärken.
Cyber-Bedrohungen nehmen sowohl in Bezug auf Anzahl als auch auf Schwere zu. Eine erhöhte Cyber Security Awareness kann dazu beitragen, dass Menschen und Unternehmen besser auf mögliche Angriffe reagieren und sich davor schützen können.
Es gibt eine Reihe von Maßnahmen, die man ergreifen kann, um sich vor Cyber-Angriffen zu schützen, wie zum Beispiel:
Die besten Praktiken für Cyber Security Awareness sind:
Das alles bietet unser Cyber Security Awareness Prozess!
Phishing setzt sich aus den englischen Wörtern „password harvesting“ und „fishing“ zusammen. Auch hier wird die Unwissenheit und die Gutgläubigkeit der Mitarbeitenden ausgenutzt. Angreifern sehen hier ebenfalls den Menschen als Einfallstor für Angriffe gegenüber Privatpersonen, Behörden, Institutionen und auch Unternehmen. Fälschlicherweise denken Mitarbeitenden, dass Sie mit vertrauenswürdigen Quellen via E-Mail oder gefälschten Webseiten kommunizieren. Das Ziel der Social Engineering Art Phishing ist es, an Daten und Informationen der Opfer zu gelangen oder Schadsoftware zu installieren.
Der BEC oder auch CEO Fraud ist eine Betrugsmethode, bei denen Angreifer E-Mails versenden, die mit geschäftlichen Inhalten gefüllt sind. Die Empfänger:Innen werden aufgefordert Aktionen durchzuführen, die einen Nutzen für die Angreifer bedeutet und Schäden für die Personen bzw. Unternehmen bedeuten. Scheinbare Versender:Innen sind Mitarbeiter:Innen, Führungskräfte, Partnern, Dienstleistern oder Kunden. Die nicht sensibilisierten Empfänger:Innen geben vertrauliche Unternehmensdaten preis, somit stellt BEC oder CEO Fraud eine Online-Bedrohung mit großen potentiellen Gefahren für finanziellen Schäden dar.
Spear Phishing ist eine Form des Phishing, bei der Angreifer gezielt bestimmte Personen oder Unternehmen anvisieren. Im Gegensatz zum normalen Phishing, bei dem die Angreifer möglichst viele Empfänger erreichen möchten, geht es bei Spear Phishing darum,gezielt bestimmte Personen oder Unternehmen anzugreifen, indem personalisierte Nachrichten oder E-Mails verschickt werden. Diese Nachrichten enthalten oft vertrauliche Informationen über die Zielpersonen, um deren Vertrauen zu gewinnen und sie dazu zu bringen, auf einen Link zu klicken oder Anhänge zu öffnen, die Schadsoftware enthalten.
Vishing ist eine Form des Social Engineering, bei der Angreifer telefonisch Kontakt mit ihren Zielen aufnehmen, um vertrauliche Informationen zu sammeln oder Zugriff auf geschützte Systeme zu erlangen. Im Gegensatz zu Phishing, bei dem Angreifer über E-Mail oder Textnachrichten kommunizieren, nutzen sie beim Vishing die Telefonie. Die Angreifer geben sich als Mitarbeiter:Innen von Banken, Regierungsbehörden, anderen seriösen Institutionen oder IT-Mitarbeiter:Innen aus, um das Vertrauen der Zielperson zu gewinnen und sie dazu zu bringen, ihre persönlichen Daten preiszugeben oder ihre Konten zu öffnen.
