Das rollenbasierte Sicherheitstraining schneidet die Schulungsmaterialien und -mechanismen auf die Rolle eines Mitarbeiters zu und reduziert das mit dieser Rolle verbundene Cyberrisiko.

Die Welt ist ein komplexer und vielfältiger Ort und die Menschen darin sind ein Schmelztiegel von Fähigkeiten, Fertigkeiten und Einstellungen. In einem Unternehmen wird diese Vielfalt oft sinnvoll genutzt, indem spezielle Rollen geschaffen werden, die diese unterschiedlichen Fähigkeiten und Fertigkeiten nutzen.

Die Tatsache, dass Menschen in einem Unternehmen bestimmte Rollen einnehmen, ist für Cyberkriminelle nicht unbekannt. Betrüger stimmen ihre Angriffe oft auf das jeweilige Ziel ab. So konzentrieren sich BEC-Angriffe (Business Email Compromise) in der Regel auf Mitarbeiter in leitenden Positionen und in der Rolle der Kreditorenbuchhaltung. Betrüger passen Phishing-Kampagnen oder andere Social-Engineering-Angriffe so an, dass sie die Berufsbezeichnung einer Person widerspiegeln. Dabei nutzen sie intrinsische menschliche Eigenschaften wie Vertrauen, um den Erfolg sicherzustellen.

Wenn Betrüger jedoch rollenbasiertes Social Engineering und Phishing einsetzen, um den Erfolg ihrer Cyberangriffe zu verbessern, dann können zwei dieses Spiel spielen.

Rollenbasiertes Sicherheitstraining, um rollenbasiertes Phishing zu stoppen

Cyberkriminelle wollen sichergehen, dass jede Kampagne, die sie entwerfen, ein Erfolg wird: Sie wissen, dass je besser eine Phishing-E-Mail zugeschnitten ist, desto wahrscheinlicher ist es, dass die Zielperson die E-Mail für echt hält und dann auf einen bösartigen Link klickt oder der Aufforderung in der E-Mail nachkommt, die Bank zu wechseln und dringend Geld zu überweisen, usw.

Spear-Phishing ist oft die Waffe der Wahl, wenn ein Cyberkrimineller auf eine bestimmte Funktion in einem Unternehmen abzielt. Bei dieser Form des Phishings werden hochgradig maßgeschneiderte Nachrichten verschickt, um bestimmte Mitarbeiter zu manipulieren. Typische Rollen, die Gegenstand von Spear-Phishing-Angriffen sind, sind:

  • C-Level-Führungskräfte und Assistenten der Geschäftsführung

  • Gehaltsabrechnung

  • HR

  • Finanzen und Kreditorenbuchhaltung

  • Privilegierte Benutzer

C-Level-Führungskräfte und Assistenten der Geschäftsführung:Whaling“ und BEC-Betrug(Business Email Compromise) konzentrieren sich auf die C-Level-Führungskräfte in einem Zielunternehmen. Die Betrüger können auch die Assistenten der Geschäftsführung ins Visier nehmen, indem sie Social Engineering und Spear-Phishing einsetzen, um Zugang zum E-Mail-Konto des CEO oder zu anderen persönlichen Informationen zu erhalten. Der BEC-Betrug wird mit manipulierten oder gefälschten CXO-E-Mails eingeleitet.

Lohnbuchhaltung: Betrüger haben es auf die Mitarbeiter der Lohnbuchhaltung abgesehen, die die Gehaltszahlungen der Mitarbeiter verwalten, um das Geld auf das Bankkonto des Betrügers umzuleiten. Der Betrüger kann zum Beispiel die E-Mail eines Mitarbeiters fälschen und ihn bitten, seine Bankverbindung zu ändern.

Personalwesen (HR): Das Personalwesen ist für höchst vertrauliche und persönliche Informationen zuständig. Das macht diese Funktion anfällig für Spear-Phishing-Kampagnen, die versuchen, Zugang zu Daten zu erhalten, die dann für weitere Angriffe genutzt werden können. Die Personalabteilung wird dann Teil eines komplexeren, mehrstufigen Betrugsversuchs, wie z. B. BEC- und Gehaltsabrechnungsbetrug. Ein Mitarbeiter der Personalabteilung kann dazu verleitet werden, Informationen über einen leitenden Angestellten oder einen anderen Mitarbeiter preiszugeben, um die für den Betrug erforderlichen Informationen zu erhalten.

Finanz- und Kreditorenbuchhaltung: Die Abteilung, die die finanziellen Fäden in der Hand hält, ist ein offensichtliches Ziel für Cyberkriminelle. BEC-Betrug zum Beispiel endet oft an der Tür der Kreditorenbuchhaltung. Aber es gibt viele Arten von Betrug, die sich auf diese Rolle konzentrieren. Kreditorenbetrug ist weit verbreitet und ein Bericht hat ergeben, dass 50 % der kleinen Unternehmen in Großbritannien dieser Art von Betrug ausgesetzt sind, entweder durch interne oder externe Bedrohungen.

Privilegierte Benutzer: Cyberkriminelle haben es auf privilegierte Benutzer abgesehen, da diese die „Schlüssel zum Schloss des Unternehmens“ besitzen. Privilegierte Benutzer erhalten Zugriffsrechte auf sensible Bereiche eines Netzwerks und bieten somit einen direkten Weg in das Netzwerk für jeden Cyberkriminellen, der sie dazu bringen kann, ihre Anmeldedaten weiterzugeben oder Malware herunterzuladen. Einem Bericht zufolge sind 63 % der Unternehmen der Meinung, dass privilegierte Benutzer das größte Risiko für Insider-Bedrohungen darstellen.

