Mitarbeitersensibilisierung / Awareness

Awareness, d.h. eine angemessene Sensibilisierung Ihrer Mitarbeiter gegenüber Cyber-Risiken und Risiken bei der Nutzung des Internets ist nicht einfach zu erreichen. Awareness-Maßnahmen müssen, damit sie funktionieren, mehrere Bedingungen erfüllen.

  • Sie müssen die Lebensrealität der Mitarbeiter abbilden
  • Sie müssen interessant, ansprechend und verständlich sein
  • Sie müssen wiederholt werden, um eine regelmäßige Übung zu erreichen

Wir haben deshalb ein flexibles Konzept erstellt, das alle diese Punkte berücksichtigt.

Baustein 1: Awareness Kampagne

Als erster Baustein wird eine insgesamt kleine Awareness Kampagne aufgesetzt, die einen ersten Hinweis auf Risiken für die Informationssicherheit gibt. Geeignet wäre beispielsweise eine einfache Poster-Kampagne mit zwei oder drei verschiedenen Postern zum Thema Phishing und Ransomviren. Diese Poster werden an sichtbaren und erkennbaren Stellen im Unternehmen aufgehängt und sollen erstmal einfach nur wahrgenommen werden.

Baustein 2: Awareness Seminare

Als zweiter Baustein werden Awareness Seminare mit einem echten Trainer entweder als Video- oder als Präsenztraining aufgesetzt.

In alle Seminare werden Screenshots und Bilder realer Phishing-Mails und Vorfälle im Unternehmen aufgenommen. Insbesondere wird die Awareness Kampagne in den Awareness Seminaren aufgegriffen, um eine Verknüpfung zwischen den verschiedenen Maßnahmen herzustellen.

Durch inhaltlich und zeitlich angepasste Inhalte an verschiedene Gruppen kann die Awareness Schulung sowohl zeitlich als auch preislich optimiert werden.

Baustein 3: Awareness Test

Zur Vertiefung der Awareness Seminare kann nach den Seminaren ein Awareness Test durchgeführt werden. Der Test sollte nicht nur Multiple Choice Fragen enthalten, sondern auch die Erkennung von Phishing-Mails, welche Indikatoren darauf hinweisen etc.

Idealerweise wird dafür entweder eine bereits vorhandene Lernplattform im Haus genutzt oder eine Inhouse-Lernplattform aufgebaut, die auch in Zukunft genutzt wird und die Teilnahme an Tests sowie an Online-Seminaren protokolliert und nachweist.

Baustein 4: Social Engineering Angriffe

Mit einigen Monaten zeitlichem Abstand können dann Social Engineering Angriffe durchgeführt werden. Hier bieten sich für unterschiedliche Zielgruppen wieder verschiedene Kampagnen an.

Beispielsweise:

  • Social Engineering Angriff 1: Link zum Anklicken
  • Social Engineering Angriff 2: Phishing-Angriff
  • Social Engineering Angriff 3: Schadcode-E-Mail

Baustein 5: Lernportal

Abhängig von den Ergebnissen des Social Engineering Tests kann für einzelne Benutzergruppen eine Nachschulung notwendig werden. Aus Kostengründen kann die Nachschulung beispielsweise über ein Online-Lernportal erfolgen.

Baustein 6: Neue Awareness Kampagne

Die initiale Awareness Kampagne wird mit aktualisierten Inhalten und Themen sowie neuer grafischer Darstellung wiederholt. Dadurch soll die Erinnerung der Mitarbeiter aufgefrischt werden. Möglich ist wieder eine Kampagne mit Postern an sichtbaren und erkennbaren Stellen im Unternehmen aber auch alternative Mittel wie z.B. Mauspads etc. mit Informationssicherheits-Tipps.

Baustein 7: Aufrechterhaltung der Awareness

Die Aufrechterhaltung der Awareness erfolgt am besten durch regelmäßige Nachschulung. Denkbar ist hier aus Kostengründen ein Wechsel zwischen Awareness Seminaren im ersten Jahr sowie einem Online Lernportal mit Videos im zweiten und dritten Jahr, bevor im vierten Jahr wieder mit Live Awareness Seminaren neu begonnen wird.

Unsere Leistung

Wir entwickeln mit Ihnen zusammen ein geeignetes Programm zur Sensibilisierung Ihrer Mitarbeiter. Wir entwerfen Awareness-Seminare und passen diese an Ihre spezifischen Anforderungen an. Wir bereiten Awareness-Tests vor und führen diese entweder durch oder stellen sie Ihnen zur Verfügung.

Wir führen Phishing- und Social Engineering Angriffe durch oder unterstützen Sie beim Aufbau einer internen Social Engineering Plattform, z.B. basierend auf Lucy Security. Wir unterstützen Sie ggf. bei der Auswahl und beim Aufbau einer Lernplattform für Informationssicherheit und Awareness.