Security Awareness (SecAware) - IAS
Security Awareness häufig auch SecAware genannt umfasst verschiedene Maßnahmen, um Mitarbeiter eines Unternehmens oder einer Organisation für das Themengebiet der IT-Sicherheit zu sensibilisieren. Denn der „Mensch“ ist eine der größten Risikofaktoren für die IT-Systeme von Unternehmen. Häufig mangelt es den Mitarbeitern sowohl an IT-Grundwissen als auch am Gespür für Bedrohungen aus dem Internet. Daher ist es wichtig regelmäßig zu überprüfen, wie anfällig das eigene Unternehmen für externe Bedrohungen ist. Eine Möglichkeit hierbei ist die Durchführung reiner Schulungen und Trainings für alle Mitarbeiter. Eine weitere Möglichkeit ist, die individuelle Prüfung nach vorhandenen Schwachstellen durch spezifische Testkampagnen. Anhand speziell entwickelter KPI´s können diese Kampagnen im Anschluss genau ausgewertet und detaillierte Handlungsempfehlungen gegeben werden. Die Handlungsempfehlungen werden dabei genau auf die Bedürfnisse des Unternehmens abgestimmt.
Das Ziel beider Systeme ist es, das hauseigene Sicherheitskonzept zu überprüfen und ein Bewusstsein für verschiedene Bedrohungen zu entwickeln, sodass in einem realen Fall richtig und schnell reagiert werden kann. Zudem soll das Verständnis der Mitarbeiter für die Bedeutung der IT-Sicherheit gestärkt werden. Da der Mensch, wie beschrieben, das größte Risiko für die IT-Sicherheit darstellt, ist es enorm wichtig Mitarbeiter regelmäßig über mögliche Gefahren aufzuklären. So können die Gefahren für die IT-Sicherheit stark minimiert werden.
Die häufigsten Angriffsszenarios - Phishing-E-Mails und Co.
Eine der beliebtesten und weit verbreiteten Maßnahmen, um an Unternehmensdaten zu gelangen ist das E-Mail-Phishing. Hierbei wird versucht mit einem Trick an relevante Unternehmensdaten zu gelangen oder gar Systeme zu infiltrieren. Die versendeten E-Mails wirken dabei heutzutage häufig sehr individuell und echt. Dadurch wird es für den ungeschulten Mitarbeiter immer schwieriger zu erkennen, ob es sich z. B. um eine E-Mail vom Vorgesetzen oder einen Betrugsversuch handelt.
Darüber hinaus gibt es unzählige weitere Methoden, um an vertrauliche Daten und Dokumente zu gelangen. Beispiele hierfür sind Spear-Phishing, Whaling, Smishing, Hardware Phishing, Field Phishing oder auch das anwachsende Voice-Phishing.
Cybersecurity - das Sicherheitsbewusstsein schärfen
Die beste Technik und die modernste Software nutzen wenig, solange der Mensch diese wieder außer Kraft setzt. Daher ist Schritt eins, das Sicherheitsbewusstsein bzw. die Security Awareness jedes einzelnen Mitarbeiters zu schärfen. Wichtig ist hierbei jedoch, nicht einfach nur auf Standardschulungen bzw. allgemeine Trainings zum Thema Cybersecurity bzw. Security Awareness zu setzen.
Wir empfehlen unseren Kunden und Interessenten daher, durch Messungen und spezifische Kennzahlen (KPIs) den sog. Reifegrad des eigenen Unternehmens zu bestimmen. Dadurch ist es möglich individuelle Maßnahmenpläne zu erarbeiten und Schwachstellen passgenau zu beheben und die Mitarbeiter entsprechend zu schulen. Der Vorteil liegt hierbei klar auf der Hand. Zum einen wird die aktuelle Security Awareness des Unternehmens genaustens betrachtet und berücksichtigt. Zum anderen erhalten die Mitarbeiter nur für sie relevante Informationen und werden so nicht mit allgemeinen technischen Schulungen oder Trainings überladen. Die IT-Abteilung erhält selbstverständlich alle Ergebnisse der Analysen und die vollständigen Maßnahmenpläne.
