Cyberkriminelle nutzen jede Schwäche in der IT-Sicherheit, um in Unternehmensnetzwerke einzudringen. Ihr Ziel: Daten abgreifen oder Daten verschlüsseln, um Firmen zu erpressen. Mit Phishing-Mails und vorgelagertem Social Engineering umgehen Cyberkriminelle technische Schutzmassnahmen und nehmen Angestellte direkt ins Visier. Die Erfolgschancen personalisierter Angriffe sind höher als der Versand von Massen-Phishing-Mails. Die Erklärung: Menschliches Verhalten lässt sich auf unterschiedliche externe Trigger zurückführen. Diese lösen verschiedene Reaktionen aus, die Menschen im Laufe der Zeit gelernt haben. Die Kriminellen setzen dabei beispielsweise auf Gier, Neugier, Angst, Druck, Pflichtbewusstsein, Hilfsbereitschaft und Gewohnheit. Ein typisches Beispiel: Gier. Wer hatte nicht schon eine E-Mail in seinem Postfach, die einen Geldgewinn oder eine Erbschaft in Millionenhöhe versprach? Druck erzeugen Angreifer, indem sie ihre Opfer auffordern, innerhalb eines knappen Zeitfensters einen Link anzuklicken, um die Zugangsdaten für den Online-Banking-Account zu bestätigen. Der Link führt zu einer gefälschten Seite. Wie gross das Problem ist, zeigt ein Bericht des FBI. Dort ist die Zahl der gemeldeten Straftaten im Zusammenhang mit Phishing innerhalb von fünf Jahren um mehr als 1560 Prozent gestiegen. Wie täuschend echt Kampagnen zurzeit aussehen, zeigen zwei aktuelle Beispiele, die auch Profis nicht auf den ersten Blick erkennen.
1. Phishing mal anders
Das potenzielle Opfer erhält eine Nachricht mit Anhang im PDF-Format über eine Paypal-Abbuchung. Interessanterweise enthält die Mail auch eine Kontaktmöglichkeit: eine Telefonnummer in den USA. Wer diese Nummer anruft, erreicht einen freundlichen Service-Mitarbeiter, der sogar deutsch spricht. Er erklärt, dass der Anrufer oder die Anruferin zunächst die eigenen Paypal-Daten inklusive Passwort angeben muss, damit die Zahlung zurückgebucht wird.
2. Angriff mit E-Mail-Software
Ebenfalls ein Klassiker aus dem Phishing-Baukasten: Eine Information über knapp werdenden Speicherplatz, direkt verknüpft mit einem – natürlich falschen – Link, um mehr Speicher freizuschalten. Die Taktik: Die Angreifer bauen Druck auf, um ihr Opfer zu einer schnellen und unüberlegten Handlung zu zwingen. Bei diesem Angriff setzen die kriminellen Hacker einen legalen Mailservice namens Contactmonkey ein. Eine valide E-Mail-Software, die viele Unternehmen für den Versand von Werbe-Mails nutzen. Allerdings ist die Absender-Adresse direkt mit einer anderen Adresse verknüpft. Auch hier müssen Nutzer schon genauer hinschauen, um den Betrug zu erkennen.
Mitarbeitende als Teil der IT-Sicherheitsstrategie
Das Problem moderner Phishing-Mails: Sie enthalten nicht direkt Malware. Solche Angriffsversuche lassen sich extrem schwer verteidigen. Das ist auch für IT-Profis wie Admins eine grosse Herausforderung. Geschickte Fälschungen sind ausserdem nicht einfach mit Sicherheitslösungen wegzufiltern, ohne dass auch echte Mails davon betroffen wären. Hinzu kommt: Die Landingpages der Cyberkriminellen sind Originalkopien echter Seiten, sodass normale Anwender den Unterschied nicht merken und in die Falle tappen. Sie geben ihre Credentials ein und Angreifer können diese problemlos missbrauchen.
Dabei ist ein Punkt von zentraler Bedeutung: Das Opfer trifft keine Schuld! Schliesslich ist jeder Mensch fehlbar. Also stellt sich die Frage, wie sich Menschen schützen können, wenn sie sich der drohenden Gefahr nicht bewusst sind. IT-Sicherheit muss heute auf mehrere Säulen verteilt werden. Technik alleine schützt kein Unternehmen vor Cyberangriffen. Viele Firmen haben den menschlichen Faktor, die sogenannte Human Centered Security, nicht in die IT-Sicherheit einbezogen. Um alle Angestellten für aktuelle Cybergefahren zu sensibilisieren, kommen Security Awareness Trainings zum Einsatz. Im Fokus geht es dabei darum, die Aufmerksamkeit der Mitarbeitenden gegenüber verschiedenen Cyberrisiken und -gefahren zu erhöhen. So kann jeder Angestellte nicht nur seinen Arbeitsplatz schützen, sondern das ganze Unternehmen, wenn er oder sie frühzeitig einen Angriffsversuch erkennt.
