MetaBlog

Bleiben Sie auf dem Laufenden über die Themen der Cyber-Awareness-Schulungen und mindern Sie die Risiken in Ihrem Unternehmen.

Die Vorteile einer rollenbasierten Schulung zum Sicherheitsbewusstsein

Rollenbasierte Schulungen zum Sicherheitsbewusstsein

über den Autor

Auf Linkedin teilen
Auf Twitter teilen
Auf Facebook teilen

Bei der rollenbasierten Sicherheitsschulung werden Schulungsmaterialien und -mechanismen auf die Rolle eines Mitarbeiters zugeschnitten und das mit dieser Rolle verbundene Cyber-Risiko reduziert.

Die Welt ist ein komplexer und vielfältiger Ort, und die Menschen darin sind ein Schmelztiegel von Fähigkeiten, Fertigkeiten und Haltungen. Innerhalb eines Unternehmens wird diese Vielfalt oft durch die Schaffung spezifischer Rollen genutzt, die diese unterschiedlichen Fähigkeiten und Fertigkeiten nutzen.

Die Tatsache, dass Menschen in einem Unternehmen bestimmte Funktionen ausüben, ist für Cyberkriminelle nicht unbekannt. Betrüger stimmen ihre Angriffe oft auf das jeweilige Ziel ab. So konzentrieren sich BEC-Angriffe (Business Email Compromise) in der Regel auf Mitarbeiter in leitenden Positionen und auf Mitarbeiter in der Kreditorenbuchhaltung. Betrüger passen Phishing-Kampagnen oder andere Social-Engineering-Angriffe so an, dass sie die Berufsbezeichnung einer Person widerspiegeln, und nutzen dabei intrinsische menschliche Eigenschaften wie Vertrauen, um den Erfolg sicherzustellen.

Wenn Betrüger jedoch rollenbasiertes Social Engineering und Phishing einsetzen, um den Erfolg ihrer Cyberangriffe zu verbessern, können zwei dieses Spiel spielen.

Rollenbasiertes Sicherheitstraining zum Stoppen von rollenbasiertem Phishing

Cyberkriminelle wollen sichergehen, dass jede von ihnen konzipierte Kampagne ein Erfolg wird: Sie wissen, dass die Zielperson umso eher glaubt, dass die E-Mail echt ist, je maßgeschneiderter sie ist, und dann auf einen bösartigen Link klickt oder der Aufforderung in der E-Mail folgt, die Bank zu wechseln und dringend Geld zu überweisen usw.

Spear-Phishing ist oft die Waffe der Wahl, wenn ein Cyberkrimineller eine bestimmte Funktion in einem Unternehmen anvisiert. Bei dieser Form des Phishings werden hochgradig maßgeschneiderte Nachrichten verschickt, um bestimmte Arten von Mitarbeitern zu manipulieren. Typische Rollen, die Gegenstand von Spear-Phishing-Angriffen sind, sind:

  • Führungskräfte und Assistenten der Führungsebene
  • Gehaltsabrechnung
  • HR
  • Finanzen und Kreditorenbuchhaltung
  • Privilegierte Benutzer

Führungskräfte und Assistenten der Führungsebene: "Whaling" und BEC-Betrug(Business Email Compromise) konzentrieren sich auf die Führungsebene eines Unternehmens. Die Betrüger können auch die Assistenten der Geschäftsführung ins Visier nehmen, indem sie Social Engineering und Spear-Phishing einsetzen, um Zugang zum E-Mail-Konto des CEO oder zu anderen persönlichen Informationen zu erhalten. Der BEC-Betrug wird mit manipulierten oder gefälschten CXO-E-Mails eingeleitet.

Lohnbuchhaltung: Die Betrüger haben es auf die Mitarbeiter der Lohnbuchhaltung abgesehen, die die Gehaltszahlungen der Mitarbeiter verwalten, um das Geld auf das Bankkonto des Betrügers umzuleiten. Der Betrüger kann zum Beispiel die E-Mail eines Mitarbeiters fälschen und ihn bitten, seine Bankverbindung zu ändern.

Personalwesen (HR): Das Personalwesen ist für höchst vertrauliche und persönliche Informationen zuständig. Dies macht diese Funktion anfällig für Spear-Phishing-Kampagnen, die versuchen, Zugang zu Daten zu erhalten, die dann für weitere Angriffe genutzt werden können. Die Personalabteilung wird dann Teil eines komplexeren, mehrstufigen Betrugsversuchs, z. B. BEC und Gehaltsabrechnungsbetrug; ein Mitarbeiter der Personalabteilung kann dazu verleitet werden, Informationen über eine Führungskraft oder einen anderen Mitarbeiter preiszugeben, um die für die Durchführung des Betrugs erforderlichen Informationen zu erhalten.

