Was ist ein Phishing-Awareness-Training für Mitarbeiter?

Ob es nun darum geht, einen mit Malware verseuchten E-Mail-Anhang herunterzuladen oder seine Anmeldedaten auf schädlichen Websites zu übermitteln, ein Mitarbeiter, der Opfer eines Phishing-Betrugs wird, ist ein Szenario, das IT-Experten und Geschäftsinhaber nachts wach halten kann.

Ein immer effektiverer Ansatz zur Reduzierung dieses Risikos besteht in der Schulung zur Phishing-Sensibilisierung der Mitarbeiter, aber was genau beinhaltet diese Art von Schulung?

In diesem Beitrag behandeln wir:

Was ist ein Phishing-Awareness-Training?

Phishing-Awareness-Training ist die fortlaufende Schulung für Mitarbeiter, die ihnen hilft zu verstehen, wie Phishing funktioniert, wie sie die verräterischen Anzeichen eines Angriffs erkennen und welche sicheren Maßnahmen sie ergreifen sollten, wenn sie sich angegriffen fühlen.

Viele Unternehmen führen regelmäßige Phishing-Awareness-Schulungen durch, um zu verhindern, dass Benutzer ihre Anmeldeinformationen kompromittieren, bösartige Anhänge herunterladen oder vertrauliche Informationen an einen Nachahmer senden.

Warum ist das Bewusstsein für Phishing so wichtig?

Es gibt ein weit verbreitetes Missverständnis, dass Phishing-Betrügereien leicht zu erkennen sind und dass nur Personen zum Opfer fallen würden, die nicht technisch versiert oder naiv sind. Es gibt auch die falsche Sicherheit, sich zu sehr auf Technologie zu verlassen, um Phishing zu verhindern oder zu denken, dass "unser Geschäft wahrscheinlich kein Ziel ist".

Die Wahrheit ist, dass Phishing-Angriffe immer noch funktionieren und jedes Jahr an Prävalenz und Raffinesse zunehmen, wobei eine Kombination aus "Spray-and-Bet"-Versuchen mit hyper-gezielten Spear-Phishing-Angriffen vermischt wird.

Es gibt mittlerweile fast 75-mal so viele Phishing-Sites wie Malware-Sites und fast 36 % der Datenschutzverletzungen beziehen sich jetzt auf Phishing.

Google Safe Browsing / Verizon DBIR 2021

 

Bei dieser Art von Bedrohungen ist es wichtig, dass Mitarbeiter darin geschult sind, Phishing-Angriffe zu erkennen und zu melden, bevor sie finanzielle, betriebliche oder rufschädigende Schäden verursachen können.

Schließlich bedarf es nur eines erfolgreichen Phishing-Versuchs, um Chaos anzurichten.

Welche verschiedenen Arten von Phishing-Awareness-Training gibt es?

Es gibt viele verschiedene Arten von Kanälen, Formaten und Techniken, die verwendet werden, um diese Art von Training anzubieten, aber die gebräuchlichsten sind:

  • Computergestütztes Training (CGT)
  • Simulierte Phishing-Übungen
  • Präsenzschulung

Computergestütztes Training (CGT)

Viele von uns werden sich an die Tage erinnern, in denen sie bei der Arbeit eine einstündige PowerPoint-Präsentation zum Thema Sicherheitsbewusstsein durchsitzen und den Kursleiter ausdruckslos anstarrten, während er eine Checkliste mit Tipps zum Thema "wie man online sicher bleibt" sendete.

Glücklicherweise ist das Training seitdem effektiver (und weniger schmerzhaft) geworden.

Computerbasiertes Phishing-Awareness-Training ist so ziemlich das, was es verspricht – anstatt eine Sitzung im Klassenzimmer zu absolvieren, können sich Mitarbeiter mit einem modernisierten "eLearning"-Ansatz an ihren Computern durch Kurse arbeiten.

Hier ist ein Beispiel-Schulungsvideo von der automatisierten Sicherheitsbewusstseins-Schulungsplattform von usecure, uLearn :

 

Computerbasiertes Phishing-Awareness-Training bietet viele Vorteile, darunter:

  • Es geht schnell – CGT umfasst oft kurze Kurse, die in wenigen Minuten abgeschlossen werden können, wobei viele Studien zeigen, dass kürzere Trainingseinheiten zu einer verbesserten Wissensspeicherung beitragen .  
  • Es ist fesselnd – Moderne Schulungslösungen für Phishing-Awareness enthalten oft Videos und interaktive Inhalte, die leistungsstarke Lerntools für die Nutzer sein können Verstehen Sie die Risiken anhand von Beispielen aus der Praxis.  
  • Es wird gemessen – CGT macht es einfach zu testen, welche Informationen die Benutzer haben und welche nicht. Oft genügt ein kurzes Nachfolge-Quiz, um zu messen, wie viele Informationen sie aufgenommen haben.
  • Es kann jederzeit abgeschlossen werden Bei Besprechungen, Jahresurlaub und Krankheitstagen, um alle Mitarbeiter in die gleiche Präsentation zu bringen kann ein Albtraum sein. CGT kann oft abgeschlossen werden, wenn der Benutzer Zeit hat, wodurch verpasste Sitzungen oder Beeinträchtigungen der Produktivität vermieden werden.