Simuliertes Phishing im Rahmen von rollenbasierten Sicherheitstrainingsprogrammen

Simuliertes Phishing ist eine großartige Möglichkeit, Mitarbeiter über Phishing und Cyber-Bedrohungen aufzuklären. Indem Sie die simulierten Phishing-Nachrichten auf die Rollen innerhalb Ihrer Belegschaft zuschneiden, können Sie dieselben Taktiken simulieren, die von Cyberkriminellen verwendet werden, wenn sie auf eine bestimmte Gruppe innerhalb eines Unternehmens abzielen. Dadurch wird die Phishing-Simulation realer und spezifischer für die Rolle der betreffenden Person.

Um rollenbasierte Phishing-Simulationen durchführen zu können, muss eine Plattform Phishing-Vorlagen unterstützen, die auf die jeweilige Rolle zugeschnitten werden können. Rollenbasierte Phishing-Titel spiegeln beispielsweise die Arten von Rollen wider, die häufig Ziel von Spearphishing sind.

Beispiele für rollenbasierte Phishing-Angriffe

Privilegierte Benutzer als Ziel: Die Hackergruppe Lazarus ist berüchtigt für den WannaCry Ransomware-Angriff im Jahr 2017. In jüngerer Zeit hat die Gruppe gezielte Phishing-Kampagnen mit gefälschten Stellenangeboten durchgeführt, die sich auf privilegierte Benutzer konzentrieren. Eine der jüngsten Kampagnen richtete sich gegen einen Systemadministrator einer Kryptowährungsplattform. Der Systemadministrator erhielt über sein persönliches LinkedIn-Konto ein Phishing-Dokument, das als Jobangebot getarnt war.

Zahlungsverpflichtungen: Facebook und Google wurden von einem Betrüger um über 100 Millionen Dollar betrogen. Der Betrüger hatte es auf die Mitarbeiter der beiden Tech-Giganten abgesehen, indem er Spear-Phishing-E-Mails an bestimmte Benutzerrollen verschickte.

Gehaltsmandatsbetrug: Phishing-Kampagnen, bei denen es um den Diebstahl von Gehaltsschecks von Mitarbeitern geht, sind ein idealer Nährboden für finanziell motivierte Betrüger. Oft senden die Betrüger E-Mails an Mitarbeiter der Personalabteilung oder der Lohnbuchhaltung mit der Bitte um Änderung des Bankkontos. Die Phishing-E-Mail täuscht oft einen echten Mitarbeiter vor, enthält dessen E-Mail-Signatur und scheint von einer internen Unternehmensdomäne zu stammen. Wenn die Änderung vorgenommen wird, wird das Gehalt des Mitarbeiters auf das Bankkonto des Betrügers überwiesen.

Gründe für maßgeschneiderte Schulungen zum Sicherheitsbewusstsein

Spear-Phishing ist eine Lieblingsmethode der rollenorientierten Betrüger und sehr erfolgreich, da diese Art von Phishing sehr gezielt ist. Einem Bericht von Symantec zufolge wird Spear-Phishing bei 65 % der Cyberangriffe als Hauptvektor verwendet. Indem sie auf bestimmte Mitarbeiterrollen abzielen, können Cyberkriminelle mehrstufige, komplexe Betrügereien entwickeln, die funktionieren.

Rollenbasierte Schulungsprogramme und damit verbundenes rollenbasiertes simuliertes Phishing bieten ein maßgeschneidertes Schulungsprogramm, das Cyberkriminelle mit ihren eigenen Waffen schlägt. Wenn Sie Ihre Mitarbeiter über die genaue Art von Phishing- und Social-Engineering-Betrügereien aufklären, die speziell auf ihre Rolle abzielen, erhalten diese Mitarbeiter das Wissen, E-Mails und andere Kommunikation sorgfältig zu prüfen.  

Die Vorteile der individuellen Anpassung von Schulungen zum Sicherheitsbewusstsein

Ein individuelles Sicherheitstraining bietet erhebliche Vorteile, da es auf die besonderen Risiken und Herausforderungen eingeht, mit denen die verschiedenen Rollen innerhalb eines Unternehmens konfrontiert sind. Allgemeine Schulungsprogramme reichen oft nicht aus, um Mitarbeiter auf die spezifischen Cyber-Bedrohungen vorzubereiten, denen sie bei ihren täglichen Aufgaben am ehesten begegnen. Maßgeschneiderte Schulungen stellen sicher, dass die Mitarbeiter relevante und gezielte Informationen erhalten, die sich direkt auf die Arten von Phishing-Angriffen, Social-Engineering-Taktiken und andere Cyber-Risiken beziehen, die für ihre Aufgaben am relevantesten sind.

Durch die Anpassung der Schulungen an die einzelnen Abteilungen und Aufgabenbereiche können Unternehmen eine engagiertere und besser informierte Belegschaft schaffen und so die Wirksamkeit des Sicherheitsprogramms insgesamt erhöhen. Der Hauptvorteil einer maßgeschneiderten Sicherheitsschulung besteht darin, dass sie die Fähigkeit der Mitarbeiter stärkt, rollenspezifische Bedrohungen zu erkennen, und so das Risiko kostspieliger Sicherheitsverstöße verringert. Außerdem wird so die Einhaltung branchenspezifischer Vorschriften gewährleistet und eine proaktive Sicherheitskultur im gesamten Unternehmen gefördert.

MetaCompliance bietet maßgeschneiderte, rollenbasierte Schulungsprogramme, die auf die einzigartigen Sicherheitsrisiken jeder Rolle und jeder Abteilung ausgerichtet sind. Entdecken Sie, wie unsere abteilungsspezifischen Sicherheitsschulungen das Spezialwissen vermitteln können, das Ihre verschiedenen Teams benötigen, um sicher zu bleiben.

Schulungen zum Sicherheitsbewusstsein für Drittanbieter