Security Awareness der nächsten Generation - Blog #Ratgeber

ClickFix-Angriffe: Wenn Mitarbeitende zum Malware-Installer werden

Mon, 01 Jun 2026 15:23:00 +0200

Ein vermeintliches Update, ein kurzes Verifizierungs-Popup oder ein fehlerhaftes Dokument und schon ist es passiert. Doch bei einem ClickFix-Angriff klickt der Nutzer nicht einfach auf einen verseuchten Link. Er führt den Schadcode selbst aus. In diesem Beitrag erfahren Sie, warum dieser Social-Engineering-Trick so gefährlich ist, wie er technische Sicherheitsnetze umgeht und wie Sie Ihre Belegschaft davor schützen.

Was ist ein ClickFix-Angriff?

Ein ClickFix-Angriff ist eine perfide Social-Engineering-Methode. Der Angreifer nutzt bspw. eine gefälschte Fehlermeldung, um den Nutzer dazu zu bringen, ein Systemkommando auszuführen, das ein Problem "beheben" soll, das in Wahrheit gar nicht existiert.

Das Vorgehen ist so simpel wie effektiv: Der Nutzer landet (via Phishing-Mail oder kompromittierter Website) auf einer Seite, die ein Problem meldet. Das kann ein angeblich abgelaufenes Video-Plugin, ein fehlgeschlagener Captcha-Check ("Human Verification") oder ein Dokumenten-Fehler sein. Anstatt den Nutzer auf einen Link klicken zu lassen, fordert die Seite ihn auf, eine Systemaktion durchzuführen. Die Seite kopiert unbemerkt Schadcode in die Zwischenablage und weist den Nutzer an, eine Tastenkombination zu drücken, sodass der kopierte Schadcode ausgeführt werden kann.

Der Clou: Es wird keine Malware klassisch via Download auf das System gepusht. Der Angreifer nutzt den Mitarbeitenden als unwissenden User, der den Schadcode freiwillig installiert. Und das betrifft nicht nur Windows: Auch macOS-Nutzer werden immer öfter angewiesen, Befehle ins Terminal zu kopieren.

Weshalb funktionieren solche Angriffe?

ClickFix-Angriffe nutzen eine gefährliche Grauzone zwischen technischen Verteidigungslinien und menschlichem Verhalten aus.

1. Die Illusion des normalen Workflows

Mitarbeitende sind darauf trainiert, Probleme schnell und selbstständig zu lösen, um produktiv zu bleiben. Ein Popup, das sagt: "Verifizieren Sie, dass Sie ein Mensch sind", wirkt im hektischen Arbeitsalltag oft wie eine lästige, aber legitime IT-Hürde. Der Angreifer nutzt den Stress und den Drang zur Problemlösung schamlos aus.

2. Das "Windows Terminal" Bypass-Problem

Weil die bei den Angriffen vom User aufgerufenen Systemtools völlig legitim für die Administration von Computern sind, schlagen viele Antiviren-Programme (wie Endpoint Detection and Response) nicht an, wenn von dort ein Befehl ausgeführt wird. Der Angriff wirkt für das System wie eine legitime Admin-Tätigkeit.

Lösungsansatz

Ein ClickFix-Angriff schlüpft durch Lücken in der Awareness, in den Prozessen und in der Technik. So schliessen Sie diese Lücken:

1. Technische Limitierung (Wo möglich)

Hinterfragen Sie die Berechtigungen: Müssen Standard-Nutzer wirklich komplexe PowerShell-Skripte ausführen können? Wenn möglich, sollten Sie Scripting-Fähigkeiten für Nicht-Administratoren einschränken und die Ausführung von Befehlen überwachen, die direkt aus dem Browser initiiert werden.

2. Eine Kultur des Nachfragens etablieren

Oft folgen Nutzer abstrusen Anweisungen, weil sie nicht wissen, wen sie fragen sollen, oder weil sie Angst haben, durch "dumme Fragen" aufzufallen. Wenn der Meldeweg für verdächtige IT-Anfragen kompliziert ist, wählt der Nutzer den vermeintlich schnelleren Weg und drückt Enter. Etablieren Sie eine Kultur, in der ein kurzes "Innehalten und IT fragen" ausdrücklich belohnt wird.

3. Die goldene Awareness-Regel

Trainieren Sie Ihre Mitarbeitenden nicht auf spezifische Klickwege, sondern auf das Verhaltensmuster. Vermitteln Sie eine einzige, unumstössliche Grundregel: Websites verlassen niemals den Browser. Kein seriöser Dienst, keine Website und kein Cloud-Tool der Welt wird Sie jemals auffordern, ein lokales System-Tool (wie Ausführen, PowerShell oder Terminal) auf Ihrem Computer zu öffnen, um einen Zugang zu verifizieren oder einen Fehler zu beheben. Browser-Probleme werden im Browser gelöst. Systembefehle sind Sache der IT.

Physische Awareness?

Besuchen Sie unseren Awareness-Shop und werfen Sie einen Blick auf unsere erste Kollektion. Ob für Ihre Kampagne, Ihre Champions oder einfach zur Sichtbarmachung im Alltag. Unser Merch unterstützt Sie dabei, Awareness lebendig zu machen.

Shop erkunden

Wie kann die Wirksamkeit von Awareness-Trainings bewiesen werden?

Mon, 18 May 2026 13:46:00 +0200

Das Budget für IT-Sicherheit steht auf dem Prüfstand und das Management stellt die unangenehmste aller Fragen: «Bringen diese Awareness-Trainings eigentlich etwas?» Wer jetzt mit einer tiefen Klickrate oder hohen Abschlussquoten von E-Learning-Modulen argumentiert, liefert keinen Beweis für Sicherheit, sondern lediglich für absolvierte Fleissarbeit. In diesem Beitrag erfahren Sie, wie Sie den tatsächlichen Wert Ihres Awareness-Programms belegen und welche Metriken das Management wirklich überzeugen.

Warum traditionelle Metriken scheitern

Wenn die Geschäftsleitung nach dem Return on Investment (ROI) von Security Awareness fragt, greifen viele IT-Verantwortliche auf einfach zu erhebende «Aktivitätsmetriken» zurück. Wir präsentieren, dass 95% der Belegschaft das letzte Video-Training abgeschlossen haben und die Klickrate bei der letzten Phishing-Simulation gesunken ist.

Doch diese Zahlen beweisen nicht, dass das Programm das Risiko im Unternehmen senkt. Sie fokussieren sich auf isolierte Fehler, anstatt zu messen, wie sich Mitarbeitende im Ernstfall tatsächlich verhalten.

Die Schwächen der Klickrate

Sie misst Fehler, keine Verteidigung: Die Klickrate beantwortet nur die Frage: «Wer ist in die Falle getappt?» Was Sie operativ aber wirklich wissen müssen, ist: «Wer erkennt die Bedrohung und meldet sie?»
Sie ist leicht manipulierbar: Sie können die Klickrate künstlich tief halten, indem Sie simple, unrealistische Phishing-Mails versenden. Das lässt den KPI im Management-Report hervorragend aussehen, verbessert die reale Resilienz Ihres Unternehmens jedoch um exakt null Prozent.
Angreifer interessieren sich nicht für Ihre Metriken: Echte Cyberkriminelle versenden keine Trainings-Vorlagen. Sie nutzen gefälschte Lieferantenrechnungen, CEO-Fraud oder Multi-Channel-Angriffe via Teams und WhatsApp.

Verhaltensmetriken

Sicherheit entsteht nicht, wenn Menschen Trainings absolvieren. Sicherheit entsteht, wenn Menschen ihr Verhalten ändern. Deshalb wechselt sich der Fokus von reinen Aktivitätsmetriken auf Verhaltensmetriken. Diese vier Indikatoren beweisen, dass Ihr Programm funktioniert:

1. Die Melderate (Reporting Rate): Vom Opfer zum Sensor

Wenn Sie nur Klicks messen, messen Sie den Moment, in dem Ihnen ein Mitarbeitender das Leben schwer macht. Die Melderate misst den Moment, in dem er Ihnen das Leben leichter macht. Ein erfolgreiches Programm zeichnet sich dadurch aus, dass die Belegschaft zu einem aktiven Sensor-Netzwerk wird.

Höhere Melderate = Frühere Erkennung = Weniger Reaktionszeit für Angreifer = Geringerer finanzieller Schaden.
Wenn nur eine einzige Person eine Phishing-Mail meldet, kann die IT diese aus allen anderen Postfächern entfernen, bevor ein Kollege überhaupt die Chance hat, darauf zu klicken.

2. Time to report: Wie schnell wird eine Nachricht gemeldet?

Die Melderate zeigt, ob Mitarbeitende reagieren. Die Time-to-Report zeigt, wie schnell sie es tun. Bei einem echten Angriff entscheidet die Geschwindigkeit. Der Unterschied zwischen einer Meldung in 2 Minuten und 20 Stunden bestimmt oft darüber, ob ein Angriff isoliert bleibt oder zu einem unternehmensweiten Vorfall wird.

