Cyber Security Awareness

Group of people standing in an office

Die Gefahren von kompromittierten Emails sind seit Jahren bekannt. Die Hintergründe einer Attacke und die daraus resultierenden Schäden können variieren. Schäden ergeben sich unter anderem im Zuge eines Fake President Angriffs, durch den Versand betrügerischer Emails an Personalabteilungen oder Social Engineering Attacken in sozialen Netzwerken. Dennoch sind „Phishing Emails“ laut der PwC Global State of Information Security Survey (GSISS 2017) die häufigste Angriffsart auf Unternehmen.


Der Weg des geringsten Widerstands

Zu Beginn des Cyber-Booms in Unternehmen lagen die Schwachstellen und damit die beliebtesten Einfallstore für Cyber-Attacken in den Computersystemen und deren Netzwerkverbindungen. Firewalls, Anti-Viren-Software oder Intrusion Prevention Systeme gehörten damals noch nicht zur Standardausstattung eines Unternehmens. Der Fokus der Angreifer lag damit auf den technisch mangelhaften und daher leicht angreifbaren internen Sicherheitsvorkehrungen. Somit konnten Unternehmensnetzwerke relativ einfach gehackt und Daten beispielsweise aus den Buchhaltungs- und Verwaltungssystemen abgezogen werden. Unternehmen haben mittlerweile das Risiko erkannt und steuern dagegen. Dies spiegelt sich vor allem in den IT-Budgetaufstockungen wider. Im Jahr 2016 investierten die an der GSISS 2017 teilnehmenden Unternehmen durchschnittlich 5,1 Millionen USD in Cyber-Security. Ein Großteil dieser Mittel wurde in Hardware und in die Ausbildung der IT-Mitarbeiter investiert. Dies führte unter anderem zu einem gesteigerten Sicherheitsniveau durch den Einsatz moderner und gut administrierter Computersysteme in Unternehmen.

Für Betrüger bedeutete dies eine Verschiebung der möglichen Einfallstore in Unternehmen. Die Angreifer mussten sich neue Ziele suchen, um an unternehmerische Daten zu gelangen.

Damit stand plötzlich der Mitarbeiter im Visier. Als neue Einfallstore ins Unternehmen werden mittlerweile  E-Mail-Postfächer und Smartphones von Mitarbeitern gesehen, meist aus den Buchhaltungs- oder Personalabteilungen. 38 % der in der GSISS 2017 befragten Unternehmen gaben an, dass Phishing E-Mails die am häufigsten auftretenden Sicherheitsvorfälle in ihrem Unternehmen sind. Die Angreifer setzen hier gezielt auf das Vertrauen und die Gutgläubigkeit der Mitarbeiter. 

Folgende Szenarien treten gehäuft auf und weisen angesichts der oftmals wenig bis gar nicht geschulten Mitarbeiter eine hohe Erfolgsrate für die Betrüger auf:

  • Der neue Mitarbeiter in der Buchhaltungsabteilung erhält eine E-Mail, die von einem Vorgesetzten direkt an ihn geschickt wurde. Inhalt der Nachricht ist die Bitte um Überweisung eines hohen Geldbetrages auf ein ausländisches Konto. Absolute Geheimhaltung setzt der  Vorgesetzte voraus. Der Angestellte fühlt sich geehrt, mit dieser Aufgabe betraut zu werden und tätigt die Überweisung, ohne den Absender oder die Handlung an sich zu hinterfragen.
  • Links zu Programmen oder Webseiten in Emails werden angeklickt und E-Mail-Anhänge geöffnet, ohne den Absender zu kennen und den Inhalt zu hinterfragen.
  • Frei herumliegende USB-Sticks werden an den Unternehmensrechner angeschlossen. 

Die Konsequenzen der unbedachten Handlung eines Einzelnen für das Unternehmen können enorm sein. Sind die Computer kompromittiert, können mit wenig Aufwand Daten gestohlen oder Festplatten verschlüsselt werden. Die Betrüger sitzen am längeren Hebel und fordern hohe Lösegeldsummen im Austausch gegen die unternehmerischen Daten.

