Cyber Security

Navigation aller Website-Bereiche

Nachgefragt

Wir fragen beim Experten nach und beleuchten die aktuellen Rising Stars der IT-Branche

Cyber Security

Trend Micro geht davon aus, dass über 90 Prozent aller erfolgreichen Cyber Security-Attacken mit Social Engineering beginnen. Erfahren Sie im Interview, wie Organisationen das Bewusstsein ihrer Mitarbeitenden für Cyber Security-Gefahren schärfen können. Dominik Foert ist Cyber Security-Spezialist bei Materna und Ariane Hecker ist Beraterin Lernen und Kommunikation bei Materna TMT.

Hacker bedrohen die Sicherheit

Cyber Security

Was ist eigentlich Social Engineering?

Dominik Foert: Wir sprechen von Social Engineering, wenn ein Angreifer eine Person dazu bewegt, etwas zu tun, was er oder sie nicht will oder nicht darf. Oftmals erfolgt das mithilfe von Phishing-Mails oder aber auch mit Telefonanrufen, die nicht der Wahrheit entsprechen. Täglich werden über drei Milliarden Phishing-Mails versendet. Die Gefahr ist also allgegenwärtig.

Wie gehen Angreifer in der Regel vor?

Dominik Foert: Angreifer nutzen im Wesentlichen die Schwachstelle „Mensch“ aus und appellieren an Gefühle wie Angst, Neugier oder Hilfsbereitschaft. Sie nutzen gezielt Notsituationen aus oder erschaffen sie sogar künstlich. Oftmals setzen Angreifer Köder oder Reizmittel ein und bauen eine zeitliche Drucksituation auf. Der Angegriffene soll etwa Dringliches tun. Zudem drohen Angreifer, wollen Angst einjagen und dadurch das Opfer zum Handeln bewegen.

Können Sie ein Beispiel nennen?

Dominik Foert: Die sogenannten Fake-Shops sind ein Beispiel dafür. Zu Beginn der Corona-Krise waren diese Shops für Betrüger ein lukratives Geschäft, da die Nachfrage für Atemschutzmasken und Desinfektionsmittel besonders hoch war. Die Hacker haben die Knappheit der Waren und die allgemeine Notsituation ausgenutzt, Phishing-Mails verschickt und darin behauptet, sie hätten die Artikel vorrätig. Die dort bestellten Masken und Desinfektionsmittel wurden zwar bezahlt, aber nie geliefert. Die Namen der Internet-Seiten änderten sich dabei ständig. Offensichtlich waren die Hacker sehr geschickt dabei, ihre Spuren zu verwischen.

Gibt es weitere typische Angriffsarten?

Dominik Foert

Dominik Foert: Weitere gängige Vorgehensweisen der Angreifer sind Information Theft, also Informationsdiebstahl, und CEO-Fraud. Der Angreifer erlangt Informationen oder verleitet zu Handlungen, wie beispielweise das Anklicken eines Links. Beim CEO-Fraud gaukelt die Angriffsmail vor, sie stamme vermeintlich von der Unternehmensleitung. Das löst ein gewisses Pflichtgefühl aus, schnell und respektvoll im Sinne der Autoritätsperson zu handeln.

Es kommt immer wieder zu Drohungen im Cyber Security-Umfeld. Wie läuft das ab?

Dominik Foert: Betrüger drohen in sogenannten Spear-Phishing-Mails. Das bedeutet, es werden personalisierte Informationen verwendet. Es gibt ein aktuelles, sehr perfides Beispiel für gut gemachte Spear-Phishing-Mails: Angreifer verschickten E-Mails, in denen sie den Angegriffenen persönlich mit Namen ansprechen oder sogar mit der Wohnadresse. Das Opfer wurde aufgefordert, Bitcoins auf das Wallet des Angreifers zu überweisen. Ansonsten wurde damit gedroht, den Angegriffenen und seine Familie mit Corona anzustecken. Der Angreifer spielt hier mit der Angst des Opfers, baut eine Notsituation auf und erpresst das Opfer.

Wie können sich Unternehmen und Behörden vor solchen Phishing-Mails schützen?

Dominik Foert: Ganz wichtig ist es, das Verhalten der Mitarbeitenden nachhaltig zu ändern. Schulen Sie Ihre Mitarbeiter, damit sie einen Blick für Phishing-Mails entwickeln und diese leichter entdecken. Erst ein konstantes Lernen mit Aufzeigen und Abbilden der aktuellen Gefahren verändert nachhaltig das Verhalten und setzt die Mitarbeitenden frühzeitig aktuellen Phishing Mails aus. Dies geschieht optimalerweise bereits, bevor diese eine echte Phishing-Mail mit ähnlichem Inhalt erhalten. Veröffentlichen Sie zudem die Beispiele echter Phishing E-Mails. Mit regelmäßigen Tests, die möglichst Spaß machen, überprüfen Sie das Gelernte und festigen das Wissen der Mitarbeitenden. Sobald das Gefühlszentrum mit aktiviert wurde, merken sich Menschen Lernstoff viel besser. Mitarbeitende können auch spielerisch geschult werden, zum Beispiel mit kleinen Spielen.

Die Phishing-Kampagnen oder Tests, die wir für unsere Kunden durchführen, passen wir an die jeweilige Zielgruppe an. Je nach Abteilung oder Tätigkeitsbereich reagieren Mitarbeitende anders und sind zudem für unterschiedliche Themen sensibel. Mitarbeitende aus einer Einkaufsabteilung sind zum Beispiel empfänglicher für Lieferantenrechnungen, während sich Kolleg*innen aus einer IT-Abteilung für Soft- und Hardware-Angebote interessieren. Natürlich gibt es auch übergreifend gut funktionierende Themenbereiche.