3. Die Miss Rate. Das unsichtbare Risiko

Wie bereits in unserem letzten Artikel beleuchtet, ignoriert die Klickrate eine massive Dunkelziffer: Die Mitarbeitenden, die weder klicken noch melden (Silent Failures). Die Miss Rate macht genau dieses Risiko sichtbar. Wenn Mitarbeitende verdächtige E-Mails regelmässig ignorieren, kann das ein grösseres Problem signalisieren. Bspw. wissen sie nicht, wie man meldet, oder haben Angst, einen Fehlalarm auszulösen. Sinkt die Miss Rate, ist das ein starkes Indiz dafür, dass Mitarbeitende aus ihrer passiven Rolle heraustreten und aktiv an der Abwehr teilnehmen.

4. Repeat Clicker Reduction: Konzentriertes Risiko minimieren

Risiko ist in Unternehmen selten gleichmässig verteilt. Meistens klickt der Grossteil der Belegschaft fast nie auf schädliche Links, während eine kleine Gruppe von «Wiederholungstätern» chronisch anfällig bleibt. Ein durchschnittlicher Klickraten-Wert über das gesamte Unternehmen hinweg verschleiert dieses konzentrierte Risiko. Ein reifes Awareness-Programm misst deshalb gezielt, ob die Zahl der Repeat Clickers über die Zeit abnimmt. Hier geht es nicht darum, Einzelne an den Pranger zu stellen, sondern gezielt dort zu unterstützen, wo das menschliche Risiko am grössten ist.

Lösungsansatz: Wie Sie die Metriken aktiv verbessern

Wenn Ihre Verhaltensmetriken stagnieren, liegt das selten daran, dass es den Mitarbeitenden "egal" ist. Oft trainiert das System sie unbewusst darauf, nicht zu handeln. So steuern Sie gegen:

Melden muss einfach sein: Es darf einen offensichtlichen Melde-Button geben. Wenn Nutzer überlegen müssen, ob sie eine E-Mail an den Helpdesk weiterleiten, ein Ticket eröffnen oder die IT anrufen sollen, werden sie die Nachricht stattdessen einfach ignorieren (Miss Rate steigt).
Belohnen statt bestrafen (Feedback-Loop): Wenn ein Nutzer eine Mail meldet und danach nie wieder etwas hört, stirbt das Verhalten aus. Erhält er hingegen ein sofortiges System-Feedback («Gut gemacht, das war ein Test!» oder «Danke, wir prüfen das!»), festigt sich die Gewohnheit.
Falschmeldungen normalisieren: Die Angst, falschzuliegen, ist der grösste Feind der Melderate. Kommunizieren Sie klar: Lieber eine legitime Newsletter-Mail zu viel gemeldet, als eine Phishing-Mail zu wenig.

Fazit: Wenn die Belegschaft zum Frühwarnsystem wird

Wie beweisen Sie also, dass Security Awareness funktioniert? Indem Sie aufhören, das Programm als reine Compliance-Massnahme zu rechtfertigen. Führen Sie die Diskussion mit dem Management weg von Klickraten und Modul-Abschlüssen, hin zu messbarem Verhalten: Zeigen Sie auf, dass mehr Bedrohungen gemeldet werden, diese Meldungen schneller bei der IT eintreffen, weniger E-Mails ignoriert werden und konzentrierte Risiken bei Einzelpersonen sinken. Wenn das zur Norm in Ihrem Unternehmen wird, haben Sie nicht nur ein Training absolviert. Sie haben Ihre Belegschaft erfolgreich in ein aktives Frühwarnsystem verwandelt und damit das menschliche Risiko nachweislich und nachhaltig reduziert.

Physische Awareness?

Shop erkunden

Weshalb Security-Awareness-Trainings eine trügerische Sicherheit vermitteln können

Mon, 04 May 2026 11:23:00 +0200

Trotz laufender Security Awareness Trainings, abgeschlossener Schulungen und tiefen Klickraten können genau die Fehler passieren, die dank der Schulungen eigentlich verhindert werden sollten. Awareness-Trainings garantieren nicht automatisch mehr Sicherheit. In diesem Beitrag erfahren Sie, weshalb das so ist und wie Sie das Maximum aus Ihren Trainings herausholen.

Fehlinterpretation der Metriken

Einfach messbare KPIs wie die Anzahl versendeter Kampagnen, Abschlussraten von Lernmodulen oder die Klickrate bei Phishing-Simulationen können eine falsche Sicherheit vermitteln, wenn sie isoliert betrachtet oder falsch interpretiert werden.

Die Klickrate: Ein umstrittener Indikator

Die Klickrate wird oft als massgebliche Kennzahl für den Erfolg von Security-Awareness-Trainings herangezogen. Sie ist nicht per se schlecht, aber sie ist unvollständig. Wird sie isoliert betrachtet, vermittelt sie eine trügerische Sicherheit. Dies hat vor allem zwei Gründe:

1. Die Variabilität der Schwierigkeit

Die Klickrate ist stark abhängig von der Qualität der Simulation. Wenn Sie eine offensichtliche Phishing-Mail mit vielen Rechtschreibfehlern versenden, wird die Klickrate bei fast 0% liegen. Versenden Sie jedoch eine perfekt imitierte Nachricht eines bekannten Lieferanten, schnellt die Rate nach oben. Die Klickrate misst bei einfachen Tests also primär die Offensichtlichkeit der Simulation. Erst wenn die Szenarien maximal realitätsnah sind, wird sie zu einem echten Indikator für die Resilienz des Teams.

2. Silent Failures

Die Klickrate misst nur, wer den Fehler gemacht hat. Sie sagt jedoch nichts über diejenigen aus, die nicht geklickt haben:

Haben diese Nutzer die E-Mail als Bedrohung erkannt?
Haben sie die Nachricht einfach ignoriert oder gar nicht erst gesehen?
Waren sie nur zufällig gerade nicht am Arbeitsplatz?

Ein echtes Sicherheitsbewusstsein zeigt sich nicht im Ignorieren, sondern im aktiven Erkennen und Melden. Liefert ein Programm eine Klickrate von 4%, klingt das im ersten Moment hervorragend. Es kann jedoch bedeuten, dass 70% der Mitarbeitenden die E-Mail schlicht nicht gelesen haben. Warum ist das ein Problem? Weil diese 70% ihre Kompetenz, eine echte Gefahr zu erkennen, nie unter Beweis gestellt haben. Sie bilden einen blinden Fleck in Ihrer Sicherheitsstrategie. Wenn morgen eine perfidere, zielgerichtete Phishing-Mail (z. B. eine angebliche, dringende HR-Anweisung) in ihren Postfächern landet, wissen Sie nicht, ob diese Mitarbeitenden die Gefahr erkennen oder in die Falle tappen werden. Wer eine Bedrohung nur zufällig ignoriert, hat keine Resilienz aufgebaut und bleibt ein unkalkulierbares Risiko.

Lösung: Die Melderate als wertvollerer Indikator

Die Klickrate bleibt ein nützlicher Trendindikator um zu sehen, ob das Training grundsätzlich wahrgenommen wird. Für sich genommen ist sie jedoch kein verlässliches Mass für das tatsächliche Risiko. Um die Zahl besser interpretieren zu können, sollte zusätzlich die Öffnungsrate der E-Mails herangezogen werden (wer hat geöffnet, aber ignoriert?).

In der modernen IT-Sicherheit rückt jedoch die Melderate (Reporting Rate) in den Fokus.Ein Mitarbeitender, der nicht klickt, schützt nur sich selbst. Ein Mitarbeitender, der den «Phish-Alarm»-Button drückt, schützt das gesamte Unternehmen, weil die IT-Abteilung die Bedrohung sofort technisch für alle blockieren kann. Auch aus psychologischer Sicht ist die Melderate zielführender: Während Klickraten Fehler messen, misst die Melderate korrektes Verhalten.

Abschlussraten vs. Kompetenz

Neben der Klickrate wird auch die Abschlussquote von Lerneinheiten (Completion Rate) gerne als Metrik genutzt. Sie misst, wie viele Mitarbeitende ein Lernmodul beendet haben. Vereinfacht wird sie häufig so gelesen: 100 % Abschluss = 100 % sicher. Das ist jedoch ein Trugschluss, denn die Quote misst nicht, wie gut ein Thema wirklich verstanden wurde. Die Metrik sollte deshalb eher als Indikator für den generellen Stellenwert der Awareness-Massnahmen im Unternehmen genutzt werden.

Beispiel: Wenn die Abschlussquote in einer Abteilung (z. B. Verkauf) chronisch tief ist, während sie in der Buchhaltung bei 100 % liegt, ist das selten ein Wissensproblem. Es ist ein Führungsproblem. Interpretation: Die Mitarbeitenden im Verkauf erhalten offenbar das Signal, dass ihre Zeit für Akquise zu wertvoll für «Sicherheits-Spielereien» ist. Hier muss also nicht bei erneuten Schulungen, sondern beim Teamleiter angesetzt werden. Die Completion Rate zeigt uns, wo das Management das Thema Sicherheit nicht vorlebt.

Noch interessanter wird es, wenn wir untersuchen, wie lange es vom Versand der Schulung bis zum Abschluss dauert.

Beispiel: 100 % Abschlussquote innerhalb von 48 Stunden nach Versand. Interpretation: Das deutet entweder auf eine extrem hohe Sensibilisierung oder auf eine «Click-Through-Kultur» hin. Die Mitarbeitenden wollen eine Lerneinheit einfach abschliessen, indem sie möglichst schnell durch einen Test durchklicken. Erkenntnis: Hohe Completion Rate bei gleichzeitig hoher Klickrate in Simulationen ist ein Warnsignal. Die Inhalte werden konsumiert, aber nicht verarbeitet.

