Security Awareness Training ist eine Methode zur Vorbeugung von Cyber-Bedrohungen, von der Finanzdienstleistungsunternehmen profitieren können. Im Folgenden werden die wichtigsten Gründe für den Einsatz dieser Form der Schulung für Finanzdienstleister erläutert.
Der Finanzdienstleistungssektor hat in den letzten Jahren einen massiven digitalen Wandel erlebt. Der Sektor setzt auf neue Technologien, um ein besseres Kundenerlebnis zu gewährleisten und die Abläufe zu optimieren.
Der digitale Wandel hat jedoch dazu geführt, dass der Sektor auch zur Zielscheibe für Cyberkriminelle geworden ist: Eine 2020 durchgeführte Umfrage zur Cybersicherheit unter CISOs und CIOs im Finanzdienstleistungssektor ergab, dass 65 % der großen Finanzunternehmen in den letzten 12 Monaten Opfer eines Cyberangriffs geworden sind. In einem anderen Bericht, diesmal von Boston Consulting, wurde festgestellt, dass der Finanzsektor bis zu 300-mal häufiger von Cyberangriffen betroffen ist als andere Branchen.
Sicherheitsschulung für Finanzdienstleister
Der Hacker wohnt nicht mehr im Keller seiner Eltern und trägt einen Kapuzenpulli. Stattdessen machen ausgeklügelte, finanziell motivierte und manchmal staatlich geförderte Hackerbanden die Cyberkriminalität für alle zugänglich.
Geschäftsmodelle, die Hacking-Tools als Dienstleistung anbieten, sind im Dark Web leicht und billig erhältlich. Diese Tools haben in Verbindung mit den zunehmend ausgefeilten Social-Engineering-Fähigkeiten von Cyberkriminellen zu einem Tsunami von Cyberangriffen geführt. Fügt man zu dieser Mischung noch Fern- oder Heimarbeit hinzu, wird deutlich, dass die Planeten der Cyber-Bedrohungen aufeinander abgestimmt sind.
Covid-19 hat Organisationen auf der ganzen Welt die Augen geöffnet, da sich Betrügereien, die die Angst vor der Pandemie ausnutzten, immer weiter ausbreiteten. Betrüger, die sich auf Mitarbeiter konzentrierten, nutzten Phishing-Tricks, die auf Covid-19-Motiven basierten, um Anmeldeinformationen oder persönliche Daten zu stehlen oder einen Mitarbeiter dazu zu bringen, bösartige Software (einschließlich Ransomware) zu installieren. Auch wenn sich die Arbeitswelt verändert, bleiben Phishing-Taktiken und Social Engineering ein beliebtes Mittel von Cyberkriminellen, die Schaden anrichten wollen.
Die Folgen von Social Engineering und Phishing sind kostspielig. Ein Bericht von Sophos aus dem Jahr 2021 hat ergeben, dass mittelgroße Finanzdienstleistungsunternehmen rund 2 Millionen US-Dollar für die Wiederherstellung nach einem Ransomware-Angriff ausgeben; das ist mehr als der weltweite Durchschnitt von 1,85 Millionen US-Dollar. Der Bericht hebt außerdem hervor, dass 34 % der Finanzdienstleistungsunternehmen im Jahr 2020 von einem Ransomware-Angriff betroffen waren.
Security Awareness Training ist eine wirksame Antwort auf das Social Engineering der Hacker.
Vorteile der Sicherheitsschulung für Finanzdienstleister
Um zu verhindern, dass Cyberkriminelle ihre Mitarbeiter mit Social-Engineering-Techniken und Phishing ausnutzen, können Unternehmen ein Sicherheitstraining durchführen. Im Bereich der Finanzdienstleistungen bietet die Teilnahme an einem Awareness-Programm fünf wesentliche Vorteile:
Änderung des Sicherheitsverhaltens von negativ zu positiv
Betrüger, Cyberkriminelle, Betrüger - wie auch immer man diese ruchlosen Aktivitäten nennen mag - konzentrieren sich alle auf das menschliche Verhalten. Sicherheitsbewusstsein wird eingesetzt, um schlechtes Sicherheitsverhalten zu ändern und einen positiven Ansatz für die Unternehmenssicherheit zu schaffen.
Der Aufbau eines positiven Sicherheitsverhaltens klärt die Mitarbeiter über die Gefahren des Social Engineering auf. Sensibilisierungstrainings klären auch über die Fehler auf, die zu Datenverlusten führen können: Dies ist wichtig, wenn man bedenkt, dass nach Erkenntnissen des EC-Council 64 % der Datenverluste auf Insider zurückzuführen sind, die es "gut gemeint" haben.
In der Sicherheitsschulung werden die Mitarbeiter des gesamten Unternehmens für die Bedeutung der Sicherheit sensibilisiert. Ein wirksames Schulungspaket schult die Mitarbeiter mit interaktiven und ansprechenden Inhalten über Sicherheitstricks und -betrügereien und bietet Phishing-Simulationsübungen, in denen die Mitarbeiter lernen, Phishing-Nachrichten zu erkennen. Eine kontinuierliche, wirksame Sicherheitsschulung schafft eine positive Rückkopplungsschleife und ermutigt die Mitarbeiter, sich mit Sicherheitsangriffen auseinanderzusetzen.
