Das Konzept der Cybersicherheit wird von vielen Menschen als kompliziert empfunden – und als eine Aufgabe, die allein von Sicherheitsteams übernommen wird. Doch den Angreifern sind Rollen oder Teams egal. Sie greifen Mitarbeiter aller Abteilungen und Ebenen an, um auf vertrauliche Daten zugreifen zu können, und sie erreichen häufig ihr Ziel, bevor Sicherheitsteams die Angriffe untersuchen konnten. Es überrascht daher nicht, wenn die National Cybersecurity Alliance (NCA) Folgendes feststellt:
„Es ist wichtig, dass Sicherheitsteams mithilfe von Schulungen gute Cyberverhaltensweisen vermitteln und Mitarbeitern bewusst machen, dass sie beim Schutz des Unternehmens eine aktive Rolle spielen.“
Das Proofpoint-Kit für den diesjährigen Cybersecurity-Awareness-Monat ist auf die wichtigsten von NCA genannten Themen für 2022 abgestimmt und unterstützt Sie dabei, Ihre Anwender über die verschiedenen Arten von Cyberbedrohungen zu informieren. Wir hoffen, dass Ihre Anwender mit den wertvollen Tools zur Erkennung, Abwehr und Meldung von Bedrohungen sichere Cyberverhaltensweisen entwickeln und eine stärkere Verteidigungslinie für Ihr Unternehmen bilden.
Bevor wir auf die diesjährigen Themen eingehen, stellt sich die Frage, warum Sicherheitsbewusstsein relevant und erforderlich ist.
Warum ist Sicherheitsbewusstsein so wichtig?
Angriffe erfolgen zum größten Teil über die Infrastruktur, weil es einfacher und schneller ist, Menschen zu täuschen als in eine Firewall einzudringen oder ein Konto zu hacken. Bedrohungen durchlaufen in jedem Fall den E-Mail-Gateway. Und wenn das geschieht, müssen Anwender die Bedrohungen erkennen und wissen, wie sie darauf reagieren und die Wahrscheinlichkeit einer Kompromittierung reduzieren.
Schulungen zur Sensibilisierung für Sicherheit geben Beispiele für reale Bedrohungen, zeigen Anwendern, wie sie bei einer Bedrohung reagieren sollten, fördern sichere Cyberverhaltensweisen und testen, wie gut Anwender das Gelernte in realen Situationen umsetzen.
Damit Sie sich besser auf den nationalen Cybersecurity-Awareness-Monat vorbereiten können, hat Proofpoint die Leitlinien von NCA befolgt und die folgenden Themen in das diesjährige Kit integriert:
- Verwenden von Multifaktor-Authentifizierung (MFA)
- Erstellen starker Kennwörter
- Aktualisieren von Software
- Erkennen und Melden von Phishing
Verwenden von MFA zum Schutz Ihrer Konten
Bei den meisten Konten sind mehrere Authentifizierungen Ihrer Identität nötig, um sicherzustellen, dass nur Sie auf Ihre Informationen und Systeme zugreifen können. Gängige MFA-Optionen sind zusätzliche Kennwörter, ein physischer Schlüssel (z. B. ein USB-Gerät), biometrische Daten (z. B. Fingerabdruck oder Stimme) oder der GPS-Standort Ihres Geräts.
Abb. 1: Diese Bilder sind Beispiele für gängige MFA-Optionen für die Anmeldung bei Microsoft-Cloud-Konten (Bilder mit freundlicher Genehmigung von der Übersichtsseite zur Microsoft Azure Active Directory-Authentifizierung).
Angreifer wissen, dass MFA sehr sicher und inzwischen weit verbreitet ist, und haben Möglichkeiten gefunden, dies zu umgehen. Sie nutzen sogenannte „Fatigue Attacks“ oder „MFA Bombing“, sobald sie Zugriff auf die Anmeldedaten einer Person erlangen. Die kriminellen Akteure senden mehrere Push-Benachrichtigungen oder MFA-Popups per Telefon oder E-Mail und hoffen, dass der betroffene Anwender es irgendwann leid ist, immer wieder die Anmeldedaten einzugeben und einfach eine gefälschte MFA-Anfrage akzeptiert, um die Nachrichtenflut zu stoppen.
Um Ihre Konten zu schützen, sollten Sie auf ungewöhnliche MFA-Anfragen auf Ihren Geräten achten und stutzig werden, wenn Sie innerhalb kurzer Zeit mehrere solche Anfragen erhalten. Bestätigen Sie MFA-Anfragen nur, wenn Sie versuchen, sich bei Ihren Konten anzumelden. Außerdem sollten Sie einstellen, dass Sie bei verdächtigen Aktivitäten gewarnt werden.
Es mag aufwendig erscheinen, mehrere Codes, biometrische Scanner oder Fingerabdruck-IDs einzugeben und MFA für alle Ihre Konten einrichten und auf legitime MFA-Abfragen reagieren zu müssen. Doch auf diese Weise können Sie Ihre Daten schützen und sicherstellen, dass Sie bei einem Kompromittierungsversuch benachrichtigt werden.
Erstellen starker Kennwörter und regelmäßiges Aktualisieren von Software
Es ist häufig schwer, sich die verschiedenen Kennwörter für die unterschiedlichen täglich genutzten Konten zu merken. Daher ist die Versuchung groß, dasselbe Kennwort für mehrere Plattformen zu nutzen. Hacker verwenden jedoch häufig Open-Source-Websites, die die Eingabe zufälliger Zeichenkombinationen bei beliebigen Konten ermöglichen. Dabei hoffen sie, das jeweilige Kennwort richtig zu „erraten“.
