usecure Blog

12 wesentliche Themen für Security Awareness Training für 2021

Geschrieben von usecure | 13 August 2021 4:13

Im Jahr 2021 wird es wichtiger denn je, Endanwender über Best Practices für Cybersicherheit am Arbeitsplatz aufzuklären und zu schulen. Im Folgenden haben wir die 12 Themen aufgelistet, auf die Sie achten sollten. Angesichts immer ausgefeilterer digitaler Bedrohungen ist die Schulung Ihrer digitalen Belegschaft zu Best Practices für Cybersicherheit der effektivste Weg, um Zeit zu sparen und Sicherheitsverletzungen zu verhindern. 

Im Jahr 2020 wurde viel erreicht, trotz schwieriger Umstände. Am offensichtlichsten war die Art und Weise, wie sich Menschen und Unternehmen an den Umgang mit Remote-Arbeitsumgebungen angepasst haben. Dies brachte enorme Herausforderungen mit sich. Risiken wie Phishing, Malware und Datenspeicherung wurden nur akzentuiert, gepaart mit aggressiveren Taktiken von Hackern als wir sie in der Vergangenheit gesehen haben.

Vor diesem Hintergrund haben wir unsere Liste der 12 Themen, auf die Sie im Jahr 2021 achten sollten, aufgefrischt.

Welche Themen des Sicherheitsbewusstseins sollte ich einbeziehen?

Die meisten Unternehmen investieren viel Zeit und Geld in die Implementierung von Software zum Schutz ihrer Daten, wobei das durchschnittliche IT-Budget für Sicherheit bei etwa 10 % liegt. Die "menschliche Hardware" ist jedoch das bei weitem verwundbarste Element eines jeden Unternehmens, und Unternehmen sollten auf der Basis von Prävention vor Heilung arbeiten.

Menschliches Versagen ist die Ursache für bis zu 95 % der Verstöße gegen die Cybersicherheit,. Mit einfachen Awareness-Schulungen kann diese Zahl drastisch reduziert werden. Jüngste Schätzungen gehen davon aus, dass nur die Hälfte aller Mitarbeiter nur einmal pro Jahr eine Schulung erhält.

Vom KMU bis zum Großunternehmen ist der Mitarbeiter die letzte Verteidigungslinie in der Sicherheit eines Unternehmens, die "menschliche Firewall". Was sind also die wichtigsten Themen der Security Awareness-Schulung für Ihre Mitarbeiter?

Was sind die wichtigsten Themen für Security Awareness Trainings?

Wir haben die relevantesten Schulungen zum Thema Cybersicherheit für Mitarbeiter im Jahr 2021 aufgelistet:

Die 12 wichtigsten Themen für Schulungen zum Thema Cybersicherheit:

  1. Phishing-Angriffe
  2. Wechselmedien
  3. Passwörter und Authentifizierung
  4. Physische Sicherheit
  5. Sicherheit für mobile Geräte
  6. Arbeiten aus der Ferne
  7. Öffentliches Wi-Fi
  8. Cloud-Sicherheit
  9. Soziale Medien nutzen
  10. Internet- und E-Mail-Nutzung
  11. Social-Engineering
  12. Sicherheit zu Hause
Informieren Sie Ihre Anwender über all diese Themen mit uLearn. Kostenlos ausprobieren
 

1. Phishing-Angriffe

Im letzten Jahr haben wir einen enormen Anstieg von Phishing-Angriffen erlebt. Insbesondere gab es die riesige Menge an pandemiebezogenen Phishing-E-Mails. Die Threat Analysis Group von Google berichtete Mitte April, dass sietäglich 18 Millionen COVID-19-motivierte Malware- und Phishing-E-Mails blockierte. 18 per tag. day.

Phishing-Angriffe sind immer noch die häufigste Ursache für Cyber-Sicherheitsverletzungen. Die aktuellen Zahlen spiegeln deutlich die Notwendigkeit der Sensibilisierung für Phishing-Angriffe wider. Untersuchungen zufolge sind 91 % der erfolgreichen Cyber-Angriffe das Ergebnis eines Phishing-Betrugs.

Obwohl Unternehmen zunehmend für Phishing sensibilisiert sind, ist es auch im Jahr 2021 noch eine wachsende Bedrohung, was zum Teil auf mangelndes Bewusstsein auf Mitarbeiterebene zurückzuführen ist. Indem Sicherheitsschulungen als Teil der Unternehmensphilosophie durch wiederkehrende Security Awareness Trainings vorangetrieben werden, kann diese Zahl im Laufe der Zeit drastisch reduziert werden.

