Eine Präventivmaßnahme gegen die Ausbreitung des Corona-Virus ist die soziale Distanzierung, z.B. durch Arbeiten im Home Office. Diese Situation birgt, wie wir nun aus wenigen Wochen Erfahrung berichten können, handfeste Herausforderungen. Der Mitarbeiter wird außerhalb der Geschäftsräume auf die Probe gestellt, alle Anforderungen der IT-Richtlinien, IT-Sicherheit, sowie datenschutzrechtliche Pflichten zu erfüllen. Gleichzeitig lauern Fallen, die von Angreifern speziell für diese dezentrale Arbeitssituation entwickelt wurden.

Technische Lösungen wie Anti-Virenscanner und Firewalls arbeiten zuverlässiger und machen es Angreifer schwer sie zu überwinden. Bei der Arbeit im Home Office werden diese Systeme nicht mehr ausreichend genutzt oder gänzlich durch die Unwissenheit von Mitarbeitern umgangen. Darüber hinaus wird diese Unwissenheit für die IT-Sicherheit beim Verlust von Unternehmensinformationen zur klaffenden Wunde. Speziell angelegte Phishing-Attacken verleiten Mitarbeiter, Angreifern Zugriff auf interne IT-Systeme zu gewähren. Laut einer Studie der Wirtschaftsprüfungs- und Steuerberatungsgesellschaft RSM zielen fast 50% der erfolgreichen Cyberangriffe auf unzureichend geschulte Mitarbeiter ab. Somit bildet diese Art von Angriffen die größte Gefahr für Unternehmen in Bezug auf deren IT-Sicherheit.

Phishingmails stellen eine äußerst wirksame Angriffsform dar. Der Begriff beschreibt möglichst realistisch wirkende E-Mails, die das Ziel verfolgen, über Mitarbeiter an Zugänge, allerlei Passwörter, interne Informationen oder Kreditkartennummern zu kommen. Da Mitarbeiter die E-Mail für „echt“ halten und beispielsweise davon ausgehen, dass sie wirklich vom Vorgesetzten stammt, geben sie sensible Daten oft ohne zu zögern weiter.

vimopro hat aufgrund dieses Umstands die Konzepte im Bereich Mitarbeiter-Sicherheitssensibilisierung erweitert und unter anderem eine eigene Phishing-Simulation entwickelt. „Unsere Plattform ist auf die Anforderungen mittelständischer, deutscher Unternehmen angepasst und kann individuelle, scheinbar echte E-Mails an Mitarbeiter versenden. Anschließend kann ausgewertet werden, wie die Personen darauf reagiert haben und ob Inhalte wie Links geklickt wurden.“ so Alexander Jägers, CEO bei vimopro. Somit wird es für Unternehmen einfacher, den aktuellen Sensibilisierungsstand ihrer Mitarbeiter zu prüfen und passende Schulungsmaßnahmen einzuleiten. Das pinocchio getaufte System wird stetig weiterentwickelt und hilft zukünftig genauer zu analysieren auf welchen Kommunikationskanälen Informationen missbräuchlich verwendet werden.

 

Übersicht einer Phishing-Simulation der Empfänger nach dem Versand

Vorlage zum Versand von Phishing-Kampagnen

Übersichtliche Grafiken der Phishing Ergebnisse

 

 

 

 

Bilder: vimopro pinocchio in der Alpha Version

Über die einfache Benutzeroberfläche können Simulationen ohne große Vorlaufzeit entworfen und durchgeführt werden. Somit entsteht ein einfacher Indikator für den Sicherheitsstand und Nachweis für eingeleitete Cyberangriffs-Maßnahmen. Anhand der Ergebnisse kann der Schulungsbedarf der Mitarbeiter ermittelt und zielgerichtete Sicherheitskampagnen entwickelt werden. Darüber hinaus sind echte Daten aus dem eigenen Unternehmen zu Demonstrationszwecken eindringlicher als allgemeine Statistiken. Sie wecken die Aufmerksamkeit der Verantwortlichen und unterstützen die Vorstellung der gemeinsamen Gegenmaßnahmen zur Verhinderung von Sicherheitsvorfällen.

Weitere Informationen zur Sensibilisierung von Mitarbeitern im Bereich IT-Sicherheit…