IT-Security Mai/Juni 2023

IT SECURITY | 47
security awareness trainings
UNWISSENHEIT SCHÜTZT NICHT
VOR CYBERATTACKEN
Autofahren und IT-Sicherheit haben mehr gemeinsam, als es auf
den ersten Blick scheint. In beiden Fällen schützen technologische
Maßnahmen vor schweren Unfällen oder deren Folgen.
Die Realität führt uns aber tagtäglich vor Augen, dass wir Menschen
ebenfalls eine zentrale Rolle spielen, wenn es darum
geht, Unfälle zu vermeiden. Ein vergessener Schulterblick, ein
falsch eingeschätzter Abstand und schon kracht es. Richtiges
Verhalten im Straßenverkehr lernen wir in der Regel in der Fahrschule,
aber richtiges Verhalten im digitalen Raum?
Das vorliegende Whitepaper beschäftigt sich mit der Frage,
welche Rolle Mitarbeitende beim Thema IT-Sicherheit spielen
(Spoiler: eine sehr wichtige) und wie E-Learnings helfen, das
Bewusstsein der Menschen für einen sicheren Umgang mit der
IT zu verbessern.
IMPRESSUM
Geschäftsführer und Herausgeber:
Ulrich Parthier (08104-6494-14)
Chefredaktion:
Silvia Parthier (-26)
Redaktion:
Carina Mitzschke (nur per Mail erreichbar)
Redaktionsassistenz und Sonderdrucke:
Eva Neff (-15)
Autoren:
Uwe Gries, Clemens Güter, Raphael Kelbert,
Carina Mitzschke, Silvia Parthier, Ulrich Parthier,
Jannik Pewny, Dirk Reimers, Timo Sablowski,
sMarkus Scharra, Michael Veit, Sebastian Weber
Anschrift von Verlag und Redaktion:
IT Verlag für Informationstechnik GmbH
Ludwig-Ganghofer-Str. 51, D-83624 Otterfing
Tel: 08104-6494-0, Fax: 08104-6494-22
E-Mail für Leserbriefe: info@it-verlag.de
Homepage: www.it-daily.net
Alle Autoren erreichen Sie über die Redaktion.Wir reichen
Ihre Anfragen gerne an die Autoren weiter.
Manuskripteinsendungen:
Für eingesandte Manuskripte wird keine Haftung übernommen.
Sie müssen frei sein von Rechten Dritter. Mit der Einsendung
erteilt der Verfasser die Genehmigung zum kostenlosen
weiteren Abdruck in allen Publikationen des Verlages. Für
die mit Namen oder Signatur des Verfassers gekennzeichneten
Beiträge haftet der Verlag nicht. Die in dieser Zeitschrift
veröffentlichten Beiträge sind urheberrechtlich geschützt.
Übersetzung, Nachdruck, Vervielfältigung sowie Speicherung
in Datenverarbeitungsanlagen nur mit schriftlicher Genehmigung
des Verlages. Für Fehler im Text, in Schaltbildern,
Skizzen, Listings und dergleichen, die zum Nichtfunktionieren
oder eventuell zur Beschädigung von Bauelementen
oder Programmteilen führen, übernimmt der Verlag keine
Haftung. Sämtliche Veröffentlichungen erfolgen ohne Berücksichtigung
eines eventuellen Patentschutzes. Ferner werden
Warennamen ohne Gewährleistung in freier Verwendung
benutzt.
WHITEPAPER
DOWNLOAD
Das Whitepaper umfasst
11 Seiten und steht kostenlos
zum Download bereit.
www.it-daily.net/Download
INHALT
➤ Unwissenheit schützt nicht
vor Cyberattacken
➤ Aktuelle Bedrohungslage:
Attacken im Sekundentakt
➤ Schwachstelle Mensch
➤ Die Rolle des Menschen
bei der IT-Sicherheit
➤ Security Awareness Trainings
➤ Mehr Aufmerksamkeit dank
E-Learning
➤ Gleiches Wissen für alle
➤ Warum Storytelling
den Lernerfolg verbessert
WHITEPAPER • SECURITY AWARENESS TRAININGS
UNWISSENHEIT SCHÜTZT
NICHT VOR CYBERATTACKEN
Mit Security Awareness Trainings das Bewusstsein für Cyberrisiken
verbessern und Unternehmen vor Angriffen schützen
Autofahren und IT-Sicherheit haben mehr gemeinsam, als es
auf den ersten Blick scheint. In beiden Fä len schützen technologische
Maßnahmen vor schweren Unfä len oder deren Folgen.