Lösungsansatz

Schauen Sie sich die Zahlen im Kontext an. Moderne Tools ermöglichen es zudem, eine Mindestpunktzahl für den Abschluss eines Moduls vorauszusetzen. Dies zwingt die Mitarbeitenden, sich genauer mit der Thematik auseinanderzusetzen. Hier gilt es jedoch, eine gute Balance zu finden. Eine zu hoch angesetzte Hürde kann zu Frustration führen. Wenn Mitarbeitende drei Versuche brauchen, sinkt die Akzeptanz für das gesamte Security-Programm rapide. Es ist daher wichtig, zusätzlich die Anzahl der Versuche pro Modul auszuwerten und bei Bedarf zu reagieren.

Falsche Vorgaben und Angst vor Fehlern

Zu vorsichtig bei Phishing-Simulationen

Die Geschäftsleitung oder das HR blockieren Szenarien, die auf Angst, persönlichen Krisen oder harten finanziellen Triggern (z. B. Bonusstreichungen, dringende Kündigungen) basieren, um das Betriebsklima nicht zu belasten. Das ist menschlich verständlich, ignoriert jedoch die Realität. Angreifer haben andere moralische Grenzen und nutzen exakt solche emotionalen Themen, um schnelle, unüberlegte Reaktionen zu provozieren. Ein Team wird nur dann resilient, wenn es lernt, auch unter echtem emotionalem Stress die Ruhe zu bewahren. Für ein effektives Awareness-Programm muss daher eine kontrollierte Dosis Stress genehmigt werden.

0%-Klickrate

Unternehmen wissen, dass ein falscher Klick ausreichen kann, damit ein Angriff erfolgreich ist. Deshalb wird gerne eine Klickrate von 0% bei Simulationen angestrebt. Dieses utopische Ziel führt in der Praxis jedoch dazu, dass Phishing-Simulationen künstlich vereinfacht werden. Es entsteht eine Kultur, in der Mitarbeitende Angst haben zu klicken, Fehler vertuschen oder sich gegenseitig über das Buschtelefon vor der aktuellen "IT-Falle" warnen.

Lösungsansatz: Daten verstehen und aktiv handeln

Der Fokus sollte nicht auf der Fehlervermeidung um jeden Preis liegen, sondern darauf, wie schnell ein Unternehmen auf einen solchen Fehler reagieren kann. Awareness-Programme liefern Unmengen an Daten. Wer das Maximum herausholen will, muss über die Kernmetriken hinausgehen. Stellen Sie sich konkrete Fragen:

Wer sind wiederkehrende "Klicker"? Finden Sie heraus, weshalb diese Personen immer wieder klicken. Liegt es an massivem Zeitdruck? Ergreifen Sie gezielte Massnahmen (Verbesserung der Arbeitssituation, zusätzliche persönliche Trainings oder Aufnahme von Security-Awareness in die Jahresziele).
Wo gibt es Diskrepanzen? Welche Teams und Rollen haben die tiefsten Phishing-Melde-Raten und weshalb?
Wie schnell ist die Organisation? Wo haben wir die höchste zeitliche Verzögerung zwischen dem Versand von Simulationen und dem Melden via Button?
Wo sind die blinden Flecken? Welche User nehmen weder an Lernmodulen noch an Phishing-Simulationen teil?

Sicherheit kann nicht einfach "eingekauft" werden, indem man eine Software-Lizenz bezahlt. Die Tools unterstützen Sie dabei, Awareness zu schaffen. Leben muss das Unternehmen das Thema jedoch als aktiven Teil der Firmenkultur. So lassen sich auch weiche Faktoren heranziehen, um den Erfolg zu messen: Werden verdächtige E-Mails plötzlich in der Kaffeepause thematisiert? Trauen sich Mitarbeitende, eine Nachricht lieber einmal zu viel als zu wenig zu melden? Und wird ein tatsächlicher Fehlklick sofort an die IT gemeldet, weil der Mitarbeitende weiss, dass er unterstützt und nicht bestraft wird?

Fazit

Wenn wir die Analysen von KPIs, Klickraten und Abschlussquoten zusammenfassen, drängen sich drei entscheidende Fragen auf: Wo passieren die Fehler, weshalb reduzieren wir damit das Risiko nicht und was funktioniert in der Praxis wirklich?

Wo passieren die Fehler im Awareness-Training?

Die grössten Fehler passieren bereits bei der Definition und Interpretation der Erfolgskennzahlen. Der gravierendste Fehler ist der blinde Fokus auf einfach messbare Metriken. Unternehmen betrachten eine 100%-Abschlussquote von Lerneinheiten fälschlicherweise als Beweis für Kompetenz und eine tiefe Klickrate als Zeichen für Sicherheit. Ein weiterer Fehler liegt in hindernden Vorgaben: Aus Angst vor schlechten Metriken oder aus Rücksicht auf das Betriebsklima werden Phishing-Simulationen künstlich entschärft. Damit trainiert man jedoch für eine Realität, die es in der echten Cyberkriminalität nicht gibt.

Weshalb wird das Risiko dadurch nicht reduziert?

Weil diese isolierten Metriken eine gefährliche Scheinsicherheit vermitteln. Eine hohe Abschlussquote in Rekordzeit deutet oft nicht auf Wissen, sondern lediglich auf eine «Click-Through-Kultur» hin. Die Inhalte werden konsumiert, aber nicht verstanden. Eine tiefe Klickrate wiederum ignoriert das Problem der "Silent Failures": Wenn 70% der Belegschaft eine Bedrohung schlicht ignorieren oder übersehen, bleibt das Unternehmen gefährdet. Würde eine Nachricht gemeldet werden, kann die IT entsprechend reagieren. Wenn Metriken das Verhalten fördern, Fehler aus Angst zu vertuschen statt sie zu melden, hat das Training sein Ziel verfehlt.

Was funktioniert wirklich?

Daten in den Kontext setzen: Schauen Sie sich Ihre Daten im Kontext und nicht isoliert an. Hinterfragen Sie Ihre KPIs. Chronisch tiefe Abschlussquoten in bestimmten Abteilungen sind meist kein Wissens-, sondern ein Führungsproblem. Identifizieren Sie wiederkehrende "Klicker" und setzen Sie bei der Ursache an, anstatt blind neue Trainings zu verordnen.
Eine unterstützende Fehlerkultur leben: Sicherheit kann man nicht durch Lizenzen einkaufen. Ein Mitarbeitender muss wissen, dass er bei einem Fehlklick unterstützt und nicht bestraft wird. Wer einen Fehler sofort meldet, handelt korrekt und schützt das Unternehmen.
Realistischen Stress zulassen: Für ein effektives Training muss eine kontrollierte Dosis emotionaler Stress genehmigt werden. Nur wer lernt, auch unter Druck und bei realistischen Angriffs-Szenarien Ruhe zu bewahren, entwickelt echte Resilienz.
Nachrichten melden: Das primäre Ziel muss sein, dass Mitarbeitende verdächtige Aktivitäten sofort melden. Genau diese Geschwindigkeit befähigt die IT-Abteilung, die Bedrohung für alle zu blockieren.

Physische Awareness?

Shop erkunden

Wie Human Risk Management zur Einhaltung globaler Standards beiträgt

Wed, 16 Apr 2025 09:04:00 +0200

Die Anforderungen an die Einhaltung von Sicherheitsvorschriften gehen weit über technische Schutzmassnahmen hinaus. Unternehmen müssen nachweisen, dass ihre Mitarbeitenden in der Lage sind, Risiken zu erkennen, zu verhindern und darauf zu reagieren. Hier kommt Human Risk Management (HRM) ins Spiel: Eine zentrale Strategie, um Compliance zu erfüllen und aufrechtzuerhalten. In diesem Blog zeigen wir, wie HRM mit globalen Compliance-Anforderungen in Einklang gebracht werden kann, um Sicherheitsmassnahmen zu optimieren und Unternehmensrisiken zu minimieren.

In diesem Blog behandeln wir:

Was ist Human Risk Management?
5 wichtige Komponenten für ein erfolgreiches HRM-Programm
Eine Übersicht globaler Standards, die HRM erfordern, mit Fokus auf Europa
Die Rolle von HRM für die Einhaltung von Compliance-Vorschriften

Was ist Human Risk Management (HRM)?

Human Risk Management ist ein strategischer Ansatz um die durch menschliches Verhalten innerhalb eines Unternehmens entstehenden Risiken zu identifizieren, zu bewerten und zu minimieren. Statt nur reaktiv zu handeln, setzt HRM auf Prävention: Mitarbeitende werden geschult und befähigt, um sicherheitskritische Fehler zu vermeiden. So lassen sich Verstösse gegen Vorschriften und Sicherheitsverletzungen reduzieren.