Hinzu kommt: Technologische Schutzmassnahmen erzeugen ein falsches Sicherheitsgefühl. Aus Sicht vieler Mitarbeitenden liegt die Verantwortung für die unternehmensweite IT-Sicherheit bei den Fachleuten, die mit teuren Systemen für Schutz sorgen. Daher denken viele Angestellte gar nicht daran, dass sie Teil eines Sicherheitskonzepts sind. Und Verantwortliche sind überzeugt: Wenn sie mehr in Technik investieren, steigt automatisch auch die Sicherheit. Das ist aber ein Trugschluss.
Sicherheitsbewusstsein schulen – kurz und nachhaltig
Da Security Awareness Trainings jeden Mitarbeitenden im Unternehmen betreffen, müssen sie idealerweise alle Angestellten erreichen. Ein Rundbrief an alle Beschäftigten, der die wichtigsten Anzeichen einer Phishing-Mail aufzählt, verhindert keinen Phishing-Versuch. Auch Präsenz-Schulungen stossen schnell an ihre Grenzen. Nicht nur weil die Organisation aufgrund von Urlaubstagen und Krankheitsfällen oder verteilten Standorten zur Herkulesaufgabe mutiert, sondern auch, weil durch Frontalunterricht vermittelte Inhalte schnell wieder in Vergessenheit geraten. Eine Studie des Deutschen Instituts für Wirtschaft kommt – wenig überraschend – zu dem Ergebnis, dass 80 Prozent aller Lehrveranstaltungen in Form von Seminaren und Trainings gemessen am nachhaltigen Lerntransfer scheitern.
Ein geeignetes Format sind Weiterbildungen im digitalen Format: Web-basierte Trainings (kurz WBTs). Neben der Reichweite ist vor allem auch die Wiederverwertbarkeit des Formats ein grosser Vorteil. Ein weiterer Pluspunkt von Online-Schulungen ist die Nachhaltigkeit. Insbesondere Personalverantwortliche äussern vermehrt den Wunsch nach nachhaltigem Lernen – nicht nur aus wirtschaftlichen Gründen. Aber wie lernen Menschen nachhaltig? Die Antwort lautet: Durch intrinsische Motivation. Das ist ein Lernzustand, der durch Anreize, durch Spass, durch Emotionalität und durch das Vermitteln eines Sinns im Tun, generiert wird. All das gewährleisten beispielsweise spielerische Ansätze wie Serious Games.
Gleichzeitig fordern Personaler kurze Lerneinheiten: Denn Lernzeit ist schliesslich Arbeitszeit. Auch dies stellen WBTs sicher, die Teilnehmende zeit- und ortsunabhängig absolvieren. Allerdings unterliegen auch E-Learnings einem stetigen Wandel. So gehören Videos und Multiple-Choice-Tests zwar immer noch zum Standardrepertoire vieler E-Learnings, jedoch hat sich das Lernverhalten in Zeiten einer immer stärker vernetzten, digitalen Welt sehr verändert. Vor allem jüngere Menschen gehen gänzlich anders mit digitalen Medien um, was in diesem Sinne auch die Art und Weise betrifft, wie sie Informationen am liebsten aufnehmen und verarbeiten.
Spielen und lernen
Moderne digitale Trainings setzen immer mehr auf Gamification. Aber was heisst das genau? Reicht es, wenn eine Trainingsreihe schön gestaltet ist? Oder sind solche Schulungen primär interaktiv? Für die Antwort auf diese Frage ist es notwendig, zwei Begriffe voneinander abzugrenzen: «Gamification» und «Game-based Learning». Der zentrale Unterschied zwischen Gamification und Game-based Learning liegt in der sogenannten Experience. Während Game-based Learning eine Lernerfahrung mit vielen verschiedenen spielerischen Bestandteilen beschreibt, zielt Gamification auf die generelle Nutzung spielerischer Elemente ab. Und obwohl beide Begriffe per Definition etwas anderes meinen, sind die Gemeinsamkeiten dennoch offensichtlich: Game-based Learning schafft ein spielerisches Umfeld zum Lernen, Gamification versorgt dieses mit den spielerischen Elementen. Soweit lassen sich die beiden Begriffe also voneinander getrennt definieren und zusammenfügen. Schlussendlich macht das Eine nur in Kombination mit dem Anderen Sinn.