Beim Auto sind es Airbags, Gurte oder Bremsassistenten,
bei Computern und Netzwerken Endpoint Protection, Firewa l
und Back-ups. Aber die Realität führt uns tagtäglich vor Augen,
dass wir Menschen ebenfa ls eine zentrale Ro le spielen, wenn
es darum geht, Unfä le zu vermeiden. Ein vergessener Schulterblick,
ein falsch eingeschätzter Abstand und schon kracht es.
Richtiges Verhalten im Straßenverkehr lernen wir in der Regel
in der Fahrschule, aber richtiges Verhalten im digitalen Raum?
Das vorliegende Whitepaper beschäftigt sich mit der Frage,
welche Ro le Mitarbeitende beim Thema IT-Sicherheit spielen
(Spoiler: eine sehr wichtige) und wie E-Learnings helfen, das
Bewusstsein der Menschen für einen sicheren Umgang mit der
IT zu verbessern.
AKTUELLE
BEDROHUNGSLAGE:
ATTACKEN IM
SEKUNDENTAKT
Die vergangenen Jahre haben uns eindrücklich vor Augen
geführt, wie fragil die IT-Sicherheitslage ist – nicht nur in
Deutschland, sondern weltweit nutzten Cyberkriminelle die
Verunsicherung der Menschen infolge der Corona-Pandemie
aus. Laut einer Bedrohungsanalyse von G DATA CyberDefense
stieg die Zahl der abgewehrten Angriffsversuche im vierten
Quartal 2021 um 25 Prozent – im Vergleich zum dritten Quartal.
Das zeigt: Cyberkriminelle haben schnell erkannt, dass die
Homeoffice-Situation neue Schwachstellen mit sich bringt.
Und diese nutzen sie aus. Ebenso wie andere Schwachstellen:
Kritische Sicherheitslücken, fehlende Updates oder unvorsichtige
Angestellte stehen meist am Anfang einer erfolgreichen
Attacke.
3
4
SECURITY AWARENESS
TRAININGS
WIE ONLINE-KURSE UND SPIELERISCHE
ANSÄTZE DEN LERNERFOLG STEIGERN
Auffä lig ist, dass Cyberkrimine le auf bewährte Schadsoftware
setzen, die zum Teil schon seit mehreren Jahren im Einsatz ist,
aber ständig weiterentwickelt wird. Wie groß die Gefahr ist, belegen
folgende Zahlen:
၉ Mehr als 23,7 Mio. verschiedene Malware-Samples
entdeckten die Cyber-Defense-Experten von G DATA.
၉ Gegenüber dem Vorjahr ist dies ein Anstieg von
47 Prozent.
၉ Pro Minute veröffentlichten Cyberkrimine le 45 neue
Versionen einer Schadsoftware.
WHITEPAPER • SECURITY AWARENESS TRAININGS
SCHWACHSTELLE
MENSCH
Eine aktue le Umfrage bei mittelständischen Unternehmen von
G DATA belegt: Kleinen und mittleren Unternehmen – beziehungsweise
deren Mitarbeitenden – fehlt ein ausreichendes Bewusstsein
für Cybergefahren. Sie sehen sich trotz der immens
gestiegenen Bedrohungslage selbst nicht als interessante Ziele
für Cyberkrimine le. Die Folgen dieser Fehleinschätzungen
sind fatal und führen dazu, dass sich die Unternehmen unzureichend
gegen Angriffe schützen und IT-Sicherheitsvorfä le sie
umso härter treffen.
Fehlendes Bewusstsein und der Mangel an nötigen Ressourcen
stehen den befragten Unternehmen massiv im Weg. Rund ein
Viertel der befragten KMU geben als Grund an, dass ihr Unternehmen
kein interessantes Angriffsziel für Cyberkrimine le sei.
Eine Umfrage des Kriminologischen Forschungsinstitutes Niedersachsen
kommt zu dem Ergebnis, dass 74 Prozent der Malware-Attacken
mit einer Phishing-Mail starten. Ein falscher
Klick eines Mitarbeitenden reicht aus und das Unheil nimmt
seinen Lauf. Diese Nachrichten enthalten oft einen schädlichen
Dateianhang oder einen Link zu einer Webseite, über die
Schadcode ausgeliefert oder vertrauliche Daten „abgefischt“
werden. Die Folgen können die Existenz jedes Betriebes bedrohen.
