Es gibt zwei Arten von Unternehmen:

„Die einen, die einen schweren Hackerangriff hinter sich haben.

Und die anderen,
die ihn noch vor sich haben.“

So – und in Anlehnung an den ehemaligen FBI-Direktor James Comey – beschreibt der baden-württembergische Innenminister Thomas Strobl beim Cybersicherheitsforum in Stuttgart die aktuelle Situation. Tatsache ist: Die Anzahl von Cyberangriffen auf Firmen steigt stetig.

Social Engineering => Social Hacking Übung für Firmen

Die größte Bedrohung geht unverändert von sogenannten Verschlüsselungstrojanern aus.
Hierbei infizieren die Angreifer die IT-Systeme der Opfer-Firmen mit Programmen, die die im Firmen-Netzwerk gespeicherten Daten verschlüsseln. Damit können die Firmen auf ihre eigenen Daten nicht mehr zugreifen und der Geschäftsbetrieb ist lahmgelegt.

Die Angreifer bieten dann gegen Zahlung von Lösegeld an, die Daten wieder zu entschlüsseln. Und mit digitalen Währungen wie Bitcoin ist ein anonymer Lösegeld-Transfer problemlos möglich.

Die Lösegeld-Forderungen haben inzwischen die Größenordnung zweistelliger Millionenbeträge erreicht. Unabhängig vom finanziellen Risiko kann es für das Opfer-Unternehmen nachteilig sein, wenn dies publik wird. Denn dann müssen sich die Geschäftsleitungen womöglich die Frage gefallen lassen, ob die Sicherheitsinfrastruktur der Firma ausreicht und ob die Belegschaft angemessen geschult und sensibilisiert wurde und die Angreifer kein „leichtes Spiel“ hatten. 

Wir von Trainstitute sind davon überzeugt, dass der Aspekt Mitarbeiter-Sensibilisierung auf mehrere, parallell-laufende Weisen erfolgen sollte. Als Bildungsmaßnahme sind Schulungsvideos sehr geeignet, hierzu finden Sie detaillierte Informationen auf dieser Webseite. Es braucht aber mehr als das. Es braucht ein „Erlebnis“ beziehungsweise eine „Referenz-Erfahrung“. Was meinen wir damit?
Flankierend zu den Videos empfehlen wir Firmen, mit der Belegschaft in regelmäßigen Abständen sogenannte Social Hacking Übungen durchzuführen. Dabei erhalten die Mitarbeitenden Phishing-Emails, die sie dazu verleiten sollen, einem Link zu folgen, ein anhängendes Dokument zu öffnen oder auf einer legitim anmutenden Webseite ihre Zugangsdaten einzugeben. Bei dieser Social Hacking Übung entsteht natürlich kein Schaden. Wenn ein Mitarbeitender auf den Link klickt, den Anhang öffnet oder seine Zugangsdaten einträgt, landet er auf einer vorbereiteten Seite, die ihm/ihr verdeutlicht, dass dies eine Übung ist und er/sie sich nicht gefährdungsgerecht verhalten hat. Es wird veranschaulicht, dass wäre diese keine Übung gewesen, großer finanzieller Schaden hätte entstehen können.

Wichtig: Bei den von uns durchgeführten Social Hacking Übungen geht es NICHT darum, die falsch-handelnde Person zu identifizieren und zu sanktionieren. In unseren Social Hacking Übungen bleiben die Namen der Mitarbeitenden anonym. Es wird nur auf statistischer Ebene ausgewertet, wie viele Personen in der Belegschaft risiko-auslösend gehandelt haben.
Die „Erfahrung“ auf eine Website geleitet zu werden, auf der angezeigt wird, dass man soeben eine Gefährdungssituation nicht erkannt hat und das eigene Verhalten ein großes Risiko für den Arbeitgeber auslöst reicht unser Erfahrung nach aus, in Zukunft aufmerksamer und vorsichtiger zu sein. Mit anderen Worten: Diese Referenz-Erfahrung, dieses Erlebnis wünschen sich die Menschen kein zweites Mal und damit ist die Sensibilisierung „erfolgreich“.

UNSER ANGEBOT:
SOCIAL HACKING ÜBUNG

Alle Mitarbeitenden erhalten eine von uns vorbereitete Phishing E-Mail. Klickt ein Mitarbeitender auf  einen Link, öffnet eine angehängte Datei oder gibt seine Zugangsdaten in ein von uns vorbereitetes Formular ein, landet er auf einer Seite, die ihm verdeutlicht, dass diese Aktion risikoreich war.

Eine Social Hacking Übung („Kampagne“) wird individuell für Ihre Firma konfiguriert. Nicht jeder Mitarbeitende erhält die gleiche Phishing-E-Mail. Die E-Mails werden nicht zeitgleich sondern mit zeitlichem Versatz gesendet.

Optional landen die Mitarbeitenden direkt auf einem Schulungsvideo, welches das korrekte Verhalten erklärt (Kombination mit Videos aus der Reihe EDV-Sicherheit).

Sie erhalten einen Ergebnisbericht, der das Verhalten der gesamten Belegschaft transparent macht. Die Auswertung ist anonymisiert, es erfolgt KEINE Auswertung auf Ebene einzelner Mitarbeiter:innen.

NEUGIERIG GEWORDEN?