WebCampus auf der LEARNTEC 2020

E-Learnings für Cybersicherheit-Trainings: Darauf kommt es an

Donnerstag, 28. November 2019 - Kategorie: Tipps & Tricks

Datenschutz und Datensicherheit spielen in Unternehmen zunehmend wichtigere Rollen. Vor dem Hintergrund der DSGVO, der neuen Datenschutz-Grundverordnung, aber auch weil Firewalls und Antivirenprogramme längst nicht ausreichen, um sensible Daten zu schützen. Angriffe von Cyberkriminellen spielen dabei ebenso eine Rolle wie der Faktor Mitarbeiter. Doch wie wecken Sie dieses Bewusstsein in Ihrer Belegschaft und welche Inhalte sind wichtig? Hier erfahren Sie es.

E-Learnings für Cybersicherheit-Trainings: Darauf kommt es an

Schadsoftware gelangt oft durch unachtsames Verhalten der Mitarbeiter übers Netz auf die Rechner der Anwender. Sie müssen Ihr Team daher für die Bedeutung der Datensicherheit sensibilisieren, um Ihr Unternehmen vor hohen finanziellen Verlusten zu schützen – und davor, Ihr Renommee zu verlieren, weil sensible Daten in die falschen Hände geraten sind. Wir verraten Ihnen die wichtigsten Inhalte Ihres Cybersicherheit-Trainings.1

E-Mail-Sicherheit

E-Mail ist längst das vorherrschende Kommunikationsmittel und das virtuelle Postfach meist voller als der Briefkasten an der Firmentür. So schnell und einfach Sie über E-Mail kommunizieren, so gefährlich kann es sein. Gerade weil die elektronische Post so selbstverständlich geworden ist, vernachlässigen viele die elementarsten Sicherheitsvorkehrungen. Zu diesen zählen:

  • ein Spam-Filter
  • ein Antivirenprogramm, das auch E-Mails und Anhänge checkt
  • die kritische Überprüfung von Links und Anhängen – auch von vertrauensvollen Absendern

Werden diese einfachen Sicherheitsfeatures missachtet oder nicht regelmäßig aktualisiert, können Malware, Viren und Co. ungehindert auf die Rechner der Mitarbeiter gelangen, Daten ausspionieren oder automatisiert Spam-E-Mails an alle Einträge aus dem Adressbuch versenden. Dann erhalten Ihre Kunden womöglich schlüpfrige E-Mails von Ihrem Vertrieb.
In diesem Zusammenhang steht auch die kritische Prüfung der Absender einer E-Mail und der Inhalte. Phishing-E-Mails werden immer professioneller, lassen sich jedoch mit einigen einfachen Regeln ziemlich genau erkennen. Auf betrügerische E-Mails von scheinbar vertraulichen Absendern deuten etwa diese Faktoren hin:

  • Rechtschreibfehler
  • unpersönliche Anrede
  • Bitte um persönliche Informationen wie PINs, TANs oder Passwörter 

Selbst wenn der Absender bekannt ist, kann es sich um eine Phishing-Mail handeln. Business Email Compromise (BEC) nennt sich die Methode, mittels Identitätsdiebstahl Informationen einzuholen oder finanzielle Transaktionen zu tätigen.Der Angreifer erstellt eine E-Mail-Adresse, die einer echten aus dem Unternehmen täuschend ähnlich ist, oder agiert gleich mit der Identität des vermeintlichen Absenders. Sensibilisieren Sie Ihre Mitarbeiter, sich vor der Weitergabe von Informationen oder einer Überweisung die persönliche Legitimation des angeblichen E-Mail-Versenders einzuholen – indem sie zum Hörer greifen und ihn anrufen oder in dessen Büro vorbeigehen.

Physische Sicherheit: Die Gefahr lauert im Büro

Cyberkriminalität und Verletzungen des Datenschutzes sind nicht auf den Computer begrenzt. Sie beginnen oftmals direkt am Schreibtisch. Mitarbeiter, die Ihre PCs in der Mittagspause ohne Passwortschutz einfach angeschaltet lassen, Passwörter offen sichtbar auf der Ablage notieren oder nicht darauf achten, wer sich Zutritt zum Gebäude verschafft, können Kriminellen Tür und Tor öffnen. Da genügt es schon, wenn kein Fremder, sondern ein unautorisierter Mitarbeiter sich Zugriff auf sensible Informationen verschafft. Denken Sie an den Kollegen, der gekündigt hat und zur Konkurrenz wechselt.

Sicherheitstrainings für den Cyberschutz sollten daher diese Informationen unbedingt transportieren:

  • Aktivieren Sie bei jedem Verlassen Ihres Schreibtischs einen Passwortschutz auf Ihrem Rechner.
  • Notieren Sie keine Passwörter oder sensible Kunden- oder Patientendaten.
  • Verschaffen Sie unbekannten Personen keinen Zutritt zum Gebäude.
  • Fragen Sie bei Zweifeln nach und lassen Sie sich die Autorisierung zeigen.