Wie sollten Unternehmen das erforderliche Wissen vermitteln mit Blick auf E-Learning?

Ariane Hecker: Um E-Learning zu verstehen, müssen wir uns das Lernen als solches genauer anschauen: wie wir lernen und wie Wissen vermittelt wird. Langfristig wollen wir eine Verhaltensänderung erreichen. Motivation und die Aktivierung auf einer emotionaleren Ebene sind hier essenziell. Beim E-Learning, mit dem wir das Thema IT-Security unterstützen, lassen sich verschiedene Medien einsetzen, die emotionalisieren und durch einen hohen Grad an Interaktion auch aktivieren.

Worauf ist bei einem E-Learning zu achten?

Ariane Hecker: Hier ist es wichtig, die Zielgruppe und ihre Verhaltensweisen zu berücksichtigen und auf das Medium abzustimmen. Überwiegend ziehen visuelle Medien, die reich an Bildern und Grafiken sind, die Aufmerksamkeit auf sich. Der Lernende darf sich nicht langweilen und sollte daher auch interaktiv in das E-Learning eingebunden werden. Das gilt insbesondere bei Themen, die langfristig wichtig sind. Diese müssen immer wieder spannend vermittelt werden. Gerade bei einem wiederkehrenden Thema wie IT-Security haben sich die Lernenden mittlerweile an die Bedrohungsszenarien gewöhnt und müssen regelmäßig sensibilisiert werden.

Beim E-Learning gibt es, anders als beim Präsenztraining, keinen Trainer, der motiviert und die Lernenden bei Laune hält. Das erreicht das E-Learning mit Interaktivität und einem ansprechenden Medienmix, der die Lernenden aktiv in den Lernprozess einbindet. Das Schöne am E-Learning ist das zeit- und ortsunabhängige Lernen. Die Lernmaterialen sind auf vielen mobilen Endgeräten abrufbar, sodass die Lernenden selbst bestimmen können, wann sie lernen. Die Lerngeschwindigkeit liegt ganz bei einem selbst. E-Learning entwickelt sich zum Trend und löst die Trennung zwischen Arbeitswelt und Schulungssituation weitestgehend auf. So wachsen Arbeit und Lernen immer weiter zusammen und unterstützen die Notwendigkeit nach lebenslangem Lernen. Denn wenn eine Sache in diesen Zeiten gleichbleibt, dann ist es die Veränderung.

Wenn ich mir alles selbst beibringe, bleibt dann auch etwas vom Lernstoff hängen?

Ariane Hecker: Das ist eine wichtige Frage und die Antwort darauf lautet definitiv ja. Gerade beim E-Learning entscheidet der Lernende selbst, mit welchem Lernmittel und in welcher Geschwindigkeit er am besten lernt. Er kann zum Beispiel eine pdf-Datei mit Texten auswählen oder lieber ein Video. Der Grundsatz des Lernens ist beim Präsenzlernen und beim E-Learning gleich. Wichtig sind die verschiedenen Lernebenen, auf denen das Ganze stattfindet. Um Wissen nicht nur zu lernen und zu verstehen, ist es wichtig, dieses auch aktiv anzuwenden und analysieren zu können.

Grundvoraussetzung für das Aufnehmen und Vertiefen von Lernstoff ist natürlich, sich von vorneherein mit dem Thema zu identifizieren und keine Blockade dem Thema gegenüber zu haben. Gerade beim häufig gehörten Thema IT-Security müssen wir immer wieder eine Bereitschaft schaffen und den Lernenden sensibilisieren, wie konstant wichtig dieses Thema ist.

Das klingt sehr abwechslungsreich. Wie kann das im E-Learning gelernte Wissen dann aktiv in der IT angewendet werden?

Ariane Hecker: Um das Wissen zu vertiefen, muss es aktiv angewendet und in den Handlungsablauf integriert werden. Das funktioniert zum Beispiel sehr gut mit Szenario-basierten Übungen. Sehr gut ist es auch, den Lernenden aktiv eine Rolle einnehmen zu lassen und eigene Entscheidungen treffen zu lassen. Da wir nicht jede denkbare Situation schulen können, ist es wichtig, zu verstehen, wie ein Angreifer im IT-Umfeld vorgeht. Wenn das Prinzip einmal verstanden ist, erkennen die Nutzer*innen zukünftig Bedrohungsszenarien, die nicht geschult wurden. Das Sammeln von Erfahrungen und das alleinige Evaluieren der jeweiligen Situation kann das E-Learning nicht abdecken. Aber es kann helfen, diese richtig einzuordnen und durch vorheriges Lernen der Bedrohungsszenarien zu beurteilen.

Kann der Lernende dauerhaft auf die Lernmaterialen zugreifen und sein Wissen nach Bedarf auffrischen?

Ariane Hecker: Hierfür bietet Materna ein eigenes Lern-Management-System, unsere Lernwelt. Materna TMT ist Experte im Bereich didaktische Medienproduktion. Zusammen mit unseren IT-Security-Expert*innen konnten wir ein umfangreiches E-Learning-Programm für IT-Security aufbauen. In kurzen Lerneinheiten wird das Wissen zielgerichtet aufbereitet. In Übungen und Quizzen wird das Erlernte direkt angewendet und vertieft. So kommt es zu schnellen Lern- und Erfolgserlebnissen. Die Beispiele bilden konkrete Situationen aus dem Arbeitsleben nach. Wenn ein Mitarbeitender zum Beispiel eine Mail erhalten hat, die er für einen möglichen Phishing-Angriff hält, kann er im E-Learning-Programm nachschauen und die E-Mail anhand bestimmter Kriterien direkt überprüfen.

Vielen Dank für das Interview.