"Spearphishing" ist eine ausgefeiltere und gezieltere Form des Angriffs, bei der bestimmte Mitarbeiter des Unternehmens eingesetzt werden, um eine E-Mail an eine bestimmte Gruppe von Endbenutzern zu legitimieren. Eine E-Mail, die sich zum Beispiel als CEO ausgibt, wird wahrscheinlich von den meisten Mitarbeitern angeklickt und könnte einen Malware-Anhang enthalten. Die Effektivität solcher Angriffe hat zu neueren und ausgefeilteren Entwicklungen geführt, wie z. B. Voice Phishing und SMS-Phishing.

Indem Sie Ihre Endbenutzer darin schulen, potenziell schädliche E-Mails zu erkennen und verdächtige E-Mails zu melden, kann diese Bedrohung drastisch reduziert werden. Durch das Angebot von Cybersecurity-Schulungen kann das Bewusstsein der Mitarbeiter für solche Angriffe mit konsequenter Schulung dramatisch verbessert werden. Simulierte Phishing-Angriffe können das potenzielle Risiko für Ihr Unternehmen durch solche Angriffe demonstrieren.

2. Wechselmedien

Ein weiteres Thema der Security Awareness, das täglich von Unternehmen genutzt wird, sind Wechselmedien. Wechselmedien sind die tragbaren Speichermedien, die es dem Benutzer ermöglichen, Daten auf das Gerät zu kopieren und sie dann vom Gerät auf ein anderes zu entfernen und umgekehrt. USB-Geräte, die Malware enthalten, können für Endbenutzer hinterlassen werden, wenn sie diese in ihr Gerät einstecken.

         "Forscher ließen fast 300 USB-Sticks auf dem Campus der University of Illinois Urbana-Champaign fallen. 98 % dieser Sticks wurden abgeholt! Darüber hinaus wurden 45 % dieser Laufwerke nicht nur abgeholt, sondern die Personen klickten auf die Dateien, die sie darin fanden "*.

Ihre Mitarbeiter müssen nicht nur die Risiken verstehen, sondern auch wissen, wie sie diese Geräte sicher und verantwortungsvoll in Ihrem Unternehmen einsetzen können. Es gibt zahlreiche Gründe, warum sich ein Unternehmen für den Einsatz von Wechselmedien in seiner Umgebung entscheiden würde. Wie bei allen Technologien gibt es jedoch immer potenzielle Risiken. Neben den Geräten selbst ist es wichtig, dass Ihre Mitarbeiter auch die Daten auf diesen Geräten schützen. Egal, ob es sich um persönliche oder geschäftliche Daten handelt, alle Daten haben irgendeine Form von Wert.

Einige gängige Beispiele für Wechseldatenträger, die Sie und Ihre Mitarbeiter am Arbeitsplatz verwenden könnten, sind:

- USB-Sticks
- SD-Karten
- CDs
- Smartphones

Dieses Thema des Sicherheitsbewusstseins sollte in Ihr Training aufgenommen werden und Beispiele für Wechselmedien abdecken, warum sie in Unternehmen verwendet werden und wie Ihre Mitarbeiter die Risiken wie verlorene oder gestohlene Wechselmedien, Malware-Angriffe und Urheberrechtsverletzungen verhindern können.


3. Passwörter und Authentifizierung

Ein sehr einfaches, aber oft übersehenes Element, das zur Sicherheit Ihres Unternehmens beitragen kann, ist die Passwortsicherheit. Oft werden häufig verwendete Passwörter von böswilligen Akteuren erraten, in der Hoffnung, Zugang zu Ihren Accounts zu erhalten. Die Verwendung von einfachen Passwörtern oder erkennbaren Passwortmustern für Mitarbeiter kann es Cyber-Kriminellen leicht machen, auf eine große Anzahl von Accounts zuzugreifen. Sobald diese Informationen gestohlen sind, können sie veröffentlicht oder gewinnbringend im Deep Web verkauft werden.

Die Implementierung von zufälligen Passwörtern kann es böswilligen Akteuren erheblich erschweren, Zugriff auf eine Reihe von Accounts zu erhalten. Andere Schritte, wie die Zwei-Faktor-Authentifizierung, bieten zusätzliche Sicherheitsebenen, die die Integrität des Accounts schützen.

