Security Awareness: Wie sensibilisiere ich mein Team für Phishing-Angriffe?

Infoletter #20

Hintergrund Gitternetz

Editorial

 

Gruppenbild der carmasec-Geschäftsführer Timm Börgers, Carsten Marmulla, Jan Sudmeyer

Drei von vier Unternehmen werden mindestens einmal pro Jahr von Hackern angegriffen. 92 Prozent aller Attacken beginnen dabei mit einer Phishing-E-Mail, ermittelte das Kölner Security-Unternehmen SoSafe. Die Konsequenzen erfolgreicher Attacken sind die umfangreiche Verschlüsselung von Unternehmensdaten und die darauffolgenden hohen Lösegeldforderungen der Hacker.

Erst vor wenigen Wochen waren deutsche Unternehmen von der REvil-Attacke auf den IT-Dienstleister Kaseya betroffen. Die Hacker forderten 70 Millionen Euro Lösegeld. Technische Lösungen wie Spam-Filter sind als Schutz nur bedingt wirksam, da Cyberkriminelle ihre Attacken mittlerweile sehr gut als unverdächtige Kommunikation tarnen.

Ein wirksamer Lösungsansatz liegt demnach in der Sensibilisierung Ihrer Mitarbeiter:innen, Cyberattacken als solche zu erkennen und nicht auf gefährliche Links zu klicken oder kompromittierte Anhänge zu öffnen. Die drei wichtigsten Schritte zur Aktivierung der „menschlichen Firewall“ in Ihrem Unternehmen sowie weitere Lösungen haben wir Ihnen in diesem Infoletter zusammengestellt.

Zudem begrüßen wir drei neue Kollegen in unserem Team: Herzlich willkommen, Christian Zschoche, Dr. Timo Maldere und Nico Weber.

Wir wünschen Ihnen viel Spaß beim Lesen des aktuellen Infoletters.

 

Herzlichst

Timm Börgers, Carsten Marmulla & Jan Sudmeyer
Geschäftsführer carmasec GmbH & Co. KG

 


 

Inhalt dieses Infoletters

 

 


 

SECURITY AWARENESS: Wie schaffe ich bei meinen Mitarbeiter:innen ein Bewusstsein für Cybersicherheit?

 

Security Awareness TrainingsInsbesondere für Geschäftsführer:innen stellt sich die Frage, wie sie ihr Unternehmen vor erfolgreichen Phishing-Attacken bewahren. Die wichtigste Ressource sind hierbei gegen Angriffe sensibilisierte und entsprechend geschulte Mitarbeiter:innen. Wir zeigen Ihnen, wie Sie in drei Schritten mit dem Aufbau Ihrer „menschlichen Firewall“ starten können.

1. Entwickeln Sie in Ihrem Team ein Mindestmaß an Sicherheitsbewusstsein

Ihre Mitarbeiter:innen benötigen ein bedarfsgerechtes Basiswissen für Aspekte der Cybersicherheit. Um Ihren Bedarf einzugrenzen, empfiehlt sich eine IST-Analyse. Evaluieren Sie: Wo steht Ihr Unternehmen und wie verändert sich die Anfälligkeit Ihrer Belegschaft für Cyberangriffe durch Awareness Trainings?

2. Schaffen Sie Grundlagen, um Ihre Mitarbeiter:innen für Risiken und Folgen ihres Handelns zu sensibilisieren

Führen Sie Schulungen zu Cyberrisiken und Notwendigkeiten von Security Maßnahmen durch. Sorgen Sie außerdem für Verständnis, welche Auswirkungen ein falscher Klick haben kann. Sensibilisieren Sie Ihre Mitarbeiter:innen insbesondere für die Gefahren in der isolierten Arbeit beispielsweise im Home Office.

3. Unterstützen Sie Ihr Team beim Verständnis für die technische Komplexität

Heutzutage verändert sich die Tool- und Systemlandschaft, die in einem Unternehmen genutzt wird, ständig. Damit erhöht sich die Anfälligkeit für Cyberattacken. Rein technische Maßnahmen wie ein Spam-Filter schützen nicht ausreichend, da nicht alle Attacken erkannt werden. Sorgen Sie durch regelmäßige Schulungen und Audits dafür, dass Ihr Team ein Verständnis für die genutzte Soft- und Hardware entwickelt und Angriffe erkennen kann. So schützen Sie sich am besten vor Cyberattacken durch Phishing-Links.

Gerne unterstützen wir Sie beim Aufbau Ihrer „menschlichen Firewall“. Weitere Informationen finden Sie auf unserer Website.