Finanzen und Kreditorenbuchhaltung: Die Abteilung, die die finanziellen Fäden in der Hand hält, ist ein offensichtliches Ziel für Cyberkriminelle. BEC-Betrug zum Beispiel endet oft an der Tür der Kreditorenbuchhaltung. Aber es gibt viele Arten von Betrug, die sich auf diese Abteilung konzentrieren. Kreditorenbetrug ist weit verbreitet, und einem Bericht zufolge sind 50 % der kleinen Unternehmen im Vereinigten Königreich dieser Art von Betrug ausgesetzt, entweder durch interne oder externe Bedrohungen.

Privilegierte Benutzer: Cyberkriminelle haben es auf privilegierte Benutzer abgesehen, da diese die "Schlüssel zur Unternehmensburg" besitzen. Privilegierte Nutzer erhalten Zugriffsrechte auf sensible Bereiche eines Netzwerks und bieten somit einen direkten Weg in das Netzwerk für jeden Cyberkriminellen, der sie dazu bringen kann, ihre Anmeldedaten weiterzugeben oder Malware herunterzuladen. Einem Bericht zufolge sind 63 % der Unternehmen der Ansicht, dass privilegierte Benutzer das größte Risiko für Insider-Bedrohungen darstellen.

Simuliertes Phishing im Rahmen von rollenbasierten Sicherheitstrainingsprogrammen

Simuliertes Phishing ist eine gute Möglichkeit, Mitarbeiter über Phishing und Cyberbedrohungen aufzuklären. Indem Sie die simulierten Phishing-Nachrichten auf die Rollen innerhalb Ihrer Belegschaft zuschneiden, können Sie dieselben Taktiken simulieren, die von Cyberkriminellen verwendet werden, wenn sie auf eine bestimmte Gruppe innerhalb einer Organisation abzielen. Dadurch wird die Phishing-Simulation realer und spezifischer für die Rolle der betreffenden Person.

Um rollenbasierte Phishing-Simulationen durchführen zu können, muss eine Plattform Phishing-Vorlagen unterstützen, die auf die jeweilige Rolle zugeschnitten werden können. So spiegeln beispielsweise rollenbasierte Phishing-Titel die Arten von Rollen wider, die häufig Ziel von Spearphishing sind.

Beispiele für rollenbasierte Phishing-Angriffe

Privilegierte Benutzer als Ziel: Die Lazarus-Hackergruppe ist für den WannaCry-Ransomware-Angriff im Jahr 2017 berüchtigt. In jüngster Zeit hat die Gruppe gezielte Phishing-Kampagnen mit gefälschten Stellenangeboten durchgeführt, die sich auf privilegierte Benutzer konzentrieren. Eine der jüngsten Kampagnen richtete sich gegen einen Systemadministrator einer Kryptowährungsplattform. Der Systemadministrator erhielt über sein persönliches LinkedIn-Konto ein Phishing-Dokument unter dem Deckmantel eines Stellenangebots.

Zahlungsverpflichtungen: Facebook und Google wurden von einem Betrüger um mehr als 100 Millionen Dollar betrogen. Der Betrüger hatte es auf die Mitarbeiter der beiden Tech-Giganten abgesehen, indem er Spear-Phishing-E-Mails verwendete, die auf bestimmte Benutzerrollen ausgerichtet waren.

GehaltsabrechnungsbetrugPhishing-Kampagnen, bei denen es um den Diebstahl von Gehaltsschecks von Mitarbeitern geht, sind ein idealer Nährboden für finanziell motivierte Betrüger. Häufig senden die Betrüger E-Mails an Mitarbeiter der Personalabteilung oder der Lohnbuchhaltung mit der Bitte um Änderung des Bankkontos. Die Phishing-E-Mail täuscht oft einen echten Mitarbeiter vor, enthält dessen E-Mail-Signatur und scheint von einer internen Unternehmensdomäne zu stammen. Wenn die Änderung vorgenommen wird, wird das Gehalt des Mitarbeiters auf das Bankkonto des Betrügers überwiesen.

Gründe für eine maßgeschneiderte Schulung des Sicherheitsbewusstseins

Spear-Phishing ist eine bevorzugte Methode der rollenorientierten Betrüger und ist sehr erfolgreich, da diese Art von Phishing sehr gezielt ist. Einem Bericht von Symantec zufolge wird Spear-Phishing bei 65 % der Cyberangriffe als Hauptvektor verwendet. Indem sie auf bestimmte Mitarbeiterrollen abzielen, können Cyberkriminelle mehrstufige, komplexe Betrügereien entwickeln, die funktionieren.

Rollenbasierte Schulungsprogramme und damit verbundenes rollenbasiertes simuliertes Phishing bieten ein maßgeschneidertes Schulungsprogramm, das Cyberkriminelle mit ihren eigenen Waffen schlägt. Wenn Mitarbeiter über die genaue Art von Phishing- und Social-Engineering-Betrügereien unterrichtet werden, die speziell auf ihre Rolle abzielen, erhalten sie das Wissen, E-Mails und andere Kommunikation sorgfältig zu prüfen.  

Sicherheitsschulung für Drittanbieter (Security Awareness Training)

könnte Ihnen diese Lektüre gefallen