4. Physische Sicherheit

Wenn Sie zu den Menschen gehören, die ihre Passwörter auf Klebezetteln auf ihrem Schreibtisch hinterlassen, sollten Sie diese vielleicht wegwerfen. Obwohl viele Angriffe wahrscheinlich über digitale Medien erfolgen, ist es für die Integrität des Sicherheitssystems Ihres Unternehmens unerlässlich, sensible physische Dokumente zu sichern.

Ein einfaches Bewusstsein für die Risiken des Verlassens von Dokumenten, unbeaufsichtigten Computern und Passwörtern in den Büroräumen oder zu Hause kann das Sicherheitsrisiko verringern. Durch die Implementierung einer "Clean-Desk"-Richtlinie kann die Gefahr, dass unbeaufsichtigte Dokumente gestohlen oder kopiert werden, erheblich reduziert werden.

5.Sicherheit für mobile Geräte

Die sich verändernde Landschaft der IT-Technologien hat die Möglichkeiten für flexible Arbeitsumgebungen verbessert und damit auch anspruchsvollere Sicherheitsangriffe. Da viele Menschen jetzt die Möglichkeit haben, von unterwegs aus mit mobilen Geräten zu arbeiten, geht diese erhöhte Konnektivität mit dem Risiko von Sicherheitsverletzungen einher. Für kleinere Unternehmen kann dies ein effektiver Weg sein, um Budget zu sparen, jedoch ist die Verantwortlichkeit der Benutzer-Geräte ein zunehmend relevanter Aspekt der Schulung im Jahr 2021, insbesondere für reisende oder entfernte Mitarbeiter. Das Aufkommen bösartiger mobiler Apps hat das Risiko erhöht, dass Mobiltelefone Malware enthalten, die potenziell zu einer Sicherheitsverletzung führen kann.

Best-Practice-Online-Kurse für Mitarbeiter, die mit mobilen Geräten arbeiten, können helfen, die Mitarbeiter zu schulen, um Risiken zu vermeiden, ohne teure Sicherheitsprotokolle zu erstellen. Bei mobilen Geräten sollten sensible Informationen immer passwortgeschützt, verschlüsselt oder mit biometrischer Authentifizierung für den Fall, dass das Gerät verloren geht oder gestohlen wird. Der sichere Umgang mit persönlichen Geräten ist eine notwendige Schulung für alle Mitarbeiter, die mit ihren eigenen Geräten arbeiten.

Die beste Gemeinschaftspraxis besteht darin, dass die Mitarbeiter eine mobile Sicherheitsrichtlinie unterschreiben müssen.

6. Aus der Ferne arbeiten

Im Jahr 2021 hat der offensichtliche Bedarf an Telearbeit in Kombination mit der zunehmenden Akzeptanz dazu geführt, dass viele Unternehmen drastische Schritte in Richtung Vollzeitarbeit von zu Hause aus unternommen haben.5 Telearbeit kann für Unternehmen positiv sein und für Mitarbeiter eine höhere Produktivität und eine bessere Work-Life-Balance fördern. Dieser Trend birgt jedoch auch eine erhöhte Gefahr von Sicherheitsverletzungen, wenn die Mitarbeiter nicht sicher über die Risiken der Fernarbeit aufgeklärt werden. Persönliche Geräte, die zu Arbeitszwecken verwendet werden, sollten verschlossen bleiben, wenn sie unbeaufsichtigt sind, und mit Antivirensoftware ausgestattet sein. Wenn ein Unternehmen diesen Anreiz bieten möchte, sollte es sich darauf konzentrieren, Remote-Mitarbeiter über sichere Arbeitsmethoden aufzuklären.

Bis ins Jahr 2021 wird sich dieser Trend wahrscheinlich fortsetzen. Obwohl wir auf die Wiedereröffnung von Büros und eine Rückkehr zum normalen Arbeitsleben hoffen, stellen Unternehmen zunehmend Remote-Mitarbeiter ein, und diejenigen, die sich an den WFH-Lebensstil gewöhnt haben, ziehen es möglicherweise vor, auf diese Weise zu arbeiten. Die Notwendigkeit, Mitarbeiter darin zu schulen, ihre eigene Cybersicherheit zu verstehen und zu verwalten, ist offensichtlich. Wie wir gesehen haben, gibt es eine wachsende Bedrohungslandschaft, die auf diese Personen abzielt. Sicherzustellen, dass sie die Sicherheit im Blick behalten, ist ein zentrales Thema des Jahres 2021.

