Nachdem viele Unternehmen in diesem Jahr die Remote-Arbeit als festen Faktor eingeführt haben, suchen ihre Sicherheitsteams neue und kreative Möglichkeiten, die Anwender vor neuen Angriffstypen zu schützen. Tatsächlich rechnet fast die Hälfte (48 %) der für den Proofpoint-Bericht Voice of the CISO 2022 befragten CISOs (Chief Information Security Officers) in den nächsten 12 Monaten mit einem schwerwiegenden Cyberangriff gegen ihr Unternehmen.
Wenn Sie Kennzahlen erfassen, um den Erfolg der Security-Awareness-Schulungsprogramme von 2022 zu analysieren, möchten Sie wahrscheinlich wissen, wie Sie Ihre Mitarbeiter auch 2023 effektiv schulen können. Das Security-Awareness-Kit „3 Wochen voller Best Practices für Cybersicherheit für 2023“ von Proofpoint kann Ihnen dabei helfen. Es enthält Materialien, mit denen Sie Ihre Mitarbeiter über einen Zeitraum von drei Wochen zu Cybersecurity Best Practices informieren und schulen können. Die Themen sind:
- Werden Sie kein Ransomware-Opfer
- Bewährte Sicherheitsmethoden für zuhause
- Abwehr von Phishing-Ködern
Ransomware-Angriffe lassen sich nur schwer aufdecken – und können schwerwiegende Konsequenzen haben
Ransomware ist aus gutem Grund auch weiterhin eine der größten Sorgen für Sicherheitsteams. Angreifer verschlüsseln damit nicht nur Dateien und Informationen, sondern verlangen zudem Geld für die Freigabe dieser Daten. Die betroffenen Unternehmen müssen häufig außerdem ihren Betrieb unterbrechen, bis das Ausmaß des Schadens ermittelt wurde. Laut unserem State of the Phish 2022-Bericht hatten 78 % aller Unternehmen im Jahr 2021 mit Ransomware-Angriffen zu tun, und fast 15 Millionen Phishing-E-Mails enthielten Malware-Schaddaten, die nachträglich Ransomware installieren.
Sichere E-Mail-Gateways (SEGs) dienen zur Blockierung schädlicher E-Mails. Allerdings finden Cyberkriminelle immer neue Möglichkeiten, sie zu umgehen, z. B., indem sie Ransomware in mehrphasige Angriffe einbetten, die für herkömmliche Gateways nur schwer zu erkennen sind. Bei mehrphasigen Angriffen kann der ursprüngliche Anhang oder Link harmlos sein, doch die Anwender werden aufgefordert, mit mehreren Assets zu interagieren und auf verschiedene Elemente zu klicken, bevor sie mit Ransomware infiziert werden. Dadurch lassen sich diese Angriffe nur schwer aufdecken.
Wenn ein Ransomware-Angriff das Gateway überwunden hat und in einen Posteingang gelangt ist, muss der Empfänger gut genug geschult sein, um die E-Mail als schädlich zu erkennen. Außerdem muss er die notwendigen Maßnahmen kennen und genug Zeit sowie die Motivation haben, sichere Cyberverhaltensweisen zu befolgen. Deshalb ist es auch so wichtig, einen mehrschichtigen Sicherheitsansatz zu implementieren, der bestmöglichen Schutz für Ihre Anwender garantiert. Nur mit einer Kombination aus Sicherheitsmaßnahmen, Protokollen und Anwenderschulungen können Sie Ihr Unternehmen zuverlässig schützen.
Als Sicherheitsexperte haben Sie die Aufgabe, Ihren Endnutzern die Gefahren von Ransomware zu verdeutlichen und zu zeigen, wie sie diese Angriffe erkennen und das Unternehmen schützen können. Die Endnutzer müssen instinktiv wissen, was sie bei Kontakt mit Ransomware tun sollen, um selbst dann schnell reagieren zu können, wenn sie abgelenkt sind, einen Berg von E-Mails abarbeiten müssen oder übermüdet ihre Nachrichten lesen.
Homeoffice-Arbeit erfordert Schutz vor privaten und geschäftlichen Kompromittierungen
Viele Angestellte verbringen mittlerweile einen erheblichen Teil ihrer Arbeitszeit im Homeoffice. Die meisten von ihnen haben einiges an Zeit und Aufwand investiert, um möglichst ergonomisch, ungestört und konzentriert arbeiten zu können. Aber wie viele haben auch an die Cybersicherheit im Homeoffice, wie etwa die Sicherheit ihrer WLANs und Kennwörter oder an ihre Social-Media-Präsenz gedacht?
Die meisten Menschen verbinden das eigene Zuhause instinktiv mit Sicherheit und Schutz. Kriminelle kennen jedoch verschiedene Angriffsmethoden, deren Erfolg davon abhängt, ob die attackierten Personen die Angriffe erwarten oder erkennen können. Wenn beispielsweise das WLAN-Kennwort schwach ist, kann es leicht erraten und für den Zugriff auf Ihr gesamtes Netzwerk missbraucht werden.
