security awareness - usd.de · 5 die frage, welche security-awareness-maßnahmen ihren...

LEISTUNGSKATALOGSECURITY AWARENESS

VorwortWir schützen Unternehmen vor Hackern und Kriminellen. Neben Technik und Prozessen spielt der Mensch hier eine entscheidende Rolle. Noch immer be-ginnen 80 % der Cybervorfälle mit menschlichen Fehlern; sensibilisiertes und geschultes Personal ist also eine zwingende Voraussetzung für mehr Sicher-heit. Unser Security Awareness Portfolio stellt neben der Wirksamkeit der Maßnahmen auch die Anforderungen von Unternehmen mit Blick auf Compli- ance und vertretbaren internen und externen Aufwand in den Vordergrund. Nur wenn Maßnahmen im Unternehmensalltag praxistauglich sind, sind sie auch hilfreich.

Zunehmende Cyberkriminalität macht die Mission „more security“ zudem zu einer gesellschaftlichen Aufgabe für uns alle. Die CST Academy fördert daher den Wissensaustausch aller Marktbeteiligen und pflegt Kooperationen mit In-stitutionen aus Wissenschaft und Forschung. Ergebnisse aus unserem vom Bundesministerium für Wirtschaft und Energie geförderten Forschungsprojekt „KMU AWARE – Awareness im Mittelstand“ können Unternehmen heute kos-tenfrei über unsere Security Awareness Plattform nutzen.

Ronny JohnHead of Security Consulting

1. Ihr Einstieg

2. Themenkatalog Online- und Präsenzangebote

2.1 Themenübersicht 2.2 Verfügbare Trainings

3. Weitere Maßnahmen

3.1 Live Hacking 3.2 Phishing Kampagne 3.3 Security Day 3.4 Poster 3.5 Flyer & One Pager

4. usd Security Awareness Plattform

4.1 Plattformfunktionen 4.2 Ihr Weg zur Compliance 4.3 Unser Beitrag: KMU Aware

5. Maßnahmenglossar

6. Unsere Empfehlungen

7. Beispiele Maßnahmenpakete

Inhalt

5

Die Frage, welche Security-Awareness-Maßnahmen Ihren Anforderungen mit Blick auf Compliance, vertretbaren internen und externen Aufwand sowie Wirk-samkeit gerecht werden, ist nicht leicht zu beantworten. Wir beraten Sie vorab dabei. Neben allgemeinen Faktoren (wie Ihre Branche, die Anzahl an Mitarbei- tern, Standorte im In- und Ausland oder vorhandene Betriebsvereinbarungen) spielen Ihre Treiber und Ziele eine wichtige Rolle bei der Wahl des passenden Portfolios.

• Welchen gesetzlichen Anforderungen unterliegt Ihr Unternehmen? (z.B. KonTraG, IT-Sicherheitsgesetz, Datenschutz)• Was sind regulatorische Treiber? (z.B. MaRisk, Sicherheitskatalog der Bundesnetzagentur)• Sind vertragliche Anforderungen an Security-Awareness-Maßnahmen vorhanden? (z.B. Anforderungen von Kunden, PCI DSS)• Welche internen Vorgaben oder Ziele werden verfolgt? (z.B. Compliance, Marketingtreiber)• Verwendet Ihr Unternehmen externe Provider? (z.B. IT-Dienstleister, Customer Support)• Wurden bereits Security-Awareness-Maßnahmen durchgeführt?• Arbeitet Ihr Unternehmen mit externen Beratern?• Ist Homeoffice für Mitarbeiter erlaubt?• Gibt es bereits BYOD (Bring Your Own Device) Richtlinien?

1. Ihr Einstieg

Folgende Fragestellungen sollten dabei unter anderem berücksichtigt werden:

Nr. Thema Kurzbeschreibung

T1 Social EngineeringFür alle Mitarbeitergruppen geeignet. Wie gehen Kriminelle vor, um Ihren Mitarbeitern vertrauliche Informationen zu entlocken? Welche Techniken gibt es und wie können sie erkannt werden?