5 wichtige Komponenten eines erfolgreichen HRM-Programms

HRM umfasst verschiedene Werkzeuge und Massnahmen, um Sicherheitsrisiken durch menschliches Fehlverhalten, mangelndes Bewusstsein oder sogar böswillige Absichten zu minimieren. Die wichtigsten Bausteine sind:

Security-Awareness-Trainings: Regelmässige Schulungen sensibilisieren Mitarbeitende für Bedrohungen wie Phishing, Malware und Social Engineering. Interaktive Lernmethoden wie Animationen und szenariobasierte Schulungen steigern das Engagement und sorgen dafür, dass das Wissen hängen bleibt.
Phishing-Simulationen: Automatisierte Tests helfen, die Anfälligkeit von Mitarbeitenden für Phishing-Angriffe zu bewerten. Realistische Phishing-Mails sorgen für praxisnahe Lernsituationen. Echtzeitberichte liefern wertvolle Einblicke und Optimierungsmöglichkeiten.
Richtlinien-Management: HRM stellt sicher, dass Mitarbeitende die firmeninternen Sicherheitsrichtlinien verstehen und einhalten. Mit einer zentralen Plattform lassen sich Richtlinien einfach verwalten, automatisch verteilen und die Einhaltung überwachen.
Dark-Web-Monitoring: HRM hilft, kompromittierte Zugangsdaten und sensible Informationen im Dark Web frühzeitig zu erkennen. So können betroffene Mitarbeitende schnell handeln, um Schaden zu verhindern. Wenn eine Sicherheitsverletzung festgestellt wird, werden die betroffenen Mitarbeitenden sofort benachrichtigt.
Risikobewertung und Berichte: HRM liefert verwertbare Erkenntnisse, indem es Risiken auf Basis von Schulungsteilnahmen und Testergebnissen laufend bewertet. Unternehmen können gezielt Massnahmen ergreifen, um Schwachstellen zu beseitigen.

Insgesamt geht HRM über klassische Schulungen hinaus, indem es proaktive Überwachung, gezielte Risikominimierung und messbare Verbesserungen im Sicherheitsverhalten integriert.

Eine Übersicht globaler Standards die HRM benötigen mit Fokus auf Europa

Weltweit verknüpfen verschiedene Standards und Vorschriften HRM direkt mit Compliance-Anforderungen. Die ISO 27001 betont beispielsweise die Bedeutung von Schulungen zur Risikominderung. Es verlangt, dass Organisationen sicherstellen, dass ihre Mitarbeitenden sich ihrer Sicherheitsverantwortung bewusst sind und im Umgang mit Bedrohungen angemessen geschult werden.

Europa

Seit den frühen 2000er-Jahren haben europäische Länder Cybersicherheit stärker in den Fokus genommen. Die EU hat verbindliche Gesetze und Richtlinien eingeführt, die in allen Mitgliedstaaten gelten. Gleichzeitig haben Nicht-EU-Staaten wie Norwegen und die Schweiz eigene Cybersicherheitsgesetze entwickelt, die oft an europäische Standards angelehnt sind.

All diese Vorschriften legen grossen Wert auf den menschlichen Faktor in der Cybersicherheit: Mitarbeitende müssen geschult und sensibilisiert werden, um Risiken zu minimieren und die Einhaltung der gesetzlichen Vorgaben sicherzustellen.

Die EU-Datenschutzgrundverordnung (DSGVO) verlangt von Unternehmen organisatorische Massnahmen wie Schulungen, um menschliche Fehler zu reduzieren.
Auch die NIS-2-Richtlinie der EU schreibt ausdrücklich Schulungen für Mitarbeiter vor, um auf Vorfälle zu reagieren und das Bewusstsein für Cybersicherheit zu schärfen.
Das EU-Gesetz zur Cybersicherheit (CSA) stärkt die EU-Agentur für Cybersicherheit (ENISA) und schafft einen EU-weiten Zertifizierungsrahmen für Cybersicherheit der Organisationen dazu ermutigt, zertifizierte Produkte und Dienstleistungen einzuführen und Mitarbeitende entsprechend zu schulen.
Die EU-Verordnung „Digital Operational Resilience Act“ (DORA) richtet sich an den Finanzsektor und fordert Unternehmen auf, ihre operative Widerstandsfähigkeit zu gewährleisten. Dies soll durch die Implementierung umfassender Risikomanagement-Rahmenwerke erfolgen, die unter anderem regelmässige Schulungen der Mitarbeitenden zu Cyberbedrohungen und Sicherheitsprotokollen umfassen.
Das norwegische Gesetz über digitale Sicherheit (DSA) verlangt von Unternehmen, Systeme für digitales Sicherheitsmanagement einzuführen, Risiken zu bewerten und das Management von Zwischenfällen zu gewährleisten. Dabei wird besonders die Rolle des Personalmanagements für die digitale Sicherheit hervorgehoben. Auch die Nationale Strategie für Cybersicherheit (NCSS-NO) betont, wie wichtig der menschliche Faktor in der Cybersicherheit ist.
In der Schweiz schreibt das Bundesgesetz über den Datenschutz (DSG) vor, dass Mitarbeitende in den Datenschutzgrundsätzen geschult und sensibilisiert werden müssen. Dies entspricht bewährten HRM-Praktiken und hilft, unrechtmässige Datenverarbeitung zu verhindern. Die Nationale Strategie für Cybersicherheit (NCSS-CH) legt zudem Wert darauf, Kompetenzen gezielt aufzubauen, um Sicherheitslücken im Management zu schliessen.

Diese Vorschriften zeigen: Ohne einen gezielten HRM-Ansatz lässt sich Compliance in vielen Bereichen kaum erreichen.

Die Rolle von HRM für Compliance

Indem menschliche Schwachstellen durch Risikobewertung, strukturierte Schulungen, Richtlinienmanagement und Überwachung des Dark Web angegangen werden, hilft HRM Unternehmen, die Wahrscheinlichkeit der Nichteinhaltung von Vorschriften zu verringern und ihre allgemeine Sicherheitslage zu verbessern.

Ein gut umgesetztes HRM-Programm hilft Unternehmen in drei zentralen Bereichen:

1. Menschliches Versagen minimieren

Menschliches Versagen ist nach wie vor eine der Hauptursachen von Cybersicherheitsverstössen. HRM mindert dieses Risiko, indem es eine Sicherheitskultur aufbaut. Dies geschieht mittels Schulungen, Angriffssimulationen und laufender Risikobeurteilung.

Mitarbeitende werden mittels Lerneinheiten und Angriffssimulationen darin geschult, Bedrohungen wie Phishing, Social Engineering und andere Betrügereien zu erkennen.
Durch die individuelle Risikobeurteilung können Unternehmen gezielt Massnahmen ergreifen.

2. Dokumentation und Bereitschaft für Audits

Gesetze und Standards wie die DSGVO, HIPAA, SOC 2 und ISO 27001 verlangen, dass Unternehmen ihre Compliance-Bemühungen durch detaillierte Dokumentation nachweisen. HRM-Plattformen erleichtern die Compliance-Dokumentation durch automatisierte Berichte und Nachverfolgung von Schulungen.

3. Kontinuierliche Schulung und Richtlinien-Management unterstützen

Compliance ist kein einmaliger Aufwand. Inhalte müssen laufen neuenGesetzten und Standards angepasst werden. HRM-Systeme unterstützen wie folgend:

Automatisierte Trainings und Erinnerungen: Rollenspezifische Trainings stellen sicher, dass Mitarbeitende stets über aktuelle Sicherheitsmassnahmen und regulatorische Anforderungen informiert sind.
Vereinfaches Richtlinien-Management: Die Plattform ermöglicht, Richtlinien zu verteilen, Aktualisierungen zu versenden und Lesebestätigungen einzufordern.

Fazit: HRM als Schlüssel zu Compliance und Sicherheit

Die Umsetzung einer HRM-Strategie mag komplex wirken, doch mit der richtigen Plattform wird sie einfach und effizient. Eine moderne HRM-Lösung hilft Unternehmen, menschliche Risiken zu minimieren und Compliance-Vorgaben mühelos zu erfüllen.

Wenn du deine HRM-Strategie optimieren möchtest, teste unsere Plattform 14 Tage kostenlos oder melde dich für ein unverbindliches Erstgespräch.

Kostenlose 14-Tage Testversion

Testen Sie unsere Plattform und erfahren Sie, wie Sie damit das Sicherheitsbewusstsein in Ihrem Unternehmen steigern können. Sie können die Plattform ohne Einschränkungen nutzen und bereits erste Phishing-Simulationen versenden.

Unverbindlich testen

Identity Management Day: Schützen Sie Ihre digitale Identität

Tue, 08 Apr 2025 07:00:00 +0200

Der am 8. April 2025 stattfindende Identity Management Day soll uns daran erinnern, unsere digitalen Identitäten zu schützen. Da sich Cyberbedrohungen ständig weiterentwickeln ist es wichtig, proaktive Schritte zum Schutz von Online-Identitäten zu unternehmen. Dieser Tag dient als Aufruf zum Handeln für Einzelpersonen und Organisationen, um sich auf den Schutz digitaler Informationen, die Verbesserung der Sicherheitspraktiken und die Reduzierung menschlicher Fehler zu konzentrieren.

Hier ist eine umfassende Anleitung, die dir hilft, deine Konten zu sichern und den Identity Management Day zu feiern.

Was ist MFA?