ITERACON Awareness Service (IAS) – Maßgeschneiderte Services
Im ersten Schritt des ITERACON Awareness Service (IAS) starten wir mit der Auswahl der bei Ihnen im Unternehmen durchzuführenden Kampagnen. Im Anschluss werden definierte Messinstrumente genutzt, um Ihren persönlichen Security Awareness Reifegrad zu bestimmen. Sobald dies geschehen ist, entwickeln wir einen detaillierten Maßnahmenplan. Ziel unseres Service ist es, die Schwachstellen zu identifizieren und nur dort wo wirklich Bedarf besteht, punktuell gegenzusteuern bzw. zu optimieren.
Der ITERACON Awareness Service bietet Ihrem Unternehmen die Möglichkeit den Security Reifegrad in Form von definierten Verfahren in Kennzahlen zu messen. Ganz gleich, ob Ihre Systeme on-premises sind, in der Cloud liegen, oder ob Ihre Mitarbeiter im Homeoffice oder in der Firma agieren. Durch spezielle Tools und Verfahren ist es uns immer möglich, Ihnen die bestmöglichen Indikatoren zu geeigneten Maßnahmen zu liefern. Mit unserem IAS sind Sie in der Lage u. a. folgende Kampagnen bzw. Belastungstests in Ihrem Unternehmen durchzuführen:
Beim Mail- und Spear-Phishing handelt es sich um spezielle Betrugsversuche per E-Mail. Gefälschte E-Mails zielen darauf ab, Zugang zu vertraulichen Daten zu erhalten. Hierbei wird auf die Gutgläubigkeit des Opfers gesetzt. Vermeintlich seriöse Mails werden nicht hinterfragt und einfach geöffnet. Durch das Öffnen der E-Mail kann sich der Täter dann Zugriff auf das System verschaffen.
Für das IT-Infrastruktur-Audit wurde eine strukturierte Vorgehensweise entwickelt, die sowohl eine effiziente Analyse als auch die Ableitung von Handlungsmaßnahmen und Verbesserungsmaßnahmen ermöglicht. Unter einem „Threat Check“ versteht man in der IT einen Check auf mögliche Bedrohungen. Nachdem der Bedrohungscheck gemacht wurde, kann dann über weiter Vorgehensmaßnahmen und Verbesserungsvorschläge nachgedacht werden.
Bei einem Phishing Anruf wird eine Person unter einem vorgetäuschten Vorwand von den Betrügern, welche sich z. B. als IT-Mitarbeiter ausgeben, angerufen. Im Verlauf des Gesprächs wird der Angerufene meist dazu aufgefordert, persönliche Daten preiszugeben oder via Fernwartungstool einen Zugriff zum Computer und so zum Unternehmensnetzwerk freizugeben.
Unter dem Begriff Hardware Phishing versteht man, dass sich Hacker durch physische Sicherheitslücken unerlaubten Zugriff auf das System verschaffen. Beispielsweise kann durch einen manipulierten USB-Stick auf Unternehmensdaten zugegriffen bzw. das Unternehmensnetzwerk ausspioniert werden.
Beim Field Phishing wird von externen Personen versucht in das Unternehmensgebäude bzw. in die Serverräume einzudringen. Das Ziel ist es auch hier Zugriff auf wichtige Unternehmensdaten und das Unternehmensnetzwerk zu erlangen. Auch hier wird zum Betreten der Räumlichkeiten auf die Gutgläubigkeit und die Unwissenheit des Opfers gesetzt.
Wichtig: Wir bieten Ihnen keinen Standardmaßnahmenkatalog. Wir betrachten jedes Unternehmen und die Ergebnisse individuell. Maßnahmen und Handlungsempfehlungen wie beispielsweise Schulungen, Trainings, Services oder auch entsprechende Sicherheitskonzepte werden individuell abgestimmt, konzipiert und umgesetzt. So stellen wir sicher, dass wir auf Ihre und die Bedürfnisse Ihrer Mitarbeiter eingehen. Denn nur durch eine zielgerichtete Sensibilisierung für Themen rund um die IT-Sicherheit können Sicherheitsbedrohungen, die während der alltäglichen Arbeit lauern, frühzeitig erkannt und zukünftig vermieden werden. Darüber hinaus empfehlen wir Ihnen, Ihren Security Reifegrad in regelmäßigen Abständen erneut zu prüfen. So sind Sie immer bestmöglich informiert und geschützt.
Sprechen Sie uns gleich an!