T2.1Phishing u. andere betrügeri-sche Nachrichten (Basic)*

Für alle Mitarbeitergruppen geeignet. Mit dieser Schulung sensibilisieren Sie Ihre Mitarbeiter für die Gefahren von Phishing-Angriffen und schulen sie darin, betrügerische Nachrichten frühzeitig zu erkennen.

T2.2Phishing u. andere betrügeri-sche Nachrichten (Advanced)*

Ergänzung der Schulung „Phishing und andere betrügerische Nachrichten“ für Mitarbeiter, die häufig Nachrichten mit Anhängen erhalten. Dieses Training vermittelt, wie gefährliche Anhänge erkannt werden können und was zu tun ist.

T3Allgemeine Informationssicherheit

Diese Schulung bietet Ihren Mitarbeitern ein breites Basiswissen, um Hackern und anderen Cyberkriminellen zu wider- stehen, und vermittelt zudem, wie Security Incidents korrekt gemeldet werden. Social Engineering, Phishing und Mal-ware werden genauso adressiert wie Best Practices beim Passwortmanagement und im Umgang mit Informationen.

T4 DatenschutzIn dieser Schulung werden Mitarbeiter über die Maßgaben des Datenschutzes informiert, sodass sowohl die gesetz-lichen Anforderungen als auch die Erwartungen Ihrer Kunden erfüllt werden können.

T5PCI Security Awareness Training

Der PCI DSS Sicherheitsstandard der Kreditkartenindustrie stellt besondere Anforderungen an die Schulung der Mit-arbeiter im Umgang mit Kreditkartendaten. In Kombination mit der Schulung „Allgemeine Informationssicherheit“ können Sie Ihre Mitarbeiter sensibilisieren, um diese Anforderung zu erfüllen.

T6Informationssicherheit beim mobilen Arbeiten

Sowohl im Homeoffice als auch auf Dienstreisen bewegen sich Ihre Mitarbeiter außerhalb des Schutzbereiches des Unternehmens. Um diesen zusätzlichen Risiken begegnen zu können, werden Ihre Mitarbeiter in dieser Schulung zu Themen wie dem korrekten Führen von Gesprächen und Telefonaten in der Öffentlichkeit oder dem Umgang mit mobilen Endgeräten sensibilisiert.

T7 Passwortsicherheit*Passwörter bilden nach wie vor das am meisten genutzte Mittel zur Authentifizierung des Zugriffs auf Informationen und Assets. In dieser Schulung werden Ihre Mitarbeiter für mögliche Strategien von Angreifern sensibilisiert und er-halten wertvolle Tipps und Hinweise zur Wahl eines sicheren Passworts.

2. Themenkatalog Online- & Präsenzangebote2.1 Themenübersicht

* Diese Schulung wurde von der TU Darmstadt im Rahmen des Projektes KMU Aware erarbeitet und von der usd AG in die usd Security Awareness Plattform integriert.

7

Nr. Thema Beschreibung

T8Allgemeine Informationen zu Privacy-Einstellungen

Sowohl bei der Einführung von BYOD-Strategien als auch bei der dienstlich und privat erlaubten Nutzung von mobilen Endgeräten können Mitarbeiter Apps auf Smartphones und Tablets installieren. Diese Schulung sensibilisiert Ihre Mitarbeiter für die Risiken und gibt Hinweise, wie gefährliche Apps von ungefährlichen unterschieden werden können.

T9 Privacy Einstellungen *

Mitarbeiter, die in sozialen Netzwerken aktiv sind, können potentiellen Angreifern unbeabsichtigt wichtige In-formationen liefern, um einen Angriff vorzubereiten. In dieser Schulung werden Mitarbeiter für die Strategi-en von Angreifern sensibilisiert und erhalten Hinweise, wie Risiken durch das korrekte Verwenden von Privat- sphäre-Einstellungen reduziert werden können.