MFA (Multi-Faktor-Authentifizierung) fügt eine zusätzliche Sicherheitsebene zu Passwörtern hinzu. Sie fordert zwei oder mehr unabhängige Formen der Verifizierung ein. Dies könnte Folgendes beinhalten:

Etwas, das du weisst: Passwort, PIN
Etwas, das du hast: Sicherheitsschlüssel, Smartphone-App (wie Microsoft Authenticator oder Authy)
Etwas, das du bist: Biometrie (Fingerabdruck, Gesichtserkennung)

MFA ist zwar ein wichtiges Werkzeug zur Sicherung von Konten, aber es ist am effektivsten, wenn es als Teil einer umfassenderen digitalen Sicherheitsstrategie eingesetzt wird.

Umfassendere digitale Sicherheitspraktiken, die mit MFA kombiniert werden sollten

MFA ist zwar effektiv, sich aber ausschliesslich darauf zu verlassen kann deine Konten immer noch anfällig machen. Ein mehrschichtiger Ansatz ist für maximalen Schutz erforderlich.

Starke Passwörter: Die Grundlage der Sicherheit
- Stelle sicher, dass du komplexe Passwörter verwendest, die eine Kombination aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.
- Passwort-Manager sind eine hervorragende Möglichkeit starke Passwörter sicher zu generieren und zu speichern, ohne das Risiko, sie zu vergessen.
Regelmässige Software- und Systemaktualisierungen: Schwachstellen verhindern
- Cyberkriminelle nutzen oft bekannte Schwachstellen in veralteter Software aus. Aktualisiere regelmässig dein Betriebssystem, deine Anwendungen und deine Sicherheitssoftware um sicherzustellen, dass du über den neuesten Schutz verfügst.
- Aktiviere wo immer möglich Automatisiere Aktualisierungen, um wichtige Patches nicht zu verpassen.
Sicherheitsbewusstsein: Bilde dich und dein Team weiter
- MFA hilft, sich vor unbefugten Anmeldungen zu schützen. Trotzdem müssen sich Benutzer dennoch den Phishing-Angriffen und Social-Engineering-Taktiken bewusst sein. Denn genau solche Angriffe können klassische Sicherheitsmassnahmen umgehen.
- Zeige Mitarbeitenden und Familienmitgliedern, wie sie verdächtige E-Mails oder Nachrichten erkennen können.
Datenverschlüsselung: Schütze deine sensiblen Informationen
- Verwende Verschlüsselungstools um sensible Daten auf deinen Geräten zu schützen.
- Egal ob deine persönlichen Dateien oder vertrauliche Geschäftsinformationen: Die Verschlüsselung stellt sicher, dass deine Daten auch bei Abfangen ohne den richtigen Entschlüsselungsschlüssel unlesbar bleiben.
Sicherungs- und Wiederherstellungspläne: Bereite dich auf das Schlimmste vor
- Schütze dich vor Datenverlust, indem du regelmässige Sicherungen wichtiger Dateien und Informationen durchführst. Verwende sicheren Cloud-Speicher oder externe Festplatten um sicherzustellen, dass deine Daten im Falle eines Cyberangriffs oder Systemausfalls wiederhergestellt werden können.
- Entwickle ausserdem einen Notfallwiederherstellungsplan, um dich schnell von einem Einbruch oder Datenverlust zu erholen.
Zero-Trust-Sicherheitsmodell: Gehe davon aus, dass Einbrüche unvermeidlich sind
- Das Zero-Trust-Modell basiert auf dem Prinzip, dass niemandem automatisch vertraut werden sollte (egal ob innerhalb oder ausserhalb der eigenen Organisation). Alle Benutzer müssen kontinuierlich verifiziert und der Zugriff sollte nur nach Bedarf gewährt werden.
- MFA ist eine kritische Komponente dieses Ansatzes. Sie stellt sicher, dass jeder Zugriffsversuch unabhängig vom Standort des Benutzers verifiziert wird.

Dein Sicherheitsbewusstsein stärken und menschliche Risiken mindern

MFA und andere technische Massnahmen sind zwar unerlässlich, aber menschliche Fehler bleiben eine der grössten Sicherheitslücken. Um dich und deine Organisation besser zu schützen ist es wichtig, Lösungen zum Management menschlicher Risiken einzuführen. Erfahre mehr über unsere Security-Awareness / Human Risk Management Dienstleistungen, mit der das Menschliche Risiko mit minimalem Aufwand reduziert werden kann.

Zusätzliche Informationen

Der Identity Management Day wurde 2021 von der Identity Defined Security Alliance (IDSA) und der National Cybersecurity Alliance (NCA) gegründet.
Der Tag zielt darauf ab, Führungskräfte in Unternehmen, IT-Entscheider und die Öffentlichkeit über die Bedeutung des Identitätsmanagements und der Sicherung digitaler Identitäten aufzuklären.

Kostenlose 14-Tage Testversion

Unverbindlich testen

KI-Sicherheitsrisiken: So bleiben Unternehmen konform

Wed, 26 Mar 2025 11:54:00 +0100

Künstliche Intelligenz (KI) verändert die Art und Weise wie Unternehmen arbeiten. Sie bringt Effizienz, Automatisierung und Innovation in viele Branchen. Doch mit der zunehmenden Nutzung steigen auch die Sicherheitsrisiken und Compliance-Herausforderungen. Ohne klare Richtlinien können Unternehmen schnell mit Datenpannen, Gesetzesverstössen oder einem Image-Schaden konfrontiert sein.

In diesem Blog erfährst du:

Welche Sicherheitsrisiken KI mit sich bringt
Warum eine KI-Compliance-Strategie wichtig ist
Wie du KI-Risiken richtig einordnest
Wie uPolicy die Einhaltung von Vorschriften erleichtert

Die grössten KI-Sicherheitsrisiken für Unternehmen

KI birgt einige Herausforderungen, die Unternehmen nicht ignorieren sollten:

Datenschutzrisiken: Mitarbeitende könnten unbeabsichtigt sensible Unternehmens- oder Kundendaten in KI-Tools eingeben und damit gegen Datenschutzgesetze wie die DSGVO oder das CCPA verstossen.
Ungeregelte KI-Nutzung: Ohne klare Vorgaben können Mitarbeitende nicht zugelassene KI-Anwendungen nutzen, was Sicherheitslücken und ungewollte Datenweitergabe begünstigt.
KI-generierte Fehlinformationen: Automatisch erstellte Inhalte können ungenau oder irreführend sein und der Glaubwürdigkeit des Unternehmens schaden.
Herausforderungen bei der Compliance: KI-Tools müssen branchenspezifische Vorschriften erfüllen. Doch vielen Unternehmen fehlen klare Richtlinien für eine sichere Nutzung.

Warum eine KI-Compliance-Strategie wichtig ist

Ohne eine klare KI-Governance setzen sich Unternehmen Cyber-Bedrohungen, rechtlichen Konsequenzen und Betriebsunterbrüchen aus. Eine solide Strategie sollte festlegen:

Wer KI-Tools nutzen darf und unter welchen Bedingungen
Richtlinien zum Umgang mit sensiblen Daten
Prüfanforderungen für KI-generierte Inhalte
Konsequenzen bei Nichteinhaltung und Meldeprozesse für Verstösse

KI-Risiken richtig einordnen

Um KI sicher und verantwortungsvoll einzusetzen, sollten Unternehmen ihre Anwendungen je nach Risiko, Datensensibilität und Auswirkungen auf den Betrieb klassifizieren:

Niedriges Risiko

Interne KI-Tools für nicht kritische Aufgaben, z. B. Rechtschreibprüfungen oder Datenvisualisierung.
Nutzung erlaubt, solange keine sensiblen Daten eingegeben werden.

Mittleres Risiko

Extern gehostete KI-Systeme für interne Prozesse wie Chatbots oder automatisierte Berichte.
Mitarbeitende müssen sicherstellen, dass keine geschäfts- oder kundensensiblen Daten eingegeben werden.
Externe KI-Anwendungen, wie KI-gestützter Kundenservice, benötigen Genehmigung durch IT und Compliance.

Hohes Risiko

KI für geschäftskritische Prozesse oder sensible Daten, z. B. Finanzanalysen, Personalentscheidungen oder rechtliche Automatisierung.
Benötigt Überwachung durch IT-, Sicherheits- und Compliance-Teams.
Einsatz nur nach strengen Tests und Freigabe für Entscheidungen mit Auswirkungen auf Kunden, Mitarbeitende oder Finanzen.

Durch eine klare Klassifizierung lassen sich Risiken minimieren, ohne die Vorteile von KI zu verpassen.

Vereinfachte Compliance mit der Manguito Richtlinienverwaltung

Die manuelle Verwaltung von KI-Richtlinien ist ineffizient und führt schnell zu veralteten Vorschriften oder mangelnder Nachverfolgbarkeit. Mit der automatisierten Richtlinienverwaltung von Manguito sorgst du dafür, dass Compliance keine einmalige Aufgabe, sondern ein kontinuierlicher, kontrollierter Prozess ist.

Mit der Richtlinienverwaltung können Unternehmen:

Alle KI- und Sicherheitsrichtlinien zentral verwalten
Richtlinienfreigaben mit eSignaturen und Compliance-Tracking automatisieren
Versionskontrolle gewährleisten, damit immer die neuesten Richtlinien gelten
Automatische Updates versenden, um Mitarbeitende informiert und involviert zu halten
Einen klaren Prüfpfad für Audit- und Risikomanagement erstellen

Mit der Manguito Richtlinienverwaltung bleibt die KI-Governance effizient, skalierbar und gesetzeskonform.

