Actualités

IT-Sicherheit – Sensibilisierung der Mitarbeitenden

16 mars 2022

Gemäss dem «Data Breach Invesitigations Report» von Verizon, gehen rund 85% der Datenschutzverletzungen durch Malware auf das Konto von E-Mails.

IT-Sicherheit

Die Angriffsstrategie nimmt den Mitarbeiter in den Focus, jeder hat das Potential einer Lücke, sofern sich die Sensibilisierung der Mitarbeiter zur IT-Sicherheit im Unternehmen noch nicht etabliert hat.
 


Warum Anwenderschulungen so wichtig sind

Schulungen zur Steigerung des Sicherheitsbewusstseins – Security Awareness Trainings – gehören zu den wichtigsten Massnahmen im Unternehmen, mit denen Sie die Sicherheit verbessern können. Wenn Sie Ihre Anwender zur Erkennung, Vermeidung und Meldung von Phishing-Versuchen schulen, können Sie eine starke letzte Verteidigungslinie gegen die grössten aktuellen Cyberbedrohungen schaffen.

Ein erfolgreiches Schulungsprogramm besteht aus der richtigen Mischung aus Tests, Schulung, ergänzendem Material, Kommunikation sowie Präsenz- und virtuellen Aktivitäten. Diese Punkte sollten Sie dabei in Erwägung ziehen:
 

  • Tests, mit denen Sie den Wissensstand und eventuelle Schwachstellen der Anwender ermitteln; z. B. Wissenstests sowie simulierte Phishing-, USB- und Smishing-Angriffe*.
  • Computer-basierte Schulungen auf Basis des Schulungsbedarfs des einzelnen Anwenders und der aktuellen Bedrohungslage.
  • Aktivitäten zur Sensibilisierung (Poster, Webinare, Newsletter, Videos), mit denen Sie die Konzepte vorstellen und die zentralen Botschaften untermauern.
  • Präsenzveranstaltungen wie informelle „Lunch & Learn“-Angebote oder virtuelle Aktivitäten wie Webinare.

* Smishing=Phishing SMS/Textnachrichten
 


Die Bedrohungslandschaft entwickelt sich ständig weiter

Deshalb muss auch Ihr Programm zur Steigerung des Sicherheitsbewusstseins auf Kontinuität ausgelegt sein.

Es gibt allerdings Situationen, die eine Änderung der Häufigkeit oder Reihenfolge der Schulungsaktivitäten erfordern. Dazu gehören:
 

  • Bestimmte Anwenderbedrohungen nehmen deutlich zu oder Angreifer setzen auf bestimmte neue Marken oder Köder.
     
  • Wenn es in Ihrem Unternehmen zu einem Zwischenfall kommt, zum Beispiel zu einer Datenschutzverletzung, sollten Sie Ihre geplanten Aktivitäten und die Häufigkeit der Kommunikation, Tests und Schulungen in Bezug auf diesen konkreten Zwischenfall überdenken.
     
  • Es treten neue Gesetze oder Vorschriften in Kraft, die mehr Schulungen vorschreiben.
     
  • Ihr Unternehmen veröffentlicht oder aktualisiert eine Richtlinie oder es kommen Zweifel daran auf, dass die Anwender eine bestehende Richtlinie kennen. Starten Sie einen angepassten Wissenstest, um Lücken im Wissen der Benutzer zu identifizieren und die Schulungen entsprechend anzupassen.
     
  • Ein Programm zur Steigerung des Sicherheitsbewusstseins wurde über einen Zeitraum von mehr als einem halben Jahr ausgesetzt. In diesem Fall kann es sinnvoll sein, das Programm noch einmal von vorne zu beginnen, suchen Sie nach einer Möglichkeit, den Wissenstand Ihrer Mitarbeiter zu prüfen und allenfalls zu sensibilisieren.