T10 ISO 27001 FoundationWir geben Ihnen einen Überblick über die ISO 27001 und bringen Ihnen notwendige Schritte für die Einführung sowie Weiterentwicklung eines Informationssicherheitsmanagementsystems (ISMS) näher. Ergänzt werden die Inhalte um praktische Tipps aus dem Alltag sowie Case Studies zum tieferen Verständnis der Inhalte.

T11 ISO 27002 FoundationAls Ergänzung zur Schulung „ISO 27001 Foundation“ liefert diese Schulung einen Einblick in vorgeschlagene Kontroll-mechanismen und gibt praktische Tipps zur Umsetzung.

T12 DarknetSie erhalten einen Einblick in das „Darknet“. Neben technischen Hintergründen, möglichen Anwendungen und Kon-sequenzen für die Informationssicherheit in Unternehmen rundet eine praktische Demonstration des Darknets den Vortrag ab.

T13 CEO-BetrugCEO-Betrug ist eine Spezialform des Social Engineerings und rückt durch spektakuläre Fälle immer wieder in den Fo-kus der Öffentlichkeit. In diesem Vortrag wird das Vorgehen von Tätern erläutert und Vorgehensweisen zum Schutz vor Betrugsversuchen werden diskutiert.

T14Informationssicherheit für Data Owner

Ein Informationssicherheitsmanagementsystem (ISMS) stellt vielfältige Anforderungen an Data Owner. In dieser Schulung werden Data Owner auf ihre neuen Verantwortungen vorbereitet, indem Tipps und Vorgehensmodelle zur Informationsklassifikation und Risikobewertung gegeben werden.

T15Einblicke in organisierte Cyberkriminalität (APTs)

Neben Hackern und klassischen Cyberkriminellen droht Unternehmen auch aus Bereichen der organisierten Krimi-nalität und von staatsnahen Akteuren Gefahr. In diesem Vortrag werden diese sogenannten Advanced Persistent Threats (APTs) vorgestellt, ihre Vorgehensweisen beschrieben und Ansätze zur Gefahrenabwehr vorgestellt.


Nr. Thema WBT Webinar / Webcast usd Plattform Präsenztraining Vortrag / Seminar

T1 Social Engineering

T2.1 Phishing und andere betrügerische Nachrichten (Basic) *

T2.2 Phishing und andere betrügerische Nachrichten (Advanced) *

T3 Allgemeine Informationssicherheit

T4 Datenschutz

T5 PCI DSS Awareness. Sicherer Umgang mit Kreditkartendaten

T6 Informationssicherheit beim mobilen Arbeiten

T7 Passwortsicherheit *

T8 Allgemeine Informationen zu Privacy-Einstellungen

T9 Privacy-Einstellungen in sozialen Netzwerken *

T10 ISO 27001 Foundation

T11 ISO 27002 Foundation

T12 Darknet

T13 CEO-Betrug

T14 Informationssicherheit für Data Owner

T15 Einblicke in organisierte Cyberkriminalität (APTs)

2.2 Verfügbare Trainings

Je nach Gegebenheiten in Ihrem Unternehmen können wir Ihren Mitarbeitern Inhalte auf ganz unterschiedlichen Wegen vermitteln. Nachfolgende Übersicht zeigt unser Portfolio, aus dem Sie wählen können.


9

3. Weitere MaßnahmenUm den Lerneffekt von Schulungen und Trainings nachhaltig zu sichern und die Aufmerksamkeit der Mitarbeiter regelmäßig auf das Thema Security zu lenken, sind zusätzliche Maßnahmen nötig.

Unser Portfolio setzt dabei auf unterschiedliche Schwerpunkte: Maßnahmen, die „Teachable Moments“ schaffen und die Mitarbeiter aktivieren, und solche, die die Mitarbeiter in ihrem Arbeitsalltag unterstützen und an wichtige Sicherheitsregeln erinnern.