Mehr über die Manguito Richtlinienverwaltung erfahren

Regelwerk für KI-Sicherheit und Compliance

Mit dem Regelwerk erhalten Sie eine anpassbare Grundlage für die KI-Richtlinien in Ihrem Unternehmen.

Basisrichtlinie für die KI-Nutzung in Ihrem Unternehmen

Sie können Ihr Logo hinterlegen

Anpass- und erweiterbar

Regelwerk heunterladen

So erhalten Sie Budget für Security-Awareness Trainings

Wed, 04 Sep 2024 13:11:00 +0200

Budget für Cybersicherheit und insbesondere für Mitarbeitertrainings zu erhalten kann herausfordernd sein. Das liegt daran, dass präventive Massnahmen oft als Kostenfaktor betrachtet werden und dadurch so gering wie möglich gehalten werden sollen. In diesem Artikel zeigen wir Möglichkeiten, wie Sie das notwendige Budget erhalten können, um eine neue Security-Awareness Lösung in Ihrem Unternehmen einzuführen. Folgende Schritte sind dazu notwendig:

Zeigen Sie auf, dass Sicherheitsschulungen ein kosteneffizientes Instrument zur Risikominimierung sein können
Veranschaulichen Sie mittels Daten, welche Kosten ein Sicherheitsvorfall verursachen kann
Führen Sie eine Phishing-Simulation mit Ihren eigenen Endbenutzern durch
Erinnern Sie das Management an die regulatorischen Verpflichtungen
Schätzen Sie ab, wie viel Geld eine Security-Awareness-Lösung Ihrem Unternehmen einsparen könnte

Sicherheitsschulungen als kosteneffizientes Instrument zur Risikominimierung

Die grösste Schwierigkeit Budget für eine Security-Awareness-Lösung zu erhalten liegt darin, die Unternehmensführung davon zu überzeugen, dass es sich bei solchen Trainings nicht nur um einen Kostenfaktor handelt. Um erfolgreich ein überzeugendes Argument für Security-Awareness-Trainings vorzubringen, müssen Sie aufzeigen, dass solche Schulungen dem Unternehmen kein Geld kosten, sondern genau das Gegenteil bewirken. Die Einführung eines Schulungsprogramms wird dem Unternehmen Geld sparen – und gleichzeitig seinen Ruf bei Kunden und Partnern schützen.

Menschliches Risiko ist einer der Hauptfaktoren für Cybervorfälle. In den folgenden Abschnitten sehen wir uns an, wie Sie mit Statistiken und Risikodaten Ihrer eigenen Organisation ein starkes Argument für Sicherheitsbewusstseinsschulungen als Form des Risikomanagements für menschliche Faktoren formulieren können.

Die Kosten eines Sicherheitsvorfalls

Sicherheitsverletzungen sind teuer. IBM schätzt, dass die durchschnittlichen Kosten einer Datenpanne inzwischen bei 4,88 Millionen US-Dollar liegen. Die Summe kann jedes Unternehmen für sich selbst interpretieren. Sie zeigt jedoch, dass die Kosten hoch sind und nicht einfach ignoriert werden sollen. Es ist wichtig, Ihrem Management solche Zahlen zu präsentieren, aber ebenso sollten Sie den Zusammenhang zwischen menschlichem Versagen und Cyberangriffen hervorheben.

95% aller erfolgreichen Cyberangriffe starten mit menschlichem Versagen. Dazu gehört, dass Mitarbeitende auf Phishing-E-Mails hereinfallen, bösartige Websites besuchen und es versäumen, ihre Betriebssysteme und Applikationen auf dem neuesten Stand zu halten. Wenn Sie menschliches Versagen als Faktor angehen, könnten Sie die Wahrscheinlichkeit eines kostspieligen Sicherheitsvorfalls in Ihrem Unternehmen erheblich verringern.

Phishing-Simulation in Ihrem Unternehmen

Mit einer Phishing-Simulation in Ihrem Unternehmen können Sie aufzeigen, wie anfällig Ihre eigenen Endbenutzer für menschliches Versagen sind. Mit bereits einem kompromittierten Benutzer können Daten exfiltriert und Zugriff auf weitere Systeme verschafft werden. Mit realen Daten von Ihrem Unternehmen können Sie aufzeigen, dass eine Security-Awareness-Lösung notwendig ist. Füllen Sie folgendes Formular aus, um eine kostenlose Simulation zu starten.

Kostenloses Assessment

Möchten Sie wissen, wie hoch das Menschliche Risiko in Ihrem Unternehmen ist? Melden Sie sich an und wir erstellen ein kostenloses Assessment.

Dark Web Scan

Realistische Phishingsimulation

Bericht inkl. Human Risk Score

Aktionsplan

Regulatorische Verpflichtungen

Unabhängig von der Branche oder dem Land Ihres Unternehmens besteht eine hohe Wahrscheinlichkeit, dass es mindestens eine Zertifizierung, Regulatorien oder eine Datenschutzverordnung gibt, mit denen Sie konform sein müssen. Ob es sich dabei um Finanz-, Gesundheits- oder personenbezogene Daten handelt – die Verletzung sensibler Daten kann zu schwerwiegenden regulatorischen Massnahmen oder hohen Geldstrafen für Ihr Unternehmen führen.

Es sind jedoch nicht nur die direkten Strafmassnahmen der Regulierungsbehörden, über die sich Ihr Unternehmen Sorgen machen sollte. Eine Verletzung von personenbezogenen oder sensiblen Daten könnte dem Ruf des Unternehmens ernsthaften und langanhaltenden Schaden zufügen. Dies kann schwieriger und teurer zu bewältigen sein als jede Geldstrafe.

Security-Awareness Schulungen helfen Ihnen, den Ruf Ihres Unternehmens bei Kunden und Partnern zu schützen, indem sie die Wahrscheinlichkeit eines schwerwiegenden Cyberangriffs verringern. Ihr Management und Ihre Kunden werden ruhiger schlafen, wenn Ihre Endbenutzer wissen, wie sie die persönlichen Daten Ihrer Kunden schützen können. Ausserdem senken Sie das Risiko einer schweren Sicherheitsverletzung.

So viel Geld kann Ihnen eine Security-Awareness-Lösung einsparen

Recherchieren Sie die regulatorischen Rahmenbedingungen, Compliance-Anforderungen oder Vorgaben für ISO-Zertifizierungen, die für Ihr Unternehmen gelten. Überlegen Sie, wie viel eine Sicherheitsverletzung kosten könnte. Berücksichtigen Sie dabei Geldstrafen, Reputationsschäden, Datenverlust, Systemstillstand, IT-Kosten etc... Der Reputationsschaden, der durch eine Sicherheitsverletzung entstehen kann, ist langfristig am teuersten zu bewältigen. Kein Unternehmen kann langfristig erfolgreich sein, wenn die Kunden dem Unternehmen nicht vertrauen. Mit dem Abwägen der potentiellen Kosten sowie aller vorherigen Punkten haben Sie überzeugende Argumente, Budget für Security-Awareness-Training zu erhalten.

Teil 3/3: Best Practises und Mitarbeitertraining in der Praxis

Wed, 14 Aug 2024 14:42:00 +0200

Im ersten Teil dieser Serie haben wir uns damit beschäftigt, weshalb KMU interessante Ziele für Cyberangriffe sein können. Im zweiten Teil zeigen wir Massnahmen auf, wie Sie Ihr KMU schützen können. Im letzten Teil zeigen wir, wie Sie einige dieser Massnahmen in der Praxis umsetzen können und welche Tools dafür in Frage kommen. Für einige Praxistipps wählen wir Microsoft 365, da es sich um einen weit genutzten Dienst im Schweizer KMU-Umfeld handelt. Wir gehen von einer Microsoft 365 Business Premium Lizenzierung aus, da diese Lizenz für Firmen unter 300 Mitarbeitenden der beste Wert fürs Geld liefert.

Mitarbeitende sensibilisieren und das Sicherheitsbewusstsein fördern (Prävention)

Microsoft selbst bietet eine Security-Awareness Plattform. Diese ist im Vergleich zur Konkurrenz jedoch teuer. Wir bieten mit Manguito eine günstigere Alternative mit Integration zu M365, sodass bspw. das On- und Offboarding von Mitarbeitenden vollständig automatisiert werden kann. Melden Sie sich einfach für eine Produktdemo an.

Schulungen

Schulungen sollten kontinuierlich stattfinden und auf die individuellen Schwächen und Bedrohungen abgestimmt sein. Einige Tipps für effektive Schulungen sind:

Interaktive Trainings: Nutzen Sie Simulationen und Rollenspiele, um reale Szenarien nachzustellen.
Phishing-Simulationen: Führen Sie regelmässige Phishing-Tests durch, um die Wachsamkeit der Mitarbeiter zu überprüfen.
E-Learning-Plattformen: Setzen Sie auf flexible, digitale Lernplattformen wie Manguito, die es Mitarbeitern ermöglichen, in ihrem eigenen Tempo zu lernen.