Zum finanzie len Schaden durch den tage- oder wochenlangen
Produktionsausfa l gese lt sich auch der Imageschaden,
wenn vertrauliche Kundendaten wie Login-Information oder
Zahlungsdaten in die Hände Dritter geraten.
Welche Folgen das Fehlverhalten eines einzelnen Mitarbeitenden
haben kann, zeigt folgendes Beispiel: Im Februar 2020 legte
eine Cyberattacke den Betrieb des Elektrogroßhändlers Möhle
in Münster drei Wochen lang lahm. Ein Mitarbeiter hatte einen
mit Schadsoftware infizierten E-Mail-Anhang geöffnet, sodass
die Angreifer auf das Netzwerk zugreifen und es verschlüsseln
konnten. Sämtliche Bildschirme im Unternehmen wurden
weiß und zeigten nur noch einen Warnhinweis. Erschwerend
kam hinzu, dass das Unternehmen aufgrund eines Fehlers im
Backup-System seine Daten nicht einfach wiederherste len
konnte. Die Firma sah sich gezwungen – entgegen dem Ratschlag
der Kriminalpolizei – mit den Tätern zu verhandeln. Am
Ende musste Möhle 120.000 Euro Lösegeld zahlen. Ohne diese
Zahlung hätten sie keinen Zugriff auf die Daten erhalten, was
die Existenz des Unternehmens gefährdet hätte.
Dass Phishing ein einfacher und beliebter Angriffsvektor für Cyberkrimine
le ist, führt auch bei vielen Angeste lten zu Verunsicherung.
Das belegt eine Untersuchung der Initiative Deutschland
sicher im Netz e.V . Mehr als 56 Prozent der Befragten
gaben an, dass sie beim Öffnen einer E-Mail verunsichert sind.
© Copyright 2023 G DATA CyberDefense AG.
© Copyright 2023 G DATA CyberDefense AG.
Layout und Umsetzung: K.design | www.kalischdesign.de
mit Unterstützung durch www.schoengraphic.de
Illustrationen und Fotos:
Wenn nicht anders angegeben: shutterstock.com
Anzeigenpreise:
Es gilt die Anzeigenpreisliste Nr. 30.
Preisliste gültig ab 1. Oktober 2022.
Mediaberatung & Content Marketing-Lösungen
it management | it security | it daily.net:
Kerstin Fraenzke, 08104-6494-19,
E-Mail: fraenzke@it-verlag.de
Karen Reetz-Resch, Home Office: 08121-9775-94,
E-Mail: reetz@it-verlag.de
Online Campaign Manager:
Roxana Grabenhofer, 08104-6494-21,
grabenhofer@it-verlag.de
Head of Marketing:
Vicky Miridakis, 08104-6494-15,
miridakis@it-verlag.de
Objektleitung:
Ulrich Parthier (-14),
ISSN-Nummer: 0945-9650
Erscheinungsweise: 6 x pro Jahr
Verkaufspreis: Einzelheft 20 Euro
Jahresabopreis 100 Euro (Inland), 110 Euro (Ausland)
Probeabo 20 Euro für 2 Ausgaben
PDF-Abo 40 Euro für 6 Ausgaben
Bankverbindung:
VRB München Land eG,
IBAN: DE90 7016 6486 0002 5237 52, BIC:
GENODEF10HC
Beteiligungsverhältnisse nach § 8, Absatz 3 des
Gesetzes über die Presse vom 8.10.1949: 100 %
des Gesellschafterkapitals hält Ulrich Parthier, Sauerlach.
Abonnementservice:
Eva Neff,
Telefon: 08104-6494 -15,
E-Mail: neff@it-verlag.de
Das Abonnement ist beim Verlag mit einer dreimonatigen
Kündi gungsfrist zum Ende des Bezugszeitraumes
kündbar. Sollte die Zeitschrift aus
Gründen, die nicht vom Verlag zu vertreten
sind, nicht geliefert werden können, besteht
kein Anspruch auf Nach lieferung oder
Erstattung vorausbezahlter Beträge.
www.it-daily.net | Mai/Juni 2023