Wir bieten Ihnen die Grundlage, um Prioritäten zu definieren und geben Ihnen den Input, den Sie für eine Roadmap zur Verbesserung ihrer IT-Sicherheit benötigen.


Wie gehen wir vor:

Jedes Unternehmen ist einzigartig und kein Schulungsprogramm ist wie das andere. Folgende Punkte sollten allerdings unbedingt in Ihr Schulungsprogramm einfliessen:
 

  • Definition des Schulungsbedarfs
  • Identifizierung von Anwendern mit speziellem Schulungsbedarf
  • Definition der Aktivitäten
  • Erstellung und Management von Zeitplänen
  • Kommunizieren und Testen der ersten Schritte
  • Definition von Häufigkeit und Zeitplanung der Programmaktivitäten


Auch hier gilt: Richtiges Timing ist entscheidend. Wir empfehlen für Ihre Sensibilisierungsaktivitäten folgende Reihenfolge:
 

  • Senden Sie alle vier bis sechs Wochen einen Phishing-Test und wechseln Sie dabei immer wieder Themen und Köder.
     
  • Melden Sie Anwender mindestens einmal pro Vierteljahr bei einem Phishing-Test an. Setzen Sie je nach Art des gestarteten Angriffs ein zielgerichtetes Modul zur Folgeschulung ein.
     
  • Überprüfen Sie die VAP-Berichte monatlich, spätestens aber alle zwei Monate. Entscheiden Sie anhand dieser Berichte, wer zielgerichtete Schulungen erhalten sollte und welche Inhalte dafür zum Einsatz kommen sollten.
     
  • Setzen Sie mindestens vierteljährlich unternehmensweite Schulungen an.
     
  • Wiederholen Sie die allgemeinen Wissenstests und Phishing-Tests mindestens einmal jährlich und vergleichen Sie die neuen Ergebnisse mit denen der ersten Tests.
     
  • Um das Gelernte zu festigen, setzen Sie mindestens zweimal im Jahr Aktivitäten zur Steigerung des Sicherheitsbewusstseins an. Das können Webinare, Wettbewerbe oder auch (falls möglich) Präsenzveranstaltungen sein.


Erstellen Sie einen Rahmenplan für die jährlichen Schulungsaktivitäten. Bleiben Sie dabei flexibel und passen Sie die Termine der jeweiligen Bedrohungslage an.
 


Veranstaltungshinweis


Wir laden Sie gerne zu unserer Veranstaltung ein, damit Sie sich ein Bild vor Ort machen können:

Datum: 4. Mai 2022
Ort: Office Business Center «Zürich-Europaallee», Europaallee 41, 8021 Zürich
Dauer: 08:30 bis 10:30 Uhr

Bitte registrieren Sie sich für unsere Veranstaltung «Hacker hacken nicht mehr – sie melden sich einfach an!»

Wir weisen darauf hin, dass die Anzahl der Teilnehmerschaft begrenzt ist.
 



Kundenunterstützende Sicherheitsleistungen der Infoniqa SQL AG:

  • Security Awareness Trainings
  • Cybersecurity-Assessment
  • Schwachstellen-Analyse
  • Beratungs-Dienstleistungen und -Implementierungen


Aus dem Infoniqa Datacenter

  • Disaster Recovery as a Service
  • Backup as a Service
  • Securitiy as a Service
  • Infrastructur as a Service (Private Cloud)


Durch die strukturierte Betrachtung aller relevanten Themenbereiche sind Sie mit Infoniqa Security Dienstleistungen stets auf der sicheren Seite.


Sie haben Fragen zum Thema Security? Melden Sie sich bei uns!

E-Book «Echte Verhaltensänderungen erreichen» (PDF)

Veuillez remplir les champs ci-dessous pour commencer le téléchargement!



Votre contact

Pour plus d'informations, contactez-nous!

Beat Brunschwiler
Senior Account Manager | Managed Services & Cloud

Envoyer message