7. Öffentliches Wi-Fi

Einige Mitarbeiter, die aus der Ferne arbeiten müssen, in Zügen reisen und unterwegs arbeiten, benötigen möglicherweise eine zusätzliche Schulung, um zu verstehen, wie sie öffentliche WLAN-Dienste sicher nutzen können. Gefälschte öffentliche WLAN-Netzwerke, die sich oft in Cafés als kostenloses WLAN ausgeben, können Endbenutzer dazu verleiten, Informationen in unsichere öffentliche Server einzugeben.

Wenn Sie Ihre Benutzer über die sichere Nutzung von öffentlichem WLAN und die üblichen Anzeichen zur Erkennung eines potenziellen Betrugs aufklären, erhöhen Sie das Bewusstsein des Unternehmens und minimieren das Risiko. Das WIRED-Magazin bietet einen hilfreichen Leitfaden zur Vermeidung von Risiken im öffentlichen WLAN. 

8.Cloud-Sicherheit

Cloud Computing hat die Art und Weise, wie Daten gespeichert und abgerufen werden, revolutioniert. Diese digitalen Anwendungen verändern Unternehmen, doch mit der Fernspeicherung großer Mengen privater Daten geht auch das Risiko von groß angelegten Hacks einher. Viele große Unternehmen arbeiten am Datenschutz, aber durch die Wahl des richtigen Cloud-Service-Anbieters kann Cloud-Storage eine viel sicherere und kostengünstigere Möglichkeit sein, die Daten Ihres Unternehmens zu speichern.

Wie bei den anderen genannten Themen ist Insider-Hacking eine viel größere Bedrohung als für große Cloud-Unternehmen. Gartner prognostiziert, dass bis zum nächsten Jahr 99 % aller Cloud-Sicherheitsvorfälle vom Endbenutzer verschuldet sein werden. Daher können Schulungen zum Bewusstsein für Cybersicherheit dabei helfen, Mitarbeiter durch die sichere Nutzung von Cloud-basierten Anwendungen zu führen. 

9. Nutzung sozialer Medien

Wir alle teilen große Teile unseres Lebens in sozialen Medien: vom Urlaub über Veranstaltungen bis hin zur Arbeit. Aber oversharing kann dazu führen, dass sensible Informationen verfügbar sind, was es einem bösartigen Akteur leicht macht, sich als vertrauenswürdige Quelle auszugeben (siehe: Social Engineering).

Wenn Sie Ihre Mitarbeiter darüber aufklären, wie sie die Datenschutzeinstellungen ihrer Social-Media-Accounts schützen und die Verbreitung von öffentlichen Informationen über Ihr Unternehmen verhindern können, verringern Sie das Risiko, dass Hacker durch diesen Zugriff auf Ihr persönliches Netzwerk einen Vorteil erlangen.

10. Internet- und E-Mail-Nutzung

Einige Mitarbeiter sind möglicherweise bereits Opfer von Datenpannen geworden, indem sie einfache oder wiederholte E-Mails für mehrere Accounts verwenden. Eine Studie ergab, dass 59 % der Endbenutzer für jeden Account das gleiche Passwort verwenden. Das bedeutet, wenn ein Account kompromittiert wird, kann ein Hacker dieses Passwort auf Arbeits- und Social-Media-Accounts verwenden, um Zugang zu allen Informationen des Benutzers auf diesen Accounts zu erhalten.

Oft bieten Websites kostenlose Software an, die mit Malware infiziert ist. Der beste Weg, Ihren Computer vor der Installation von Schadsoftware zu schützen, ist, Anwendungen nur aus vertrauenswürdigen Quellen herunterzuladen. Die Schulung der Mitarbeiter zu sicheren Internetgewohnheiten sollte ein wichtiger Bestandteil jeder IT-Einführung sein. Auch wenn manche diese Schulung als selbstverständlich ansehen, ist sie ein wichtiger Teil der Sicherheit eines jeden Sicherheitsprogramms.

Viele große Websites hatten in den letzten Jahren große Datenschutzverletzungen. Wenn Ihre Informationen auf diesen Websites eingegeben wurden, könnten sie veröffentlicht worden sein und Ihre privaten Informationen preisgeben.

11. Social engineering

Social Engineering ist eine gängige Technik, mit der böswillige Akteure das Vertrauen von Mitarbeitern gewinnen, indem sie wertvolle Köder anbieten oder sich als Person ausgeben, um Zugriff auf wertvolle persönliche Informationen zu erhalten. Um diese Bedrohungen zu bekämpfen, müssen die Mitarbeiter zu Themen des Sicherheitsbewusstseins geschult werden, die die gängigsten Social-Engineering-Techniken und die Psychologie der Beeinflussung (zum Beispiel: Knappheit, Dringlichkeit und Gegenseitigkeit) abdecken.

