Cyber Security Awareness und Phishing (Teil 1)

Navigation aller Website-Bereiche

Technologie und Wissen

Was gilt es zu wissen über die aktuellen Trend-Themen?

Cyber Security Awareness und Phishing (Teil 1)

Mitarbeiter*innen in Unternehmen und Behörden müssen wachsam bleiben, um gegen die Flut an Cyber-Angriffen etwas auszurichten. In unserer dreiteiligen Reihe stellen wir verschiedene Maßnahmen unseres Cyber Defence Centers vor, die die Cyber-Sicherheit in Unternehmen und Behörden erhöhen.

Bewusstsein für Cyber Security schärfen

28 Prozent aller gezielten IT-Angriffe sind erfolgreich. Zu dem Ergebnis kommt eine erst kürzlich veröffentlichte Studie von Endpoint Security-Herstellern. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft Angriffe auf die Identität der Nutzer*innen, die sogenannten Social Engineering-Attacken, als hochgefährlich ein, wie der aktuelle Lagebericht des BSI schreibt. Unter den Betroffenen befanden sich einige namhafte Unternehmen, zum Beispiel die Hotelkette Marriott oder die Social Media-Plattform Facebook. Dass die Zahl so hoch ist, liegt unter anderem daran, dass moderne Phishing-Attacken kaum noch als solche zu erkennen sind.

Beim Phishing erhält eine Person eine Nachricht mit dem Ziel, diese zu täuschen. Die oft als harmlose Website oder E-Mail getarnten Betrugsversuche dienen in erster Linie dazu, dem Empfänger Informationen zu entlocken oder ihn zum Download von Schadcode zu verführen und damit dem jeweiligen Arbeitgeber zu schaden. Bei den gesuchten Informationen handelt es sich oft um personenbezogene Daten, Passwörter, Login-Daten oder Transaktionsnummern.

Bei einer noch moderneren Form, dem sogenannten Spear-Phishing, ist der Angreifer bereits im Vorhinein an persönliche Informationen gelangt und kann den Betrug noch persönlicher gestalten. Gelingt es dem Angreifer, die Person sowohl namentlich anzusprechen als auch weitere Informationen wie z. B. Vereinsmitgliedschaften, Position innerhalb der Organisation, die private Handy-Nummer oder ähnliches in Erfahrung zu bringen, fällt es der angesprochenen Person noch schwerer, die Phishing-Attacke überhaupt zu erkennen.

Unzureichend ausgebildete Mitarbeiter*innen machen das Unternehmen zudem sehr anfällig für ungezielte Phishing-Angriffe. Viel zu leicht landen E-Mail-Adressen in Foren, werden unter Hackern ausgetauscht und für Angriffe missbraucht.

Geplante Phishing-Mails führen in Versuchung

Materna bietet Organisationen einen qualifizierten Test, um zu überprüfen, wie gut das Personal bereits mit personalisierten Angriffen umgehen kann. Die Mitarbeiter*innen werden, ganz wie bei einer bösartigen Phishing Attacke, in Versuchung geführt, vermeintlich harmlose Anhänge, Webseiten oder Links zu öffnen. Dies kann u. a. in Form von E-Mails z. B. im Corporate Design des Unternehmens oder eines häufig genutzten Dienstleisters geschehen. Die Opfer, die auf die gestellte Falle hereinfallen, landen auf einer Informationsseite. Hier erfährt das Opfer, welche Hinweise in der empfangenen E-Mail hätten erkennen lassen, dass es sich um eine Phishing-Mail handelt. Eine Besonderheit des Phishing-Systems von Materna ist, dass sich die sogenannten Social Indicators immer auf genau die E-Mail beziehen, die das Opfer auch empfangen hat. Der Lerneffekt ist somit deutlich größer als bei generalisierten Hinweisen.

Materna verfolgt hierbei einen ganzheitlichen Ansatz und bietet einen umfassenden Katalog unterschiedlicher Phishing-Maßnahmen. Dies reicht von einfachen standardisierten E-Mails bis zu personalisierten Spear-Phishing Kampagnen. Letztere beziehen Informationen aus dem Active Directory sowie öffentlichen Datenbanken wie haveibeenpwned.com und Social Media-Netzwerken wie Xing, LinkedIn und Facebook mit ein. In einer Kampagne bieten sich zahlreiche Möglichkeiten, zu testen, ob Nutzer*innen Phishing-Attacken erkennen.

Die Empfänger der Phishing-Übungen werden statistisch und persönlich erfasst. Die Auswertung kann personenbezogen oder anonymisiert erfolgen. Somit haben Organisationen immer im Überblick, welche Mitarbeiter*innen noch Trainingsbedarf haben.

Möglichkeiten der Materna Phishing-Plattform Möglichkeiten der Materna Phishing-Plattform


Regelmäßige E-Learning-Kampagnen

Materna kombiniert das Phishing-System mit unterschiedlichsten Awareness-Einheiten. Das Angebot reicht von vorlagenbasierten über selbstproduzierte und an das Corporate Design angepasste bis zu komplett neu produzierten E-Learnings, Quizzen, Spielen und Videos.