Simulierte Phishing-Übungen

Wenn computerbasierte Schulungen die erste Wahl sind, um das Bewusstsein der Mitarbeiter für Phishing zu schärfen, dann sind simulierte Phishing-Übungen die erste Wahl, um den Mitarbeitern eine wirklich praktische Lernerfahrung zu bieten.

Eine Mitarbeiter-Phishing-Simulationsübung wird verwendet, um zu beurteilen, welche Benutzer anfällig für einen Angriff sind, um ihnen reale Erfahrungen zu vermitteln und gleichzeitig zu analysieren, wie sie in einem Phishing-Szenario reagieren würden.

Dies geschieht normalerweise durch Replizieren einer gut gestaltete Phishing-E-Mails und verfolgen, welche Personen ihre Anmeldedaten eingeben oder einen "schädlichen" Anhang herunterladen.

Hier ist ein Beispiel für eine Phishing-Vorlage aus dem simulierten Phishing-Tool von usecure, uPhish :

Holiday Phishing Email

Scheint eine recht legitime E-Mail zu sein, oder? 39 % der Mitarbeiter in dieser Simulation dachten das gleiche :

holiday phish opens

Hier sind einige der Vorteile simulierter Phishing-Übungen:

 

  • Richten Sie Ihr Training aus – Analysieren welche Mitarbeiter zu Beginn ihrer computergestützten Schulung anfällig für Phishing sind, bietet Ihnen eine nützliche Metrik, um den Fortschritt zu einem späteren Zeitpunkt zu messen.
  • Markieren sie wo zusätzliche Schulungen erforderlich sind – Bereitstellung regelmäßiger Simulationen können Unternehmen Benutzer erkennen, bei denen das Risiko besteht, Opfer zu werden und wer benötigen möglicherweise etwas zusätzliches Training.
  • Messen Sie die Wirkung von Schulungen – Bereitstellung von Phishing-Simulationen vor und nach der Mitarbeiterschulung bietet einen nützlichen Einblick in die Wirksamkeit ihrer Sensibilisierungsschulungen ist gewesen.

Präsenzschulung

Eine Schulungsform der alten Schule. Einige Unternehmen verwenden immer noch Präsenzveranstaltungen, um Anti-Phishing-Schulungen anzubieten. Es gibt jedoch einige wesentliche Unterschiede zwischen diesem Ansatz und dem computerbasierten Ansatz:

  • Kann teurer sein – Für diese Sitzungen, bei denen die Kosten variieren können, wird häufig ein spezialisierter Schulungsleiter für Sicherheitsbewusstsein benötigt.
  • Kann zeitaufwändig sein — Diese Sitzungen erfordern Vorbereitungszeit und oft die gleichzeitige Anwesenheit aller Mitarbeiter ( was, gelinde gesagt, logistische Kopfschmerzen bereiten kann!).  
  • Schulungen sind weniger zielgerichtet – Schulungen im Klassenzimmer werden oft durch PowerPoint-Präsentationen in einem programmatischen Stil mit Ankreuzfeld geliefert. Das bedeutet, dass allen Mitarbeitern unabhängig von Wissen, Funktion oder Dienstalter das gleiche Material zur Verfügung gestellt wird.

Studien haben gezeigt, dass die Beibehaltung bestimmter Themen bis zu 250 % größer sein kann mit computergestütztem Training anstelle eines klassenzimmerbasierten Modells.

Merrill Lynch, Das Buch des Wissens

 

Starten Sie mit dem richtigen Ansatz

usecure hat Unternehmen auf der ganzen Welt dabei geholfen , das menschliche Cyberrisiko ihrer Mitarbeiter zu verringern. Wir wissen worauf es ankommt um das Phishing-Bewusstsein der Mitarbeiter wirklich zu steigern.

Aus diesem Grund fordern wir Unternehmen immer auf, das Bewusstsein für Phishing in ein umfassenderes Schulungsprogramm für das Sicherheitsbewusstsein der Mitarbeiter aufzunehmen, das ein breites Spektrum an Sicherheitsthemen – zum Beispiel Passworthygiene, Social Engineering und sicherer Umgang mit Daten.

Erfahren Sie mehr über die Einführung effektiver Phishing- und Sicherheitsbewusstseinsschulungen im kostenlosen Usecure-Leitfaden oder testen Sie die Sicherheitsbewusstseinsschulungen von usecure mit einem kostenlose 14-tägige Testversion .

-> Der Leitfaden für die Einführung eines effektiven Cyber-Awareness-Trainings