Sensibilisierungskampagnen

Neben Schulungen können auch kleinere Sensibilisierungskampagnen helfen, das Sicherheitsbewusstsein zu erhöhen. Stellen Sie bspw. Infoposter im Pausenraum zur Verfügung. Gerne stellen wir Ihnen Vorlagen zur Verfügung.

Belohnungen

Damit die Schulungen auch langfristig absolviert werden, sollten Sie Mitarbeitende durch ein Belohnungssystem für sicheres Verhalten motivieren:

Werten Sie Daten aus Ihrer Plattform aus und prämieren Sie sicheres Verhalten.
Für erfolgreich absolvierte Trainingseinheiten und richtig erkannte Phishing-Simulationen stellt Manguito Zertifikate zur Verfügung.

Einbinden des Managements

Weiter sollte die Führungsebene ein Vorbild in Sachen Cybersicherheit sein und aktiv an Schulungen und Sensibilisierungsmassnahmen teilnehmen. Weiter kann die Bedeutung von Cybersicherheit in Meetings und Event herhorgehoben werden.

Zu guter Letzt: Schaffen Sie eine Kultur, in der Sicherheitsvorfälle und -risiken offen kommuniziert werden können.

Nutzen von Mehrfaktorauthentifizierung

M365 Conditional Access Policies (Bedingter Zugriff) sind ein mächtiges Tool, den Zugriff zu Systemen, Diensten und Applikationen granular zu steuern. Damit können Sie auch einzelne Mitarbeitende oder ganze Gruppen mit MFA zu schützen. Microsoft stellt Vorlagen für die gängigsten Richtlinien bereit. Bspw. kann so für jedes Login MFA erzwungen werden. Praxistipp: Wenn Sie aktivieren, dass das Registrieren von MFA-Geräten eine erneute Bestätigung von MFA erfordert, haben wir bei neuen Mitarbeitenden ein Problem. Denn diese haben noch kein Gerät für die Bestätigung hinterlegt. Sie können hierfür mit Temporary Access Codes (TAP) arbeiten oder eine dynamische Gruppe erstellen, die von der MFA-Bestätigung ausgeschlossen ist. Die Gruppe beinhaltet bspw. alle User, die innerhalb der letzten 14 Tage eingetreten sind.

Datenverschlüsselung

Verschlüsseln Sie Ihre Daten und Computer. Für Windows steht Ihnen Bitlocker zur Verfügung, welches via Gruppenrichtlinien oder Intune / Endpoint Manager konfiguriert werden kann. Datenablagen in SharePoint sind von Hause aus verschlüsselt. Den lokalen Fileserver können Sie ebenfalls mit Bitlocker oder anderen Tools wie Cryptomator absichern. Wichtig: Virtuelle Maschinen sind für Bitlocker einige zusätzliche Konfigurationen notwendig.

Netzwerk absichern

Alle Systeme die vom Internet erreichbar sind empfehlen wir, diese in eine DMZ-Zone zu setzen. Weiter sollte das WLAN und LAN wieder eigene Zonen sein. Je nach Nutzung von Telefonen, Überwachungskameras oder anderen Geräten kann eine weitere Zone sinnvoll sein.

Zugriffe kontinuierlich überprüfen

Mittels den oben beschriebenen Conditional Access Policies können neben MFA auch Zugriffe auf M365, interne oder externe Ressourcen abgesichert werden. So kann bspw. der Zugriff auf gewisse Quellsysteme eingeschränkt oder erneutes MFA verlangt werden.

Systeme und Software aktuell halten

Ein RMM-Tool wie PDQ, Atera oder NinjaOne vereinfacht das Patching von Computern, Servern und Applikationen. Setzen Sie ein solches Tool ein, konfigurieren Sie Wartungsfenster und automatisieren Sie so die Updateinstallation. Wichtig: Trotz aller Automatismen ist eine manuelle Kontrolle in regelmässigen Abständen sinnvoll.

Zugriffsrechte vergeben

Für lokale Datenablagen ist es sinnvoll, Berechtigungen nur auf den obersten zwei Ebenen zu vergeben. Nur so kann der Überblick behalten werden. Arbeiten Sie mit Gruppen und Rollen. Mitarbeitende sind Mitglieder von Gruppen, Gruppen wiederum von Rollen und Rollen sind effektiv auf dem Fileshare berechtigt. In SharePoint Online können Sie ebenfalls Rechte vergeben aber auch mit Dokumentenlabels arbeiten.

Antivirenschutz einsetzen

Verknüpfen Sie Ihre Computer und wenn notwendig auch Smartphones mit Microsoft Endpoint Manager (ehem. Intune). Dieses kann durch eine spezielle Richtlinie mit Windows Defender, welcher auf jedem Windows-System vorinstalliert ist, sprechen. So sehen Sie zentral in M365 den Sicherheitsstatus aller verwalteten Geräte, werden bei einer verdächtigen Aktivität benachrichtigt und können sofort Massnahmen vornehmen.

Daten sichern

Für die Datensicherung empfehlen wir VEEAM und VEEAM for M365. Behalten Sie drei Kopien der Daten:

Produktivdaten
Backup
Kopie des Backups an einen zweiten, unabhängigen Standort

Stellen Sie sicher, dass die Daten im Backup nicht verändert werden können (auch nicht von internen Mitarbeitenden, Stichwort "Insider Protection"). Stellen Sie durch regelmässige Restore-Tests sicher, dass die Daten auch wiederhergestellt werden können. Bestenfalls haben Sie einen Notfallplan zur Hand damit Sie wissen, was bei einem Vorfall wie wiederhergestellt werden kann.

Fazit

Der Schutz vor Cyberangriffen erfordert eine ganzheitliche Strategie, die sowohl technische Massnahmen als auch die kontinuierliche Schulung der Mitarbeiter umfasst. Durch die Implementierung von Best Practices und gezielten Trainings können KMU ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen erheblich erhöhen. Dabei ist es wichtig, dass Sicherheitsmassnahmen und Schulungen regelmässig überprüft und angepasst werden, um stets auf dem neuesten Stand der Technik und Bedrohungslage zu sein. Viele Massnahmen lassen sich ohne grossen Aufwand implementieren und bieten einen guten Schutz gegen Cyberangriffe.

In dieser dreiteiligen Serie haben wir aufgezeigt, warum KMU attraktive Ziele für Cyberangriffe sind, welche Massnahmen für die Risikoreduktion ergriffen werden können und wie durch Best Practices und effektive Mitarbeiterschulungen eine nachhaltige Sicherheitskultur geschaffen werden kann. Nehmen Sie Cybersicherheit ernst – denn auch kleine und mittlere Unternehmen sind nicht vor Angriffen gefeit.

Kostenloses Assessment

Möchten Sie wissen, wie hoch das Menschliche Risiko in Ihrem Unternehmen ist? Melden Sie sich an und wir erstellen ein kostenloses Assessment.

Dark Web Scan

Realistische Phishingsimulation

Bericht inkl. Human Risk Score

Aktionsplan

Teil 2/3: So schützen Sie Ihr KMU gegen Cyberrisiken

Wed, 07 Aug 2024 14:13:00 +0200

Im ersten Teil dieser Serie haben wir uns damit beschäftigt, weshalb KMU interessante Ziele für Cyberangriffe sein können. Im zweiten Teil zeigen wir Massnahmen auf, wie Sie Ihr KMU schützen können. Dabei berücksichtigen wir einige Gründe aus dem ersten Teil. Über 40% aller Cyberattacken in der Schweiz zielen auf KMU ab und bei jedem dritten Unternehmen sind solche Angriffe erfolgreich. Der Schaden kann aufgrund von Betriebsunterbruch, Datenverlust oder Reputationsschaden schnell sehr gross werden. Deshalb ist es wichtig, dass sich Unternehmen proaktiv gegen Cyber-Angriffe schützen. Doch wie? Vorweg: Vollständiger Schutz gegen Cyber-Angriffe gibt es nicht. Trotzdem lässt sich mit folgenden Punkten das Risiko Opfer eines erfolgreichen Angriffs zu werden minimieren:

Mitarbeitende sensibilisieren und das Sicherheitsbewusstsein fördern (Prävention)

Bei ca. 90% aller Sicherheitsvorfällen ist der Faktor Mensch involviert. Angriffe starten typischerweise mittels Phishing oder Social Engineering. Deshalb ist es ratsam, Mitarbeitende regelmässig über solche Gefahren zu informieren und zu prüfen. Achten Sie darauf, dass Ihre Mitarbeitenden wiederkehrend auf ihren individuellen Schwächen geschult und getestet werden. Jährliche Trainings verfehlen die Wirkung. Ein Anbieter für wiederkehrende Trainings ist Ma nguito.

Nutzen von Mehrfaktorauthentifizierung

Mittels gestohlenen oder durch Phishing-Angriffe erbeuteten Zugangsdaten gelangen Angreifer auf Ihre IT-Systeme. Die Nutzung eines zweiten Faktors wie Mobiltelefon, Smartcard oä. erschweren den Zugang. Denn nur wer Zugangsdaten und den zweiten Faktor besitzt, kann auf ein System zugreifen. Deshalb ist die Mehrfaktorauthentifizierung ein äusserst wirkungsvoller Schutz. Viele Schweizer KMU setzten auf Microsoft 365. Mit den Abo "Business Premium" ist ein umfangreicher Mehrfaktorauthentifizierungsschutz bereits inbegriffen.