Schwache Kennwörter machen es diesen Websites einfacher, die richtige Kombination früher oder später zu erraten. Und wenn dasselbe Kennwort für mehrere Plattformen verwendet wird, steigt die Wahrscheinlichkeit, dass kriminelle Akteure mit nur einem richtig geratenen Kennwort mehrere Konten kompromittieren können. Wenn Sie starke Kennwörter erstellen, die aus einer Mischung aus verschiedenen Buchstaben, Symbolen und Ziffern bestehen, erschweren Sie Hackern den Angriff.
Das Bild unten zeigt die Unterschiede zwischen einem schwache Kennwort und einem starken Kennwort.
Abb. 2: Das schwache Kennwort enthält keine Kombinationen aus Groß- und Kleinbuchstaben und außerdem ein Geburtsdatum, das mit den entsprechenden Quellen leicht erraten werden kann. Das starke Kennwort enthält eine Mischung aus verschiedenen Zeichen und zufälligen Wörtern.
Schulen Sie Ihre Anwender mit unserem kostenlosen Kit zur Sensibilisierung für Kennwörter zu bewährten Methoden bei Kennwörtern.
Eine weitere Komponente für den Schutz Ihrer Informationen ist die Absicherung Ihrer Geräte durch Software-Updates. Sicherheitsteams sind intensiv damit beschäftigt, Fehler zu suchen, für die Patches installiert werden müssen. In einigen Fällen sind Geräte und Software ohne diese Updates für Angriffe anfällig. Während der Installation von Software-Updates wird Ihr Computer möglicherweise ausgebremst oder es ist ein Neustart erforderlich, der Ihre aktuelle Aufgabe unterbricht. Dennoch ist es wichtig, die Software auf dem aktuellen Stand zu halten, damit Einfallstore verschlossen bleiben und Angreifer nicht auf Ihre Geräte und Konten zugreifen können.
Achten Sie am Arbeitsplatz und zu Hause auf Phishing-Köder
Da viele Angestellte heute remote arbeiten, werden sie von der Vielzahl der Geräte und den konkurrierenden Prioritäten abgelenkt, sodass sie leichter irritiert werden können und auf einen Phishing-Köder klicken. Wenn Ihre Kollegen Phishing erkennen können und wissen, wie sie den Vorfall melden, sinkt das Risiko, dass jemand darauf hereinfällt und das Unternehmen kompromittiert.
Es gibt verschiedene Arten von Phishing-E-Mails und sie versuchen mit immer neuen Social-Engineering-Taktiken, die Anwender zu täuschen. Zu Beginn des Jahres nutzten beispielsweise mehrere Phishing-Kampagnen die Gefühle der Menschen zum Russland-Ukraine-Konflikt aus, indem sie betrügerische E-Mails verteilten, die um finanzielle Unterstützung und Spenden baten.
Betrügerische Spendenaktion für ukrainische Bekleidungswebsite
Abb. 3: Das Bild zeigt eine betrügerische E-Mail, die mit einer fingierten Spendenaktion versucht, an Zahlungsdaten zu gelangen. Dazu nutzte die E-Mail den emotionalen Anreiz, die Ukraine durch den Kauf von Kleidung zu unterstützen.
Mit einer Lösung für Schulungen zur Sensibilisierung für Sicherheit, die Anwender zu realen Bedrohungen schult, steigt die Wahrscheinlichkeit, dass Anwender den nächsten eingehenden Phishing-Köder melden und ihren Beitrag zum Schutz des Unternehmens leisten.
So verwenden Sie das Proofpoint-Kit zum Cybersecurity-Awareness-Monat
Die Sensibilisierung von Anwendern und die Umsetzung dieses Wissens ist für die Minimierung von Cybersicherheitsrisiken unverzichtbar. Um Ihren Anwendern dabei zu helfen, sichere Verhaltensweisen zu entwickeln, haben wir mehrere kostenlose Materialien zusammengestellt, um sie bei der erfolgreichen Nutzung von MFA, der Erstellung starker Kennwörter und der zeitnahen Installation von Software-Updates zu unterstützen. Außerdem bieten wir Schulungen an, damit sie nicht auf Phishing und andere Social-Engineering-Köder hereinfallen. Wir haben unser Kit für ein vierwöchiges Programm mit diesen Themen aufgeteilt:
- Woche 1 (Launch): Erkennen der Vorteile von Sicherheitsbewusstsein und Kennenlernen von MFA
- Woche 2: Verwenden starker Kennwörter
- Woche 3: Aktualisieren von Software
- Woche 4: Erkennen und Melden von Phishing
Nutzen Sie den Leitfaden für den Einstieg, um Ihre wöchentlichen Nachrichten zur Kampagne zu erstellen und Ihren Anwendern zu zeigen, dass sie Teil des Sicherheitsteams sind.
Nächster Schritt: Kit herunterladen
Sicherheitsbewusstsein betrifft alle – nicht nur Sicherheitsteams. Gleichzeitig können die Aktionen jedes Einzelnen entweder das gesamte Unternehmen schützen oder das Unternehmen versehentlich gefährden. Um online geschützt zu bleiben, ist es wichtig, sichere Cyberverhaltensweisen zu entwickeln, auf leiseste Hinweise für verdächtiges Verhalten zu achten und bei einer tatsächlichen Bedrohung richtig zu handeln.
Laden Sie das Proofpoint-Kit für den Cybersecurity-Awareness-Monat herunter und nutzen Sie es. Besuchen Sie außerdem unser Informationsportal für Cybersicherheitsschulungen, um Tipps und Tricks zu erhalten, wie Ihre Anwender zu Helden der Cybersicherheit werden und sowohl auf Arbeit als auch zu Hause online geschützt sind.