Nachdem Datenschutz im letzten Jahr der Trend war, geht es dieses Jahr um die Umsetzung von organisatorischen Maßnahmen zur Erhöhung von Datenschutz und IT-Sicherheit. Ein wichtiger Bestandteil ist die Mitarbeitersensibilisierung bzw. Mitarbeiterschulung zur Abwehr von Cyberattacken.
Die technischen Maßnahmen zur Erhöhung der IT-Sicherheit (z. B. Firewall und Virenschutz) filtern bereits viele Attacken aus, bevor sie ins Unternehmen gelangen.
Ebenso wichtig sind technische Einstellungen am Client, die das automatische Ausführen von Makros verhindern oder wie durch die Nutzung Microsoft-Cloud-Produkten der Schaden durch Ransomware erfolgreich reduziert werden kann.
Ein Beispiel aus meiner Beratungspraxis: Ein Kundin leitete mit eine E-Mail weiter, in der sie von einer Anwaltskanzlei beschuldigt wurde, eine nicht DSGVO-konforme Webseite zu betreiben. In der Anlage war ein ZIP-File mit einer ausführbaren EXE-Datei – laut dem Text in der E-Mail handelte es sich um das offizielle Anwaltsschreiben.
Diese E-Mail war nach einer kurzen Recherche unter https://www.onlinewarnungen.de/ erfolgreich als Malware identifiziert. Bei Nutzung von Microsoft 365 mit Exchange ATP würde so eine Anlage direkt gelöscht und kommt gar nicht erst bis zum Benutzer.
Die folgende Grafik visualisiert den Trend, dass Malware in Deutschland (und auch weltweit) immer seltener als Angriffsmethode verwendet wird, weil die Endpoint-Security – auch durch den immer weiter verbreiteten Einsatz von Windows 10 mit Microsoft Defender – den Schutz von Endgeräten verbessert:
Im Vergleich dazu ist in der folgenden Grafik deutlich erkennbar, dass die Anzahl von Phishingmails (in % aller E-Mails an Microsoft-Kunden weltweit) in den letzten Jahren deutlich gestiegen ist:
Quelle für beide Grafiken: Microsoft Security (https://www.microsoft.com/securityinsights)
80 % der Cybervorfälle beginnen mit menschlichen Fehlern.
Somit sind Ihre Mitarbeiter die erste Verteidigungslinie für Angriffe, die durch technische Maßnahmen nicht abgewehrt werden können.
Hier setzen Sensibilisierungsmaßnahmen im Rahmen einer erweiterten Datenschutzschulung an.
Ihre Mitarbeiter brauchen ein Gefühl für den Ablauf von Social Engineering-Attacken (Kill Chain: https://de.wikipedia.org/wiki/Cyber_Kill_Chain), wie Angreifer durch das gezielte Ausspähen von persönlichen Informationen, die sie z. B. in sozialen Netzwerken veröffentlichen, erfolgreich sein können oder warum eine ordnungsgemäße Dokumentenvernichtung durch Schredder so wichtig ist.
Um rauszufinden, ob eine E-Mail vertrauenswürdig ist, können Benutzer z. B. über Beantwortung von drei Fragen mögliche Phishingmails erkennen:
- Ist mir der Absender bekannt?
- Wie wirken Betreff und Text auf mich?
- Ist eine Anlage enthalten?
Ebenso sollten Links z. B. zur Pflege von Stammdaten in Online-Accounts nie aus der E-Mail heraus aufgerufen werden, sondern immer direkt über das Anmeldeportal des Anbieters.
Diese und viele weitere Verhaltensweisen bespreche ich mit den Benutzern in meinen Mitarbeitersensibilisierungsschulungen.
Deswegen: Je mehr Ihre Mitarbeiter wissen, wie sie zum Schutz Ihres Unternehmens beitragen können, umso entspannter können Sie schlafen.
Wie geht es weiter?
Die Datenschutzgrundverordnung (DSGVO) fordert die Prüfung der Wirksamkeit der Maßnahmen. Ein Live-Phishingtraining ist eine sehr gute Maßnahme den Erfolg oder Misserfolg über Kennzahlen (nicht Personen) auszuwerten und ggf. notwendige Kommunikationsmaßnahmen zu erarbeiten. Die Komplexität bei der Erstellung einer wirksamen Phishing Attack Simulation ist weniger in der technischen Umsetzung, sondern liegt in der inhaltlichen Gestaltung. Auch dabei unterstütze ich Sie gerne, ebenso wie bei den notwendigen Vorabgesprächen mit dem Betriebsrat.