Security Awareness Leistungskatalog | usd AG

Nr. Hack Beschreibung Zeit

L1 WLAN Hack

In diesem Szenario erzeugt der Angreifer über einen Host Access Point eine WLAN-Verbindung, die auf dem Ge-rät des Nutzers als legitim erscheint, in Wirklichkeit aber die Möglichkeit eines Man-in-the-Middle-Angriffs eröffnet. Der Angreifer ist nun in der Lage, sämtlichen Netzwerkverkehr mitzulesen und somit auch Benutzernamen und Passwörter abzugreifen. Diese Präsentation demonstriert erlebbar, welche Risiken durch die Nutzung öffentlicher Netzwerke entstehen, und zeigt außerdem, wie gefährlich die automatische WLAN-Suchfunktion von mobilen End-geräten sein kann.

20 Min.

L2 Google HackingMittels sogenannter Google Dorks ist es sehr einfach, über das Internet Zugriff auf ungeschützte Systeme wie z.B. Drucker oder Webcams zu erhalten. Die Auswirkungen von diesen Zugriffen können in Kooperation mit anderen Hacks verheerende Folgen haben.

10 Min.

L3 SMS-Spoofing

Dieses Szenario verdeutlicht, wie leicht SMS-Nachrichten gefälscht werden können. Durch ein hohes Vertrauen in die persönlichen Endgeräte kann schnell ein persönlicher oder unternehmerischer Schaden entstehen. Es wird ebenfalls darauf hingewiesen, mit welchen Risiken das SMS-Spoofing im Zusammenspiel mit anderen Angriffsszenarien verbun-den sein kann.

10 Min.

3.1 Live Hacking

Einzelne Hacks können beliebig kombiniert und auf Wunsch in eine „War Story“ verpackt werden. Sollten Sie andere Wünsche haben, können auch diese berücksich-tigt werden. Die Dauer der Live Hacks liegt jeweils zwischen 10 und 60 Minuten.

Wie kaum eine andere Methode demonstriert das Live Hacking eindrücklich und zugleich unterhaltsam, wie einfach es ist, sich Zugang zu Daten Dritter zu verschaf-fen oder andere auszuspionieren. Ob einzeln oder in eine bestehende Veranstaltung integriert, Live Hacking ist der ideale Weg, Mitarbeiter in Ihrem Unternehmen zu sensibilisieren.

Themenkatalog

11

Nr. Hack Beschreibung Zeit

L4 Phishing

In diesem Szenario wird eindrucksvoll demonstriert, wie gefährlich Phishing-Mails für unachtsame oder ungeschulte Benutzer sein können. Der Benutzer wird durch eine Phishing-Mail auf einen Link gelockt, der die Ausführung eines Flash Exploits im Browser auslöst. Dieser Exploit bewirkt, dass eine fremde CA (certificate authority) lokal einge-spielt wird, sodass der Browser nun einem Zertifikat des Angreifers vertraut. Im zweiten Schritt des Angriffs wird die Online-Banking-Seite, die der Benutzer verwendet, vom Angreifer kopiert. Durch das zuvor eingespielte Zertifikat erkennt der Benutzer nicht, dass er sich auf der gefälschten Seite befindet und kann vom Angreifer ausgeraubt wer-den. Sobald das Opfer eine Überweisung tätigen möchte, tauscht der Angreifer die anvisierte IBAN durch eine andere aus, die nun in der mTan-SMS angezeigt wird. Bei Unachtsamkeit überweist das Opfer so irreversibel auf das Konto des Angreifers.

25 Min.

L5 Rubber Ducky

USB-Schnittstellen sind allgegenwärtig, vor allem aber auch sehr gefährlich. Mit einem Rubber-Ducky-USB-Stick hat der Angreifer die Möglichkeit, Systeme ohne größeren Aufwand zu kompromittieren, um Daten abzugreifen oder zu verschlüsseln. Die Geräte geben sich als Tastatur aus und attackieren Systeme blitzschnell durch vorprogrammierte virtuelle Tastatureingaben. Neben den verschiedenen Angriffsmöglichkeiten wird während der Demonstration auf alltägliche Situationen im Umgang mit USB-Geräten hingewiesen.

