Security Awareness Training ist eine Methode zur Prävention von Cyber-Bedrohungen, von der Finanzdienstleister profitieren können. Im Folgenden werden die wichtigsten Gründe erläutert, warum Sie als Finanzdienstleister diese Form der Schulung nutzen sollten.

Der Finanzdienstleistungssektor hat in den letzten Jahren einen massiven digitalen Wandel erlebt. Der Sektor setzt auf neue Technologien, um ein besseres Kundenerlebnis zu gewährleisten und die Abläufe zu optimieren.

Der digitale Wandel hat jedoch dazu geführt, dass der Sektor auch ein Ziel für Cyberkriminelle geworden ist: Eine Umfrage zur Cybersicherheit im Jahr 2020 unter CISOs und CIOs im Finanzdienstleistungssektor ergab, dass 65 % der großen Finanzunternehmen in den letzten 12 Monaten Opfer eines Cyberangriffs geworden sind. In einem anderen Bericht, diesmal von Boston Consulting, wurde festgestellt, dass der Finanzsektor bis zu 300-mal mehr Cyberangriffe als andere Sektoren erlebt.

Sicherheitsschulung für Finanzdienstleister

Der Hacker wohnt nicht mehr im Keller seiner Eltern und trägt einen Kapuzenpulli. Stattdessen machen ausgeklügelte, finanziell motivierte und manchmal staatlich geförderte Hackerbanden die Cyberkriminalität für alle zugänglich.

Geschäftsmodelle, die Hacking-Tools als Service anbieten, sind im Dark Web leicht und billig erhältlich. Diese Tools haben in Verbindung mit den zunehmend ausgefeilten Social-Engineering-Fähigkeiten von Cyberkriminellen zu einem Tsunami von Cyberangriffen geführt. Wenn Sie zu dieser Mischung noch Fern- oder Heimarbeit hinzufügen, sehen Sie, dass die Planeten der Cyber-Bedrohungen aufeinander abgestimmt sind.

Covid-19 hat Organisationen auf der ganzen Welt die Augen geöffnet, da sich Betrügereien, die die Angst vor der Pandemie ausnutzten, immer weiter ausbreiteten. Betrüger, die sich auf Mitarbeiter konzentrierten, nutzten Phishing-Tricks, die auf Covid-19-Themen basierten, um Anmeldeinformationen oder persönliche Daten zu stehlen oder einen Mitarbeiter dazu zu bringen, bösartige Software (einschließlich Ransomware) zu installieren. Während sich die Arbeitswelt verändert, bleiben Phishing-Taktiken und Social Engineering ein beliebtes Mittel von Cyberkriminellen, die Schaden anrichten wollen.

Die Folgen von Social Engineering und Phishing sind kostspielig. Ein Bericht von Sophos aus dem Jahr 2021 zeigt, dass mittelgroße Finanzdienstleistungsunternehmen rund 2 Millionen Dollar ausgeben, um sich von einem Ransomware-Angriff zu erholen; das ist mehr als der weltweite Durchschnitt von 1,85 Millionen Dollar. Der Bericht hebt außerdem hervor, dass 34 % der Finanzdienstleister im Jahr 2020 Opfer eines Ransomware-Angriffs wurden.

Security Awareness Training ist eine wirksame Antwort auf das von Hackern eingesetzte Social Engineering.

Vorteile der Sicherheitsschulung für Finanzdienstleister

Um zu verhindern, dass Cyberkriminelle Mitarbeiter mit Social-Engineering-Techniken und Phishing ausnutzen, können Unternehmen ein Sicherheitsbewusstseinstraining durchführen. Für Finanzdienstleister bietet die Teilnahme an einem Awareness-Programm fünf wichtige Vorteile:

Ändern Sie Ihr Sicherheitsverhalten von negativ zu positiv

Betrüger, Cyberkriminelle, Betrüger, wie auch immer man diese ruchlosen Aktivitäten nennen mag, sie alle konzentrieren sich auf das menschliche Verhalten. Sicherheitsbewusstsein wird eingesetzt, um schlechtes Sicherheitsverhalten zu ändern und einen positiven Ansatz für die Unternehmenssicherheit zu schaffen.

Der Aufbau eines positiven Sicherheitsverhaltens klärt die Mitarbeiter über die Gefahren des Social Engineering auf. Das ist wichtig, wenn man bedenkt, dass die Ergebnisse des EC-Council zeigen, dass 64% der Datenverluste auf Insider zurückzuführen sind, die es „gut meinen“.  

In der Sicherheitsschulung werden die Mitarbeiter des gesamten Unternehmens über die Bedeutung der Sicherheit aufgeklärt. Ein effektives Schulungspaket informiert die Mitarbeiter mit interaktiven und ansprechenden Inhalten über Sicherheitstricks und -betrügereien und bietet Phishing-Simulationsübungen, in denen die Mitarbeiter lernen, wie sie Phishing-Nachrichten erkennen können. Ein kontinuierliches, effektives Sicherheitstraining schafft eine positive Feedback-Schleife und ermutigt die Mitarbeiter, sich mit Sicherheitsangriffen auseinanderzusetzen.