Die große Herausforderung für E-Learning-Kampagnen im Bereich Cyber-Sicherheit besteht darin, die Brisanz des Themas immer wieder aufs Neue zu vermitteln. Die Inhalte müssen auch im x-ten Lern-Modul interessant und innovativ aufbereitet sein, um die Motivation der Lernenden aufrechtzuerhalten und das Erreichen des Lernziels sicherzustellen. Die Lernenden intensiv einzubeziehen, transferiert das Erlernte erfolgreich in die Praxis.

Erfolgsfaktoren für die von Materna produzierten E-Learning-Module zur Cyber-Sicherheit sind:

  • Große Medienvielfalt: Das schönste Medium nutzt sich ab, wenn es zu häufig eingesetzt wird oder nicht zum Lernziel passt. Gleichförmige Medienformate dürfen die Nutzer*innen nicht langweilen.
  • Innovativer Medienmix: Neue Medienformate durchbrechen die Klick-Langeweile üblicher Lern-Module und unterstützen das Lernerlebnis.
  • Hoher Interaktionsgrad: Das aktive Klicken, Ziehen und Auswählen von Inhalten und Themen erhöht die kognitive Fähigkeit der Nutzer*innen, die Lerninhalte auch wirklich aufzunehmen. Aktive Entscheidungssituationen durchbrechen dabei den einfachen Konsum von Lernhinhalten, bei dem die Nutzer*innen die Informationen nur lesen und anschauen.
  • Übungen und Quizze: Erfolgskontrollen in den Lern-Modulen sind auf der einen Seite wichtig, damit die Lernenden ihr Wissen festigen und überprüfen können. Auf der anderen Seite bieten sie Rückmeldung über mögliche Kenntnislücken der Mitarbeiter*innen und bieten eine Grundlage für die Weiterentwicklung der Schulungsangebote.
  • Praxisnahe Beispiele und Szenarien: Mithilfe von Beispielen aus dem Alltag oder dem persönlichen Erleben identifizieren sich die Lernenden mit den Inhalten. Rein theoretisches Wissen wird so zu Praxiswissen. Die Lernmodule werden regelmäßig überarbeitet, um die Beispiele an aktuelle Gefährdungssituationen anzupassen und die Relevanz der Lernziele auch im Zeitverlauf zu verdeutlichen.
  • Ausrichtung auf heterogene Zielgruppen: Jeder lernt anders und in einem anderen Tempo. Die asynchronen E-Learning-Module unterstützen diese Anforderungen durch Medienvielfalt und hohen Interaktionsgrad. Selbstbestimmtes Lernen schafft Freiräume und Akzeptanz bei den Mitarbeiter*innen, erfordert jedoch hohe Eigenmotivation. Abwechslungsreiche Medienformate und unterschiedliche didaktische Methoden tragen zu einer hohen Eigenmotivation bei.
  • Starke Einbeziehung der Lernenden: Die Interaktion in den Medien und die Identifikation mit den Inhalten erreicht nicht nur eine kognitive, sondern auch eine effektive Beteiligung der Lernenden. Der Transfer des Erlernten in das tägliche Verhalten wird deutlich einfacher.

Dies sind beispielhafte Medienformate, die Materna anbietet:

  • In einem Experteninterview bereiten eigene Experten oder Experten von Materna „trockene“ Inhalte zur IT-Sicherheit einfach und verständlich auf.
  • Interaktive Übung in einer 360°-Umgebung mit stehenden Bildern oder auch Video wie in einem 3D-Video-Spiel. So fühlen sich Teilnehmer*innen als Teil der Umgebung, mit der sie interagieren können.
  • Animationsfilme, die mit Realbildsequenzen eigener Mitarbeiter*innen verknüpft werden, transportieren perfekt das Unternehmensflair.
  • Interaktive Übung oder Video-Übung mit Elementen des eigenen Unternehmens
  • Interessante und lebhafte Quizze und Erfolgskontrollen wecken den Spieltrieb. Hierdurch bleibt das Gelernte länger im Gedächtnis als bei langweiligen Tätigkeiten.


Die Trainings können in ein bereits bestehendes Portal integriert oder über das Materna E-Learning-System bereitgestellt werden. Auch lässt sich der Angebotszeitraum beliebig festlegen, wie z.B. als Pflichttraining nach einem erfolgreichen Phishing, vom Phishing unabhängig oder als freiwilliges Training mit Login zum Trainingsportal. Neben den Trainings bietet Materna die Möglichkeit, das Thema Compliance z. B. als Video oder Podcast eigener Mitarbeiter*innen im Portal mit anzubieten. Hierbei tritt ein(e) Mitarbeiter*in, der/die Geschäftsführer*in oder aber ein(e) Materna-Expert*in als Referent*in auf und präsentiert zum Beispiel die Organisationsrichtlinien. Materna unterstützt bei der Ausarbeitung der Inhalte und der Vorbereitung für die multimediale Wiedergabe. In einem professionellen Videostudio werden die Inhalte auf dem neuesten Stand der Technik aufgenommen und bearbeitet.

Für eine ganzheitliche Betrachtung der Cyber-Sicherheit in Organisationen bietet Materna neben dem Awareness-Programm viele weitere Leistungen für die technische IT-Sicherheit.

Cyber Security Schwachstellenmanagement (Teil 2)

Cyber Security Pentesting (Teil 3)