Die meisten Anwender möchten möglichst bequem Filme streamen, Musik hören oder Videogespräche führen und richten ihr WLAN entsprechend ein. Dadurch stehen die Einrichtung eines starken Kennworts, die Deaktivierung der Remote-Verwaltung oder die Aktualisierung der Router-Firmware nicht unbedingt sehr weit oben auf der Prioritätenliste.
Außerdem nutzen Mitarbeiter ihre privaten Geräte häufig zum Abrufen beruflicher Materialien sowie für ihre privaten sozialen Netzwerke. Manche erlauben auch die Nutzung von Laptop oder Tablet durch Familienmitglieder. Wenn ein Anwender auf dem privaten Gerät mit einer schädlichen E-Mail interagiert, kann das zur Kompromittierung von Daten über die persönlichen Informationen hinaus führen und einen Angriff auf das gesamte Unternehmen ermöglichen. Deshalb ist es so wichtig, dass Ihre Endnutzer die notwendigen Schutzmaßnahmen einrichten und sicherstellen, dass ihr Netzwerk sowie ihre Geräte, Konten und Daten sicher geschützt sind. Dann haben Cyberkriminelle beim Hacken kein leichtes Spiel.
Anwenderschulungen zu Phishing-Ködern und ihrer Meldung
Nutzer haben häufig ein hohes E-Mail-Aufkommen und müssen die Nachrichten am Ende eines langen Arbeitstages oder während der gleichzeitigen Arbeit an mehreren Projekten lesen. Das erhöht die Wahrscheinlichkeit, dass sie auf eine Phishing-E-Mail hereinfallen. Böswillige Akteure wissen das und nutzen die Ablenkung mit Social-Engineering-Taktiken aus, um die Mitarbeiter zu schädlichen Aktionen zu verleiten.
Mit emotional aufgeladenen Nachrichten versuchen sie beispielsweise, Gefühle wie Angst, Neugier, Empathie und Gier zu wecken. Diese Emotionen werden auch als „schnelle“ Gefühle bezeichnet, weil sie Menschen dazu bringen, ohne gründliches Durchdenken der Situation schnell zu handeln. Sie verleiten dazu, zu klicken oder eine gewünschte Aktion durchzuführen, bevor der Phishing-Versuch erkannt wird.
Das Hereinfallen auf einen Phishing-Angriff kann auf den ersten Blick wie eine Lappalie erscheinen, in Wirklichkeit aber schwerwiegende Konsequenzen nach sich ziehen und für das Unternehmen zu Datenschutzverletzungen, zur Aufdeckung von Geschäftsgeheimnissen sowie zu finanziellen Verlusten führen. Weitere mögliche Folgen sind gestohlene Daten, Identitätsdiebstahl sowie traumatische Einschnitte in das Privatleben der Anwender.
Sie benötigen daher Mitarbeiterschulungen zu Best Practices der Cybersicherheit, damit Ihre Anwender nicht blind E-Mails vertrauen, deren Aussage vage ist, die starke emotionale Reaktionen auslösen sollen oder Druck aufbauen wollen, um Empfänger zu bestimmten Aktionen zu verleiten. Darüber hinaus müssen alle Mitarbeiter verstehen, dass sie solche Phishing-Mails melden müssen, damit niemand im Unternehmen darauf hereinfällt. Und die Mitarbeiter müssen wissen, dass die Meldepflicht selbst dann besteht, wenn sie die Phishing-E-Mails nicht geöffnet haben.
Werden Sie aktiv: Schützen Sie Ihr Unternehmen im Jahr 2023 mit diesem Kit
Sie können die Cybersicherheitsrisiken nur dann minimieren und Ihr Unternehmen schützen, wenn Ihre Sicherheitsteams mit den Endnutzern zusammenarbeiten und alle sichere Cyberverhaltensweisen befolgen. Damit Ihre Anwender nicht auf gezielte Angriffe hereinfallen, haben wir eine Auswahl kostenloser Ressourcen zusammengestellt, die Ihre Security-Awareness-Schulungen unterstützen und einen starken Start ins Jahr 2023 ermöglichen.
Das Proofpoint-Kit zu den Best Practices für Cybersicherheit ist in ein 3-Wochen-Programm gegliedert:
- Woche 1: Werden Sie kein Ransomware-Opfer
- Woche 2: Bewährte Sicherheitsmethoden für Zuhause
- Woche 3: Abwehr von Phishing-Ködern
Laden Sie das Kit noch heute herunter und nutzen Sie den Leitfaden für den Einstieg, um Ihre wöchentlichen Nachrichten zur Kampagne zu erstellen und Ihre Anwender zu einer starken Verteidigungslinie zu machen – am Arbeitsplatz und zuhause.