Der Einsatz von Security Awareness Programmen kann helfen, Unternehmen vor derartigen Situationen zu schützen. Alle Mitarbeiter im Unternehmen – vom Praktikanten bis zum Vorgesetzten – sollen im Rahmen von Workshops in spielerischer Weise an das Thema IT-Sicherheit herangeführt werden. Solche Workshops dienen der Bewusstseinsbildung und -schärfung für mögliche Cyber-Gefahren und sollen den Mitarbeitern den kritischen und bedachten Umgang mit Nachrichten und E-Mail-Anhängen ermöglichen. Fragen wie: „Ist die E-Mail, die ich gerade erhalten habe, verdächtig?“ oder „Kann ich Anhänge und Links ohne Weiteres öffnen?“ sollen im Hinterkopf eines jeden Mitarbeiters dauerhaft verankert werden.

Ein positiver Nebeneffekt von Security Awareness Programmen für Mitarbeiter ist, dass sich die gelernten Verhaltensweisen nicht nur auf Unternehmensbereiche beschränken, sondern auch den privaten Umgang mit dem Internet sicherer gestalten.


PwC Game of Threats™

PwC bietet Unternehmen mit Game of Threats™ die Möglichkeit, bestehende Sicherheitsrisiken weiter zu minimieren. Bei Game of Threats ™ handelt es sich um ein digitales Kartenspiel zur Bildung von Sicherheitsbewusstsein. Das Spiel ist als interaktiver Workshop gestaltet, in dem reale Cyber-Angriffe und die für ein Unternehmen resultierenden Krisensituationen simuliert werden. Die Workshop-Teilnehmer müssen unter Zeitdruck Entscheidungen treffen, die unterschiedlichste Auswirkungen auf den Spielverlauf haben. Damit entscheiden sie letztlich über den Ausgang des Spiels.

Die Mitarbeiter treten in zwei Teams gegeneinander an. Ein Team agiert als Angreifer und versucht durch Setzen einer Angriffshandlung in das Unternehmen einzudringen. Das Angreifer-Team wählt dabei aus einer Reihe von vorgegebenen Aktionen. Das zweite Team handelt aus Unternehmenssicht. Es versucht den aktuellen Angriff abzuwehren bzw. möglichst vorzeitig zu beenden, im Falle eines erfolgreich gestarteten Angriffs die sich ergebenden Folgen bestmöglich zu beseitigen und durch gezielte Präventionsmaßnahmen künftige Cyber-Attacken zu verhindern. Auch dem Unternehmens-Team steht hierfür eine Reihe vordefinierter Aktionen zur Auswahl.

Jedes Team steuert das Spiel mit einem eigenen iPad und verfolgt die Auswirkungen seiner Entscheidungen in Echtzeit auf einem geteilten Bildschirm mit. Beide Seiten müssen wohlüberlegte und strategisch gute  Entscheidungen treffen, um im Spiel erfolgreich zu sein.

Aktionen sind rundenbasiert auf Basis von Spielkarten möglich und bauen auf vorherige Entscheidungen auf. Jedes Spiel bietet Abwechslung, eine Vielzahl an Entscheidungs- bzw. Gestaltungsmöglichkeiten und stellt die Spielteilnehmer vor immer neue Herausforderungen.

Nach dem Spiel erhalten die beiden Teams eine mündliche Kurzzusammenfassung ihrer Entscheidungen und deren Auswirkungen sowie eine Analyse des Spielverlaufs, um die Erfahrungen aus dem Spiel in die unternehmerische Praxis übertragen zu können.

Am Ende des Workshops haben die Teilnehmer erfahrungsgemäß ein deutlich besseres Verständnis für Maßnahmen zur gezielten Absicherung ihres Unternehmens gegen bestimmte Bedrohungen. Den Spielern fällt es leichter, sich in beide Rollen hineinzuversetzen und aus den Erfahrungen als Angreifer und Verteidiger zu lernen.

Damit können sich auch Unternehmen zukünftig besser vor Cyber-Angriffen schützen.

Gerne bieten wir auch Ihren Mitarbeitern im Unternehmen diese Schulung an.

Ihre Ansprechpartner von PwC sind gerne für Sie da!

Kontakt

Steffen Salvenmoser
Partner, PwC Austria
Tel: +43 1 501 88-1104
Email

Kristof Wabl
Partner, Forensic Services, PwC Austria
Tel: +43 1 501 88-2019
Email

Christian Kurz
Senior Manager, Forensic Technology Solutions, PwC Austria
Tel: +43 1 501 88-1407
Email

Folgen Sie uns