15 Min.

L6Single Point of Failure

Dieses Szenario beschreibt ganzheitlich die typische Vorgehensweise von Hackern. Der Angriff beginnt über einen im Internet erreichbaren Server und endet bei persönlichen Unternehmensdaten im lokalen Netzwerk.

60 Min.

L7 Darknet Demo

Ein Experte der usd erläutert, was das sogenannte Darknet ist, wie der Zugriff darauf funktioniert und wie es von Krimi-nellen genutzt wird. Dargestellt wird besonders, welchen Professionalisierungsgrad die Angreifer mittlerweile erreicht haben. Während eines Live-Zugriffs über den Red Onion Webbrowser wird außerdem gezeigt, welche „Produkte“ über das Darknet angeboten werden und welche Assets der Kunden in diesem Zusammenhang besonders schützenswert sind.

10 Min.


Abstimmung

Abstimmung des Vorgehens sowie der Inhalte der Phishing-Kampagne.

Versand Phishing-E-Mail

Einmaliges Versenden einer Phishing-E-Mail an eine durch Sie definierte Nutzergruppe.

Vorbereitende Informationen

Bereitstellung von Informationen und Templates zur technischen, organisatorischen und kommuni-kativen Unterstützung.

Zielseite & Zählmechanismus

Initialisierung der Zielseite sowie des Zählmecha-nismus.

Auswertung und Report

Protokollierung der Zugriffe auf die Zielseite im vor-ab definierten Auswertungszeitraum, Analyse der gesammelten Daten und abschließender Bericht.

Templates & Textvorschläge

Bereitstellung von Templates und Textvorschlägen für die Phishing-E-Mail und die Zielseite.

3.2 Phishing-Kampagne

Simulierte Phishing-Angriffe sind eine wirksame Maßnahme, um das Bewusstsein Ihrer Mitarbeiter zu erhöhen oder den Erfolg bereits erfolgter Trainingsmaßnah-men zu überprüfen. Beim usd Phishing-Angriff handelt es sich um einen geplanten, simulierten Angriff per E-Mail, den wir in Ihrem Auftrag durchführen. Im Rahmen des Angriffs messen wir, wie viele der in Ihrer Zielgruppe befindlichen Mitarbeiter den Angriff nicht als solchen erkennen und den Link in der von uns präparierten Phishing-E-Mail anklicken.

13

Bei einem Security Day können viele Mitarbeiter für Sicherheit sensibilisiert werden, ohne einen konkreten Termin festlegen zu müssen. Vorträge und verschiedene Mit-Mach-Aktionen, die einen ganzen Tag lang von den Mitarbeitern besucht werden können, vermitteln anhand von praktischen Beispielen, welchen Beitrag jeder Einzelne zur Erhöhung der Sicherheit im Unternehmen leisten kann.

3.3 Security Day

Give-aways

Give-aways helfen, die Aufmerksamkeit Ihrer Mitar-beiter aufrechtzuerhalten und erinnern im Alltag an wichtige Sicherheitsregeln.

Vorträge

Von der klassischen Präsentation bis hin zum Live-Hack adressieren wir die Themen, die Ihnen aktuell wichtig sind.

Play and Learn

Mit-mach-Aktionen zu unterschiedlichen Themen-gebieten lassen theoretisches Wissen begreifbar werden und stellen einen Bezug zur Praxis her.


Security Awareness mit Humor. Wir bieten Ihnen eine Auswahl von neun Poster-Motiven. Auf Wunsch bereits gedruckt in DIN A1 und DIN A2.

3.4 Poster

15

Mithilfe von Flyern können Sie auch offline Mitarbeiter sensibilisieren. Themen wie „10 Dos and Don‘ts zu Smartphones“ und „Erkennungsmerkmale einer Phi-shing-Nachricht“ können schnell gelesen werden und bieten einen ganz konkre-ten Schutz.