Indem man sich beispielsweise als lebensfähiger Kunde ausgibt oder Anreize bietet, können private Informationen unwissentlich an diese bösartigen Akteure weitergegeben werden. Die Sensibilisierung der Mitarbeiter für die Bedrohung durch diese Imitationen ist entscheidend, um das Risiko von Social Engineering zu reduzieren.

12.Sicherheit zu Hause

Leider hört die Bedrohung durch böswillige Akteure nicht auf, wenn Sie Ihren Arbeitsplatz verlassen. Viele Unternehmen erlauben ihren Mitarbeitern die Nutzung ihrer persönlichen Geräte, was eine großartige kostensparende Methode ist und flexibles Arbeiten ermöglicht, allerdings sind damit auch Risiken verbunden. Unwissentlich heruntergeladene Malware-Anwendungen auf persönlichen Geräten können die Integrität des Unternehmensnetzwerks gefährden, wenn z. B. Anmeldedaten kompromittiert werden.

Darüber hinaus hat das wachsende Netzwerk digitaler Ressourcen, die Arbeitnehmern und Unternehmen zur Verfügung stehen, die Konnektivität und Produktivität erhöht. Allerdings stellen diese Anwendungen auch ein Risiko für den Benutzer dar. Eine Studie von Propeller ergab, dass Phishing-Kampagnen, die auf Dropbox abzielten, eine Klickrate von 13,6 % hatten. Die Verbesserung des Mitarbeiterwissens, die Freigabe verschlüsselter Dateien und die Authentifizierung von Downloads verringern das Risiko.

Weitere Themen der IT-Security-Awareness-Schulung

Neben der Schulung der Mitarbeiter zu Themen des Sicherheitsbewusstseins sind aufgrund neuer Vorschriften zunehmend Compliance-Schulungen für Mitarbeiter erforderlich. Die GDPR-Compliance in der EU hat zu neuen Vorschriften in Bezug auf E-Mails geführt, die für viele Mitarbeiter eine Umschulung erforderlich machen können. Ein Verstoß gegen diese Regeln kann zu hohen Geldstrafen führen, vor allem bei BA und Marriott Hotels.

Mitarbeiter sollten auch über sich ändernde Finanzvorschriften, Datenschutz, Steuern und mehr informiert sein. Durch die Anmeldung bei automatisierten Online-Plattformen für die Richtlinienverwaltung können Sie Ihre Mitarbeiter über die neuesten Änderungen der Richtlinien auf dem Laufenden halten und sicherstellen, dass sie auf dem Laufenden bleiben.

Sicherheitsschulungen für Endbenutzer richtig durchführen

Alle Unternehmen haben unterschiedliche Anforderungen, daher ist ein flexibler Kurs zur Sensibilisierung für Cybersicherheit, der zu den Zielen Ihres Unternehmens passt, von entscheidender Bedeutung, um die richtige Schulung für Ihre Mitarbeiter zu erhalten. 

Durch die Förderung einer Gesprächskultur und eines Bewusstseins in Ihrem Unternehmen auf regelmäßiger Basis durch Sicherheitsschulungen für Endbenutzer können Sie Ihre Mitarbeiter auf dem Laufenden halten, was die Anforderungen an die Sicherheit ihrer persönlichen und geschäftlichen Daten betrifft.

Beginne damit, Menschen in deine stärkste Verteidigungslinie zu verwandeln

usecure ist die Menschliches Risikomanagement (MRM)-Lösung, die es Unternehmen ermöglicht, benutzerbezogene Sicherheitsvorfälle zu reduzieren, eine cyberresistente Belegschaft aufzubauen und Compliance-Standards durch automatisierte Benutzerschulungsprogramme zu erreichen.

Von führenden IT-Profis und Managed-Service-Providern (MSPs) vertraut, usecure analysiert, reduziert und überwacht das menschliche Cyberrisiko durch risikoorientierte Schulungsprogramme zum Sicherheitsbewusstsein, simulierte Phishing-Kampagnen, vereinfachtes Richtlinienmanagement und kontinuierliche Überwachung von Dark-Web-Verletzungen – alles von einer Plattform aus.

Erfahren Sie mehr über usecure