Malware: eine Gefahr für alle computergesteuerten Einheiten 

Malware ist Schadsoftware, die auf Computern, Tablets und Smartphones sowie computergesteuerten Anlagen installiert werden kann. Einmal installiert, greift das Schadprogramm Daten ab oder verwendet den Computer als Bot für gezielte Angriffe auf ein Netzwerk.3 Dann versendet etwa der befallene Computer als Teil eines riesigen Bot-Netzwerks Millionen und Abermillionen Spam-E-Mails – und ist für nichts anderes mehr zu gebrauchen. Auch in der Produktion kann eine von Malware befallene computergesteuerte Anlage herbe Verluste bescheren, sie gar zum Stillstand bringen. Außerdem könnten vertrauliche Firmeninterna von einer Spionagesoftware ausgespäht werden. Einen von Malware befallenen Rechner zu erkennen, ist daher essenziell für jedes Cybersicherheit-Training. Vorsicht ist angesagt, wenn:

  • der Rechner langsamer ist als gewohnt,
  • häufig abstürzt,
  • Pop-ups und Fenster sich ohne äußeren Einfluss öffnen.

Malware kann durch Downloads von nicht vertrauenswürdigen Quellen aus dem Internet heruntergeladen werden – etwa im Gefolge vermeintlich hilfreicher Tools, aber auch via E-Mail versendet werden. Sensibilisieren Sie Ihre Mitarbeiter für diese Gefahren und halten Sie sie dazu an, den installieren Virenscanner stets zu aktualisieren.

Social Media und vertrauliche Daten – eine toxische Kombination

Social Media ist nicht gerade das Medium, dem Sie sensible Daten anvertrauen sollten. Das ist nicht jedem bewusst. „Auf meine Daten haben doch nur meine Kontakte Zugriff“ – dieser Ausspruch dürfte Ihnen bekannt vorkommen. Aber gewiefte Cyberkriminelle kommen sehr wohl auch an Daten, die Sie eigentlich nicht der ganzen Welt mitteilen wollten. Auf Ihrer Unternehmenswebsite veröffentlichen Sie natürlich öffentlich zugängliche Informationen – als Teil Ihrer Social-Media-Marketingstrategie. Seien Sie jedoch überaus vorsichtig mit Firmeninterna und schulen Sie auch Ihre Mitarbeiter darin, auf ihren privaten Profilen keine Informationen über Ihre Firma zu verbreiten.

Mobility und die Gefahr von BYOD

BYOD – bring your own device oder auch „nutzen Sie Ihre eigenen Geräte“ setzt sich in Zeiten zunehmender Mobilität immer mehr durch. Unternehmen sparen letztendlich Geld, wenn die Belegschaft das eigene Notebook verwendet. Damit sie ungehindert arbeiten können, müssen jedoch meist Netzwerkinstallationen vorgenommen werden, die Zugriff auf das Intranet oder andere interne Bereiche gewährleistet. Und hier kann es gefährlich werden.
Es reicht schon, wenn auf den privaten Rechnern kein oder kein aktuelles Antivirenprogramm installiert ist oder die Mitarbeiter sich in einem öffentlichen, ungeschützten WLAN ins Firmennetzwerk einloggen. Auch im Homeoffice lauern Gefahren, etwa wenn ein Familienmitglied auf den auch beruflich genutzten Rechner unbeabsichtigt Schadsoftware lädt. Außerdem können Geräte verloren oder gestohlen werden – sind sie nicht mit einem starken Passwort gesichert, gelangen sensible Daten womöglich in kriminelle Hände. Auschließen können Sie die genannten Szenarien kaum, denn es liegt nicht in Ihrer Hand, wie Ihre Mitarbeiter mit ihren privaten Rechnern umgehen. Sie können Sie dafür sensibilisieren oder auf BYOD ganz verzichten.


Quellen:
  1. What To Include In Your Company’s First Security Training
  2. Business E-Mail Compromise (BEC)
  3. So schützen Sie sich vor Botnet- und DDoS-Angriffen

E-Learning Newsletter

Wir informieren Sie quartalsweise über aktuelle Themen und Trends im E-Learning.

Newsletter Anmeldung

E-Learning Feed

Abonieren Sie unseren RSS Feed

Archiv

WebCampus

Heimat Deines Wissens.

Alphabrik GmbH
Telefon: +49 (0) 40 30 20 803 0
Telefax: +49 (0) 40 30 20 803 99

Mitglied im BITKOM e.V.

Innovationspreis IT - Best of 2016
WebCampus made and hosted in Germany
DIQP Service Qualität 2017 / 2018: sehr gut
Kontaktieren Sie uns

Sie finden uns auch auf:

© 2017 Alphabrik GmbH