Außerdem können wir Ihnen Lerninhalte als One Pager zu jeweils einem spezi-fischen Security-Awareness-Thema zur Veröffentlichung im hauseigenen Intra-net, Verwendung in Mailings oder als Druck zur Verfügung stellen.

3.5 Flyer & One Pager

Sie haben Fragen? Sprechen Sie uns gerne an.

Telefon: +49 6102 8631-190 | [email protected]

Gefahren durch Phishing Beim Phishing versuchen Angreifer, Zugang zu vertraulichen oder sensiblen Daten zu erhalten. Angrei-fer setzen hierbei häufig gefälschte Absender oder Webadressen ein.

Was ist Phishing?

Die bekanntesten Strategien des Phishings be-inhalten die Aufforderung, sensible Informatio-nen oder Daten zu übermitteln. Dies kann durch das Beantworten der Nachricht oder auch durch das Folgen eines Links auf eine betrüge-rische Webseite erfolgen.

Angreifer geben häufig vor, eine bekannte Per-son oder ein vertrauter Anbieter zu sein. Die Nachricht selbst enthält dann Angebote mit Verlockungen (z.B. Initiativbewerbungen), Dro-hungen (z.B. Rechnungen) oder Verknappun-gen (z.B. limitierte Gewinnmöglichkeiten) und verlangt eine schnelle Antwort.

Nicht nur Einzelpersonen werden (z.B. durch das Ausspähen von soziale Medien oder Inter-netauftritten) Opfer von Phishing. Phishing-Nachrichten werden auch wie Newsletter ver-schickt, um viele Personen gleichzeitig anzu-greifen.

So schützen Sie sich!

Prüfen Sie den Absender: Stellen Sie sicher, dass Sie den Absender kennen. Prüfen Sie, ob die Absenderadresse zu dem vorgege- benen Absender passt. Die Absenderadresse

[email protected] erfüllt dieses Kriterium beispielsweise nicht.

Prüfen Sie den Inhalt: Achten Sie darauf, dass korrekte Logos und Firmennamen verwendet werden. Unseriöse Inhalte oder Rechtschreib-fehler sind Hinweise auf Phishing.

Wenn Sie zum Besuchen von Webseiten aufge-fordert werden, prüfen Sie die Webadresse der Zielwebseite:

Umgang mit Phishing

Wenn Sie vermuten, dass Sie eine Phishing-Nachricht entdeckt haben, leiten Sie die Nach-richt an den Sicherheitsverantwortlichen Ihres Unternehmens weiter.

So können Sie helfen, Ihr Unternehmen, Ihre Kollegen und Ihre Kunden zu schützen!

Folgen von Phishing

Nach einem erfolgreichen Angriff kann der Betrüger z.B. in Ihrem Namen mit Kollegen oder Vorgesetzten kommunizieren, Bu-chungen und Überweisungen tätigen oder gespeicherte Nachrichten einsehen.


4. Security Awareness PlattformWir haben die usd Security Awareness Plattform als Alternative zu Inhouse-Schu-lungen entwickelt. Das Konzept entstand im Austausch mit unseren Kunden, um die Erfüllung von Compliance-Anforderungen nachweisen zu können, ohne dabei organisatorischen Aufwand und Kosten in die Höhe zu treiben. Mitarbeiterfluktu-ation und verteilte Standorte sind kein Problem mehr, weil jeder Mitarbeiter sein persönliches Training absolviert. Zeitlich und örtlich flexibel.

» https://awareness.usd.de

17

Automatische Erinnerungen

Automatische Erinnerungen und Benachrichtigun-gen Ihrer Mitarbeiter per E-Mail – mit Verwaltungs-funktion. Kein Verfolgen von Fristen.

Fortlaufende Aktualisierung

Bleiben Sie up to date und profitieren Sie von un-seren Trainings, die fortlaufend aktualisiert werden. Automatische Überprüfung der gelernten Inhalte.