Stoppt BEC-Betrüger in ihren Bahnen

Ransomware macht vielleicht Schlagzeilen, aber Business Email Compromise (BEC) betrifft mehr Unternehmen. Das FBI Internet Crime Complaint Center (IC3) aus dem Jahr 2020 zeigt, dass BEC 4 Mal so viele Unternehmen betrifft wie Ransomware. Finanzdienstleister sind genauso stark von BEC-Betrug bedroht wie andere Unternehmen.

In einem Bericht von BankInfoSecurity aus dem Jahr 2020 werden mehrere BEC-Betrugsfälle detailliert beschrieben, darunter einer, in den eine in den USA ansässige Bank verwickelt war. Bei dieser Bank erhielt ein Angestellter eine E-Mail von Betrügern, die sich als der CEO der Bank ausgaben. In der E-Mail wurde der Angestellte aufgefordert, dringend eine bereits geplante Überweisung von 1 Million Dollar zu tätigen. Die Nachricht enthielt eine Änderung der Kontodaten mit dem Hinweis, dass dies „aufgrund des Ausbruchs des Coronavirus und der Quarantäneprozesse und Vorsichtsmaßnahmen“ geschehe.

BEC-Betrügereien beinhalten oft eine komplexe Überwachung von Mitarbeitern. Die Betrüger gehen sogar so weit, dass sie Beziehungen zu Helpdesk-Mitarbeitern und anderen Mitarbeitern in relevanten Abteilungen aufbauen, um Informationen über die Abläufe im Unternehmen zu erhalten. In Sicherheitsschulungen werden Mitarbeiter über die Anzeichen von BEC-Betrug und die von Betrügern verwendeten Social-Engineering-Tricks aufgeklärt.

Hilft bei der Einhaltung gesetzlicher Vorschriften

Mitarbeiter sind ein wesentlicher Bestandteil des Datenschutzes und der Wahrung der Privatsphäre. Ihre Handlungen können ein Finanzdienstleistungsunternehmen leicht in den Bereich der Nichteinhaltung bringen. Etwas so Einfaches wie eine E-Mail-Fehlleitung kann zu einer Geldstrafe führen. Eine kürzlich durchgeführte Umfrage ergab, dass 58 % der Mitarbeiter zugaben, eine E-Mail an die falsche Person geschickt zu haben.

Sicherheitsschulungen tragen dazu bei, Mitarbeiter vor Fehlern zu bewahren. Ein effektives Programm, das Metriken und automatisierte Schulungen bietet, zeigt auch das Engagement eines Unternehmens für die Sicherheit. Die Durchführung von Sicherheitsschulungen ist entweder obligatorisch oder wird von einer Reihe von Standards und Vorschriften empfohlen, wie z.B. ISO27001 und PCI-DSS, die unter Anforderung 12 folgendes vorsehen:

„Führen Sie ein formelles Programm zur Sensibilisierung für die Sicherheit ein, um alle Mitarbeiter mit den Richtlinien und Verfahren zur Sicherheit der Karteninhaberdaten vertraut zu machen.“

Bauen Sie eine menschliche Firewall auf

Sicherheitsmaßnahmen wie robuste Zugangskontrollen, Firewalls, Endpunktschutz und Verschlüsselung sind wichtig, aber Social Engineering ist darauf ausgelegt, traditionelle Sicherheitslösungen zu umgehen. Kompetente und sicherheitsbewusste Mitarbeiter sind ein wichtiger Bestandteil der Cybersicherheitsmaßnahmen eines Finanzdienstleisters.

Durch den Einsatz von Sicherheitsschulungen kann ein Unternehmen eine „menschliche Firewall“ aufbauen. Jedes Mitglied eines Teams im Unternehmen unterstützt dann die anderen Mitglieder dieses Teams. Durch regelmäßiges Sicherheitstraining wird die menschliche Firewall stärker und effektiver beim Aufspüren von Social Engineering-Tricks.

Die Moral der Mitarbeiter stärken

Ein Bericht von Carbonite zeigt, wie sich ein Cyberangriff auf den Einzelnen auswirkt: 24 % der Mitarbeiter erleben nach einem Angriff einen Rückgang der Moral. Zuversicht stärkt die Moral der Mitarbeiter. Security Awareness Training ist ein personenzentrierter Ansatz zur Sicherung der Vermögenswerte eines Unternehmens. Indem ein Unternehmen seinen Mitarbeitern die Mittel an die Hand gibt, um Cyberkriminalität zu bekämpfen, befähigt es seine Mitarbeiter, einen Cyberangriff zu verhindern. Security Awareness Training sorgt nicht nur für die Sicherheit des Unternehmens, sondern auch für die Moral der Mitarbeiter.

Finanzdienstleistungsunternehmen auf der ganzen Welt sind ein Hauptziel für Cyberkriminelle und Betrüger. Gut ausgebildete Mitarbeiter sind Teil eines umfassenden 360-Grad-Ansatzes, um ein Unternehmen vor diesen bösartigen und unheilvollen Angriffen zu schützen.

Menschliche Firewall