Motiviert zum Lernziel
Grundausgestaltung darauf ab, den Lerntransfer eines Trainings zu maximieren, indem es den Lerner durch einen hohen Interaktivitätsgrad aus seiner gelernten passiven Konsumhaltung herausholt. Ebenfalls wird durch die stark bildliche Darstellungsform und einer stringenten Erzählweise, Theorie beziehungsweise Inhalt an Bilder geknüpft. Schon der amerikanische Psychologe Jerome Bruner hielt dabei fest, dass sich Bilder bis zu 20-mal stärker im Gedächtnis des Menschen verankern. Diesem Gedanken folgend, werden die Trainingsinhalte optimalerweise in einer eigenen Lernwelt, etwa in Form eines Serious Games, angereichert mit einer Vielzahl von Gamification-Elementen (Schieberegler, Punktestand, Click-and-Reveal oder zeitgesteuerte Herausforderungen etc.) dargestellt. Ein erzählerischer Rahmen in Form von Storytelling schafft eine dramaturgische Richtung und gleichsam positive Emotionen und motiviert die Lernenden. Ein klar vorgegebenes Ziel sorgt für eine hohe intrinsische Motivation während des gesamten Trainings. Die Lernenden fokussieren die Inhalte und sind über die Dauer des Trainings hoch motiviert. Diese anhaltende Fokussierung heisst Flow – ein Zustand, in dem die Zeit zu verfliegen scheint. Um diesen Flow zu erreichen, muss ein Ziel vorhanden sein, welches die Lernenden aus der eigenen intrinsischen Motivation heraus erreichen wollen. Innerhalb eines Serious Games ist das leicht zu erreichen, da ein Spiel immer eine Geschichte und ein zu erreichendes Ziel hat. Menschen wollen ein Spiel bis zum Ende durchspielen – zumindest die allermeisten. Im Zustand des Flows werden die Lernenden weder über- noch unterfordert. Der Lerntransfer aus dieser intrinsischen Motivation heraus ist somit wiederum maximal.
Gerade bei komplexeren Themen oder umfangreicheren Inhalten wie etwa IT-Sicherheit sind spielerische Ansätze hilfreich. Hier gibt es viele wichtige Aspekte, die alle Anwenderinnen und Anwender kennen sollten, wie etwa Phishing Mails und Social Engineering. So lässt sich der Lernerfolg etwa dadurch verbessern, dass Lernende einen Perspektivwechsel vornehmen müssen. Wie dies in der Praxis aussieht, zeigt folgendes Beispiel.
Oft mangelt es Angestellten an der Motivation, Awareness-Schulungen zu absolvieren, weil ihnen die Einsicht fehlt, dass sie selbst einem Phishing-Versuch zum Opfer fallen können. Ein interaktives Spiel sorgt für den richtigen Lernanreiz. Die Mitarbeitenden schlüpfen in dem Computerspiel in die Rolle eines Detektivs. Als Experte für Cybercrime lösen sie den Fall einer Ransomware-Attacke auf ein fiktives Unternehmen. Dabei erleben sie, wie ein Angestellter einem Social-Engineering-Angriff zum Opfer gefallen und die Schadsoftware ins Netzwerk der Firma gelangt ist. Die Rahmenhandlung mit der Detektivgeschichte sorgt für Spannung und positive Emotionen. Gepaart mit einem klar vorgegebenen Ziel erzeugt das Lernspiel eine hohe intrinsische Motivation während des gesamten Trainings und dadurch eine Lerntransfermaximierung. Das hohe Level an Interaktion und Emotionen sorgt dafür, dass die Lernenden am Ball bleiben und die Inhalte verinnerlichen. Am Ende verstehen die Spieler, wie einfach Menschen einem Phishing-Versuch oder einer Social-Engineering-Attacken auf den Leim gehen können.
Es lohnt sich
Bleibt zum Schluss eigentlich nur noch die Frage, die insbesondere Finanzverantwortliche stellen: Lohnen sich Security Awareness Trainings? Die eindeutige Antwort: Ja. Das belegt auch eine Studie von Osterman Research. Die Marktforscher haben die Schadensummen von Cyberattacken mit Kosten für Awareness-Schulungen verglichen und den Return on Invest (ROI) berechnet. So erzielen kleinere und mittelständische Unternehmen (bis 999 Angestellte) einen ROI von 69 Prozent, während der ROI bei grösseren Organisationen (mehr 1000 Mitarbeitende) durchschnittlich 562 Prozent beträgt. Zudem gehen die Schadensummen von Cyberattacken – Lösegeldzahlung, Produktivitätsverlust und Wiederherstellungskosten – schnell in die Millionenhöhe. Wenn diese durch gut geschulte Angestellte gar nicht erst verursacht werden, haben sich die initialen Kosten für Security Awareness Trainings schnell amortisiert.
Die Autorin
Cornelia Lehle ist seit Dezember 2020 Head of Sales bei
G Data Cyberdefense und verantwortet den Vertrieb in der DACH-Region. Zuvor leitete die Betriebswirtin bereits seit 2014 den Vertrieb in der Schweiz und in Österreich für das deutsche Cyber-Defense-Unternehmen. Für den Antiviren-Software-Hersteller Avira war Cornelia Lehle von 2006 bis 2014 für den weltweiten Partnervertrieb verantwortlich.
(Quelle: G Data Cyberdefense)