Compliance

Erfüllen Sie Compliance-Vorgaben mit minimalem organisatorischen und finanziellen Aufwand. Nach-weisbare Awareness-Maßnahmen mit persönli-chem Zertifikat für jeden Mitarbeiter.

Eigene Trainings & Richtlinien

Nutzen Sie die Möglichkeit, eigene Trainings und Si-cherheitsrichtlinien verfügbar zu machen, um noch individueller auf Ihre Anforderungen einzugehen.

Kostenfreie Trainings

Nutzen Sie spannende und kostenfreie Trainings aus dem im Rahmen der Initiative „IT-Sicherheit in der Wirtschaft“ geförderten Projekt „KMU AWARE – Awareness im Mittelstand“.

Dashboard & Report

Auf Ihrem Trainings-Dashboard behalten Sie alles im Überblick. Status aller durchgeführten Trai-nings, Übersicht aller weiteren Trainingsmöglich-keiten und Reportingfunktion.

4.1 Plattformfunktionen


Registrieren

Registrieren Sie Ihr Unter-nehmen kostenfrei auf der usd Security Awareness Plattform.

4.3 Unser Beitrag: KMU Aware

Zusammen mit der Forschungsgruppe SECUSO der TU Darmstadt sind wir Partner des vom Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative „IT-Sicherheit in der Wirtschaft“ geförderten Projekts „KMU AWARE“. Für mehr IT-Sicherheitsbewusstsein in klei-nen und mittleren Unternehmen (KMUs). Ergebnisse aus diesem Projekt werden in Form von freien Trainings auf der Security Awareness Plattform angeboten.

4.2 Ihr Weg zur Compliance

Kostenfreie Trainings

Wählen Sie passende Trai-nings und nutzen Sie kosten-freie Trainings aus unserem Forschungsprojekt.

Einrichten

Einfach Trainingskontingent buchen, Mitarbeiter zuweisen und Trainings direkt starten.

Durchführen

Jeder Mitarbeiter erhält eine persönliche Trainingseinla-dung und wird automatisch an offene Trainings erinnert.

Nachweisen

Monitoren Sie den Trai-ningsstand Ihrer Mitarbeiter und erhalten Sie Reports per Knopfdruck.

19

Maßnahme Beschreibung Dauer Teilnehmer

Web Based Trainings(WBTs)

Mit WBTs auf unserer Security Awareness Plattform können Mitarbeiter zu frei wählbaren Zeiten Schulungen zu verschiedenen Lerninhalten durchführen. Durch passende Lernzielüberprüfungen wird der Lernerfolg nachhaltig sichergestellt.

15 – 90 Min. unbegrenzt

WebinarLive-Vortrag von Security-Awareness-Themen mit Videoübertragung. Der Vortrag ist, je nach Lernin-halt, interaktiv. Auf Fragen der Teilnehmer kann eingegangen werden.

90 Min. max. 15

Webcast Aufzeichnung eines Awareness-Vortrags, der zeitunabhängig abgerufen werden kann. 45 – 60 Min. unbegrenzt

VortragIn diesen fachlichen Vorträgen werden Mitarbeitern aktuelle Themen aus der Informationssicherheit erläutert, um sie so für die notwendige Security Awareness zu sensibilisieren.

45 – 60 Min. 50

Lunch & Learn SessionDie Lunch & Learn Session ist ein Vortrag, der von Länge und Inhalt so angelegt ist, dass er während des Mittagessens gehört werden kann, sodass keine direkte Arbeitszeit von Mitarbeitern verloren geht.

45 Min. 30

Workshop / SeminarIn Tagesworkshops und -seminaren werden detailliert und auf die Teilnehmer zugeschnitten kom-plexe Themengebiete behandelt. Die Veranstaltung ist interaktiv, auf Fragen wird eingegangen.

abhängig vom Lerninhalt

15

PräsenztrainingEine Awareness-Schulung vor Ort, die je nach Thema interaktiv gestaltet und auch mit Live Hacks ergänzt werden kann. Hier werden Mitarbeitern konkrete Handlungsanweisungen erläutert, mit de-nen Sie die Informationssicherheit erhöhen können.