Netzwerk absichern

Schützen Sie Ihre Netzwerke mittels Firewalls und erlauben Sie Zugriffe auf Ihr System nur von bekannten, vertrauenswürdigen Standorten auf erwünschten Netzwerk-Ports. Segmentieren Sie Ihre Netzwerke in sinnvolle Zonen, sodass die Kommunikation zwischen den Zonen eingeschränkt werden kann. So ist es beispielsweise sinnvoll, das WLAN abzuschotten. Zugriffe von zu Hause können bspw. via VPN oder Zero Trust Networking abgesichert werden.

Systeme und Software aktuell halten

Ein gerne vernachlässigter, aber wichtiger Punkt. Aktualisieren Sie Ihre IT-Systeme wie Computer, Server, Telefonanlage, Überwachungssystem, Computersoftware, Webseite etc... Bekannte Sicherheitslücken werden von Herstellern geschlossen. Wird ein Update nicht installiert, können Angreifer die bekannten Lücken einfach ausnutzen. Cloud-Lösungen übernehmen diese Aufgabe typischerweise für Sie, da der Anbieter die Systeme pflegt.

Zugriffsrechte vergeben

Nicht alle Mitarbeitenden müssen alle Daten einsehen. Schränken Sie den Zugriff auf Dateien und Systeme für jeden Mitarbeitenden auf das Minimum ein, sodass er seine Funktion erfüllen kann. So hat ein Angreifer im Falle einer erfolgreichen Attacke nur minimale Rechte.

Antivirenschutz einsetzen

Stellen Sie sicher, dass auf Computern ein Antivirenschutz installiert ist. Windows liefert einen solchen gleich mit. Den "Windows-Defender". Zusätzliche Sicherheitsfeatures werden im bereits vorher erwähnten Microsoft 365 Business Premium-Abo, welches häufig in KMU eingesetzt wird, bereits mitgeliefert.

Daten sichern

Erstellen Sie drei Kopien Ihrer Daten:

Produktivdaten
Backup
Kopie des Backups

Sichern Sie Ihre Daten regelmässig und speichern Sie diese an einem anderen Ort als ihr Büro ab (am besten in einem komplett getrennten Netz oder bei einem externen Anbieter). Stellen Sie durch regelmässige Restore-Tests sicher, dass die Daten auch wiederhergestellt werden können. Bestenfalls haben Sie einen Notfallplan zur Hand damit Sie wissen, was bei einem Vorfall wie wiederhergestellt werden kann.

IT-Verantwortliche challengen

Vertrauen ist gut, Kontrolle ist besser. Stellen Sie sicher, dass die versprochenen Dienstleistungen auch umgesetzt werden. Fragen Sie intern oder Ihren IT-Dienstleister nach Protokollen zu durchgeführten Arbeiten. Wann wurden zuletzt Updates installiert? Ist das Backup erfolgreich gelaufen? Wie sehen die letzten Warnmeldungen vom Überwachungssystem aus? Welche User sind mit Mehrfaktorauthentifizierung geschützt? usw...

Cyberversicherung

Die Cyberversicherung bietet zwar keinen direkten Schutz, kann im Falle eines Cyberangriffs den erlittenen Schaden jedoch reduzieren.

Auf Ernstfall vorbereiten und Verantwortlichkeiten definieren

Stellen Sie sicher, dass die Verantwortlichkeiten im Ernstfall definiert sind und ein Desaster-Recovery-Plan vorhanden ist. Wie stelle ich sicher, dass während dem Vorfall mein Geschäft weiter betriebsfähig ist? Wie stelle ich meine Systeme möglichst schnell wieder her? Sind die Prioritäten der Systeme klar? Wie kommuniziere ich einen Vorfall? Im Ernstfall sind Sie froh, diese Fragen bereits vorgängig geklärt zu haben.

Kostenloses Assessment

Möchten Sie wissen, wie hoch das Menschliche Risiko in Ihrem Unternehmen ist? Melden Sie sich an und wir erstellen ein kostenloses Assessment.

Dark Web Scan

Realistische Phishingsimulation

Bericht inkl. Human Risk Score

Aktionsplan

Teil 1/3: Deshalb ist das Cyberrisiko bei KMU nicht zu unterschätzen

Wed, 31 Jul 2024 08:52:00 +0200

In dieser dreiteiligen Serie beschäftigen wir uns damit, weshalb das Risiko von Cyberangriffen bei KMU nicht zu unterschätzen ist und wie man sein Unternehmen schützen kann. Dieser Beitrag bildet die Grundlage und räumt mit Klischees auf, weshalb KMU "keine interessanten Ziele" seien. Beispiele von erfolgreichen Hacks auf Schweizer firmen gibt es genügend. In diesem Beitrag haben wir bereits eine kleine Übersicht einiger erfolgreichen Hacks in der Schweiz erstellt.

Wie steht es aktuell um Cybersicherheit bei Schweizer KMU?

Die Fachhochschule Nordwestschweiz (FHNW) hat 2023 die vierte Studie zum Thema Homeoffice und Cybersicherheit in Schweizer KMU veröffentlicht. Das Wichtigste in Kürze:

11% aller KMU mussten aufgrund eines Cyberangriffs erheblichen Aufwand betreiben, um Schäden zu beheben
55% aller befragten KMU beklagen finanzielle Schäden aufgrund eines Cyberangriffs
13% gaben an, Kundendaten verloren und Reputationsschäden erlitten zu haben
Cyberrisiken und Massnahmen gegen Cyberattacken werden als wichtig angeschaut, wobei technische Lösungen eher umgesetzt werden als organisatorische Massnahmen.

Die Risiken werden von KMU also mehrheitlich erkannt und 52% wollen in den kommenden drei Jahren Massnahmen zum Schutz gegen Cyberrisiken implementieren.

Weshalb ist die Cybersicherheit in KMU häufig schlechter als in grösseren Betrieben?

Budget: Das Budget für Schutzmassnahmen geben Cyberkriminalität bei KMU ist meist kleiner als bei Grossunternehmen.
IT als "notwendiges Übel": Die IT ist typischerweise nicht das Kerngeschäft der meisten KMU. Deshalb wird ihr häufig weniger Aufmerksamkeit geschenkt, obwohl sie wohl oder übel für die meisten KMU betriebsrelevant ist. Sicherheitslücken sind so vorprogrammiert.
Fehlendes Know-How: KMU sind typischerweise keine IT-Spezialisten. Technikaffine User oder externe Dienstleister übernehmen die Aufgabe der IT. Fehlendes internes Wissen führt zu unbewussten Cyberrisiken. Versuchen Sie folgende Fragen für sich zu beantworten: Sind die Netzwerke segmentiert? Werden Systeme regelmässig gesichert? Finden Updates statt? Wird der IT-Dienstleister kontrolliert und gechallenged? Sind unsere User durch Mehrfaktorauthentifizierung geschützt? Findet eine proaktive Systemüberwachung statt? Gibt es einen Desaster-Recovery-Plan? usw...

Weshalb sind KMU interessante Ziele von Angreifern?

"Mein Unternehmen ist für Angreifer uninteressant" oder "wir sind zu klein" sind zwei wiederkehrende Argumente, die Unternehmer und Unternehmerinnen nennen, wenn es um die Investition in Schutzmassnahmen geht. Hier einige Gründe, weswegen auf KMU interessante Ziele sein können:

Einfaches Ziel: Aufgrund der Punkte aus vorherigem Kapitel sind die Abwehrmassnahmen häufig minimal und KMU somit einfachere Ziele für Angreifer.
Lieferkette: Ich war überrascht als ich erfahren habe, wie viele Schweizer KMU in regionalen und globalen Lieferketten eine wichtige Rolle spielen. Genau deshalb kann ein KMU ein lukratives Ziel sein. Angreifer nutzen ein KMU als Einstiegspunkt für einen Angriff auf grössere Unternehmen.
Relevanz: Wie einleitend beschrieben unterschätzen KMU die Relevanz oder ihr Risiko. Eigene Datenbestände oder schlichtweg die Abhängigkeit von der eigenen Infrastruktur und Daten lassen KMU lukrative Opfer von bspw. Erpressung oder Verschlüsselungstrojaner werden.

Fazit

Schweizer KMU anerkennen, dass Cyberrisiken ein immer grösseres Thema werden. Bei der eigenen Risikoeinschätzung und Implementierung von Schutzmassnahmen besteht aber noch Luft nach oben. Aufgrund fehlendem Know-How, Budget oder IT-Fokus sind KMU häufig schlechter geschützt als grösseren Unternehmen. Genau deshalb sind KMU auch lukrative Ziele: Sie sind einfacher anzugreifen, aber trotzdem abhängig von der eigenen Infrastruktur und somit anfällig für bspw. Erpressung.

Im zweiten Teil dieser Serie gehen besprechen wir, wir sich KMU gegen Cyber-Bedrohungen effektiv schützen können.

Kostenloses Assessment

Möchten Sie wissen, wie hoch das Menschliche Risiko in Ihrem Unternehmen ist? Melden Sie sich an und wir erstellen ein kostenloses Assessment.