Stoppt BEC-Betrüger in ihren Bahnen
Ransomware macht vielleicht Schlagzeilen, aber Business Email Compromise (BEC) betrifft mehr Unternehmen. Das FBI Internet Crime Complaint Center (IC3) zeigt, dass BEC viermal so viele Unternehmen betrifft wie Ransomware. Finanzdienstleister sind genauso wie andere Unternehmen von BEC-Betrug bedroht.
In einem Bericht von BankInfoSecurity aus dem Jahr 2020 werden mehrere BEC-Betrugsfälle beschrieben, darunter einer, in den eine in den USA ansässige Bank verwickelt war. Bei dieser Bank erhielt ein Angestellter eine E-Mail von Betrügern, die sich als der CEO der Bank ausgaben. In der E-Mail wurde der Angestellte aufgefordert, dringend eine bereits geplante Überweisung von 1 Million Dollar zu tätigen. Die Nachricht enthielt eine Änderung der Kontodaten mit dem Hinweis, dass dies "aufgrund des Ausbruchs des Coronavirus und der Quarantäneverfahren und -vorkehrungen" geschehe.
BEC-Betrügereien beinhalten oft eine komplexe Überwachung von Mitarbeitern. Die Betrüger gehen sogar so weit, dass sie Beziehungen zu Helpdesk-Mitarbeitern und anderen Personen in den betreffenden Abteilungen aufbauen, um Informationen über die Unternehmensabläufe zu erhalten. In Sicherheitsschulungen werden die Mitarbeiter über die Anzeichen von BEC-Betrug und die von Betrügern verwendeten Social-Engineering-Tricks aufgeklärt.
Hilft bei der Einhaltung gesetzlicher Vorschriften
Die Mitarbeiter sind ein wesentlicher Bestandteil des Datenschutzes und der Wahrung der Privatsphäre. Ihre Handlungen können eine Finanzdienstleistungsorganisation leicht in den Bereich der Nichteinhaltung bringen. Etwas so Einfaches wie eine E-Mail-Fehlleitung kann zu einer Geldstrafe führen. Eine kürzlich durchgeführte Umfrage ergab, dass 58 % der Mitarbeiter zugaben, eine E-Mail an die falsche Person geschickt zu haben.
Schulungen zum Sicherheitsbewusstsein tragen dazu bei, dass Mitarbeiter keine Fehler machen. Ein effektives Programm, das Metriken und Schulungsautomatisierung bietet, demonstriert auch das Engagement eines Unternehmens für die Sicherheit. Die Durchführung von Sicherheitsschulungen ist entweder vorgeschrieben oder wird von einer Reihe von Normen und Vorschriften nachdrücklich empfohlen, darunter ISO27001 und PCI-DSS, die unter Anforderung 12 Folgendes vorsehen:
"Ein formelles Programm zur Sensibilisierung für die Sicherheit einführen, um alle Mitarbeiter mit den Sicherheitsrichtlinien und -verfahren für Karteninhaberdaten vertraut zu machen.
Aufbau einer menschlichen Firewall
Sicherheitsmaßnahmen wie robuste Zugangskontrollen, Firewalls, Endpunktschutz und Verschlüsselung sind wichtig, aber Social Engineering ist darauf ausgelegt, traditionelle Sicherheitslösungen zu umgehen. Sachkundige und sicherheitsbewusste Mitarbeiter sind ein wesentlicher Bestandteil der Cybersicherheitsmaßnahmen eines Finanzdienstleisters.
Durch den Einsatz von Schulungen zum Sicherheitsbewusstsein kann ein Unternehmen eine "menschliche Firewall" aufbauen. Jedes Mitglied eines Teams im Unternehmen unterstützt dann die anderen Mitglieder dieses Teams. Durch regelmäßiges Sicherheitstraining wird die menschliche Firewall stärker und effektiver beim Aufspüren von Social-Engineering-Tricks.
Förderung der Mitarbeitermoral
Ein Bericht von Carbonite zeigt, wie sich ein Cyberangriff auf den Einzelnen auswirkt: 24 % der Mitarbeiter erleben nach einem Angriff einen Rückgang der Moral. Vertrauen stärkt die Moral der Mitarbeiter. Security Awareness Training ist ein personenzentrierter Ansatz zur Sicherung der Vermögenswerte eines Unternehmens. Indem ein Unternehmen seinen Mitarbeitern die Mittel an die Hand gibt, um Cyberkriminalität zu bekämpfen, befähigt es seine Mitarbeiter, einen Cyberangriff zu verhindern. Security Awareness Training sorgt nicht nur für die Sicherheit des Unternehmens, sondern auch für die Moral der Mitarbeiter.
Finanzdienstleistungsunternehmen auf der ganzen Welt sind ein Hauptziel für Cyberkriminelle und Betrüger. Gut geschulte Mitarbeiter sind Teil eines umfassenden 360-Grad-Ansatzes, um ein Unternehmen vor diesen bösartigen und unheilvollen Angriffen zu schützen.