45 – 90 Min. 30

Security DayBei einem Security Day widmen sich Vorträge, Mitmachaktionen und Workshops an verschiedenen Stationen über einen Zeitraum von mehreren Stunden dem Thema Informationssicherheit. Alle Ak-tionen können spontan von den Mitarbeitern besucht werden.

1 Tag10 – 30 pro Station u. Durchlauf

5. Maßnahmenglossar


6. Empfehlungen

Beispiel- Phishing-Kampagne WBT Phishing Online-Quiz Phishing-Poster, Flyermaßnahmen: Live Hacking Phishing Game Erneute Phishing-Kampagne

Erinnerungen, dauerhafte Maßnahmen.

Sensibilisierung. Schaffung des „Teachable Moments“.

Lernzielkontrolle.3. Schritt 4. Schritt2. Schritt1. Schritt

Trainingseinheit. Gefahr erkennen. Richtig verhalten.

Grundsätzlich empfiehlt es sich, die Maßnahmen eines Security-Awareness-Programmes in der Reihenfolge so zu gestalten, dass folgendes Prinzip erfüllt wird:

21

7. Beispiele MaßnahmenpaketeGerade, wenn Sie sich zum ersten Mal mit dem Thema „Security Awareness“ beschäftigen, stellt sich die Frage, was an Maßnahmen sinnvoll und auch geeignet ist, um die Sensibilität Ihrer Mitarbeiter in puncto Informationssicherheit zu erhöhen. Unsere Maßnahmenpakete unterstützen Sie dabei, einen guten Einstieg für Ihr Unternehmen zu finden. Gerne stellen wir Ihnen auch individuelle Pakete zusammen.

Fokusthema Awareness-Grundlagen Phishing Awareness für Fachbereiche

Beschreibung

Mitarbeiter lernen grundlegende Risiken und Gefährdungen der Informationssicher-heit kennen und erfahren, wie sie sich und das Unternehmen schützen können.

Mitarbeiter lernen, was man im Umgang mit E-Mails beachten soll, woran man Phishing-E-Mails erkennen kann und welche Folgen durch erfolgreiches Phishing entstehen können.

Mitarbeiter der Fachbereiche lernen, welche Verantwortung sie in Bezug auf die Daten und Anwendungen ihres Bereiches haben und wie man relevante Dokumentationen erstellt.

NutzenEinfache Erbringung von Compliance- Nachweisen

Nachhaltige Sensibilisierung der Mitarbeiter zu einem der größten Sicherheitsrisiken für Unternehmen

Erfüllung der Anforderungen von BaFin, MaRisk und anderen externen Parteien

Maßnahmen

• Ankündigung / Vorstellung des Themas über Newsletter oder Intranet

• Web Based Training zu grundlegenden Risiken und Gefährdungen

• Security Day, um das Erlernte zu vertie-fen und zu festigen

• Phishing-Kampagne, um den Ist-Zu-stand der Awareness bewerten zu können

• Vortrag mit Live Phishing Hack• Wiederholung der Phishing-Kampagne• Web Based Training (jährlich) zur

Sicherstellung der Nachhaltigkeit

• Einführungsvortrag „Informationssi-cherheit für Fachbereiche“

• Workshop zu Best Practices (z. B. Inventarisierung von Assets, Durchfüh-rung von Schutzbedarfsfeststellungen)

• Workshop zu Dienstleistermanagement (Lieferanten und Cloudprovider)

Felix SchmidtProduktmanager Security AwarenessTelefon: +49 6102 8631–190Mail: [email protected]

Sie haben Fragen? Sprechen Sie mich gerne an.

usd AGFrankfurter Str. 233, Haus C163263 Neu-Isenburg

www.usd.de

security awareness - usd.de · 5 die frage, welche security-awareness-maßnahmen ihren...

Documents