 

SECURITY AWARENESS: Trainings mit Phishing-Simulationen

 

Ablaufschema unserer Security Awareness TrainingsZum Schutz Ihrer IT-Systeme vor Phishing-Attacken sind Awareness Trainings für Ihre Mitarbeiter:innen unerlässlich. Da in jedem Unternehmen eine andere Ausgangssituation herrscht und individuelle Anforderungen an Security Awareness gestellt werden, bieten wir Ihnen individuell auf Ihren Bedarf abgestimmte Programme an.

Unsere Awareness Trainings sind modular aufgebaut. In der Regel beginnen wir mit einer Bestandsaufnahme z.B. in Form einer Phishing-Simulation. Hierzu nutzen wir die Simulations-Plattform unseres Kölner Partners SoSafe, über die wir Ihnen 15 branchenspezifische Trainingspakete anbieten können. Darauf aufbauend schulen wir Ihre Mitarbeiter:innen in passenden Workshop-Einheiten, vermitteln Grundlagen und sensibilisieren für aktuelle Cyberbedrohungen.

Unsere Trainings-Inhalte umfassen:

  • die Vermittlung von Grundlagen der Cybersicherheit
  • die sichere Nutzung von E-Mails, Internet und Web Tools
  • Sicherheit am Arbeitsplatz und bei der Nutzung von mobilen Endgeräten
  • Grundlagenwissen zu Schadsoftware

Weitere Trainingsinhalte und Informationen zum Ablauf eines Security Awareness Trainings finden Sie auf unserer Website.

 


 

WEBSITE SECURITY: Automatisierte Schwachstellen-Scans Ihrer Webanwendung

 

Crashtest Security Website Scan Key Art

Nicht zuletzt aufgrund der Corona-Pandemie hat die digitale Transformation der deutschen Wirtschaft immens an Dynamik gewonnen. Anwendungen auf Basis von Web-Technologien gewinnen weiterhin an Bedeutung und Entwicklungszyklen werden stetig kürzer. Auf der anderen Seite haben Cyberattacken stark zugenommen und Betreiber von Websites müssen sich kontinuierlich gegen Angriffe wehren. Da Sicherheitsprüfungen nicht mehr effizient von Hand durchgeführt werden können, bedarf es automatisierter Lösungen.

Unsere Empfehlung: Die Plattform des deutschen Anbieters Crashtest Security testet Webanwendungen umfangreich auf mögliche Schwachstellen u.a. anhand der OWASP Top 10. Der Scanner überprüft u.a. die Webserver-Einstellungen, Cookies, führt gängige Attacken gegen Schwachstellen wie Poodle oder HeartBleed durch und testet auf offene Ports und verfügbare Dienste. In einem ausführlichen Bericht werden Ihnen neben den Ergebnissen auch Empfehlungen zur Behebung vorhandener Sicherheitslücken zur Verfügung gestellt. Die Technologieplattform und das eingesetzte Verfahren eignet sich insbesondere für das automatisierte Testing von Backend-Infrastrukturen wie Webservices oder APIs und lässt sich nahtlos in die jeweilige CI-/CD-Pipeline integrieren.

Auf unserer Website bieten wir Ihnen neben weiteren Informationen einen kostenfreien Scan von öffentlichen Websites als Demonstration der Leistungsfähigkeit an. Gerne unterstützen Sie bei der Umsetzung geeigneter Maßnahmen in Ihrer Organisation und Infrastruktur.

Zum Website Scan

 


 

IN EIGENER SACHE: carmasec begrüßt Christian Zschoche, Dr. Timo Malderle und Nicolas Vaca Weber

Wir freuen uns sehr, Ihnen unsere drei neuen Mitarbeiter vorzustellen.

Profilfoto von Christian ZschocheSecurity Consultant Christian Zschoche unterstützt carmasec seit dem 01. April 2021. Er übernimmt Aufgaben im Bereich der Technologie-Beratung. Aktuell führt der Experte für IT-Sicherheit ein Security Assessment einer Systemmigration in eine Oracle Cloud Infrastruktur für einen Kunden aus der Logistikbranche durch.

Profilbild von Dr. Timo MaldereWir freuen uns sehr, dass Dr. Timo Maldere seit dem 01. Juli 2021 carmasec als Cyber Security Consultant unterstützt. Der Experte für IT-Security bringt u.a. sein umfangreiches Know-How im Bereich Identity- and Access Management ein. Aktuell ist er an der Erstellung eines Sicherheitskonzepts für einen großen Logistik-Konzern beteiligt.

Profilbild Nicolas Vaca WeberZudem begrüßen wir unseren ersten Auszubildenen Nicolas Vaca Weber. Nicolas wird bei carmasec seine Lehre zum Fachinformatiker für Systemintegration absolvieren. Er unterstützt uns bei internen Administrations-Projekten und der Weiterentwicklung unseres Solution Labs.

Lesen Sie die ausführliche Vorstellung unserer drei neuen Kollegen auf unserem Themenportal.