Der Oktober gilt als der Cybersecurity Awareness Month. Die Computer-Benutzer sollen darauf aufmerksam gemacht werden, dass viele Angriffe mit einem einfachen Mail beginnen. Durch ein Mail, welches scheinbar von der Post, dem Telefonanbieter oder der Bank kommt, wird man dazu angeleitet, einen Anhang zu öffnen oder auf einen Link zu klicken. In diesem Beitrag möchte ich anlässlich des Security Awareness Month zeigen, wie Anti-Phishing Trainings helfen können, das Bewusstsein für solche Angriffe innerhalb eines Unternehmens zu steigern.


Warum technische Massnahmen nicht ausreichen

Eines der grössten Einfallstore für Angreifer in Firmennetzwerke oder private PCs ist noch immer das Email. Durch vertrauenswürdig wirkende Mails sollen die Benutzer dazu verführt werden, auf gefährliche Links zu klicken oder ein bösartiges Attachment zu öffnen.

Natürlich kann man als Security Admin in einer Firma versuchen, ausführbare Anhänge zu blockieren, zweifelhafte URLs aus den Mails zu entfernen oder auf dem Proxy zu sperren, und versuchen, gefälschte Mails zu blockieren. Dies wird nicht in allen Fällen gelingen. Phishing Mails werden immer wieder mal alle technischen Schutzmassnahmen durchdringen und in den Benutzer-Postfächern landen. Darum ist es wichtig, dass die Mitarbeiter wissen, wie sie Phishing-Mails erkennen können und wie sie sich verhalten sollten. Leser und Leserinnen dieses Blogs werden wohl bereits wissen, worauf dabei zu achten ist. Darum wollen wir hier nicht näher darauf eingehen, sondern wir wollen schauen, welche Tools uns bei der User-Schulung unterstützen können.

Verschiedene Hersteller bieten online Anti-Phishing Trainings an: Lucy (lucysecurity.com), ProofPoint (www.proofpoint.com/us/products/security-awareness-training), KnowBe4 (www.knowbe4.com), SANS (www.sans.org/security-awareness-training) um nur einige zu nennen.

Exemplarisch wollen wir hier auf die Lösung von Cisco (www.cisco.com/c/en/us/products/collateral/security/email-security/at-a-glance-c45-744492.html) eingehen.


Cisco Secure Awareness Training

Der online Service «Cisco Secure Awareness Training» besteht aus 3 Komponenten:

    • Assessment
    • Training
    • Phishing Simulation

Assessment

Bevor man seine Mitarbeiter gezielt schulen kann, sollte man wissen, wo man steht und wo Lücken bestehen. Aus einer Fragen-Datenbank bzw. eigenen Fragen kann man eine Umfrage zusammenstellen. Vordefinierte Fragen gibt es zu verschiedensten IT-Security-Themen. Hier ein Beispiel:

Quelle: Screenshot von Cisco Secure Awareness Training, abgerufen am 12.10.2021

Training

Aus verschiedensten Trainings-Materialen kann man Training-Kurse zusammenstellen.

 Es stehen interaktive Videos und Spiele zu Themen wie Passwörter, Phishing, Clean-Desk, Datenschutz usw. zur Verfügung. Am Ende des Trainings wird das Wissen mit einigen Fragen vertieft. Diese Trainings dauern 3-7 Minuten.

 «Micro Learnings» sind kurze Trainingseinheiten von etwa 3 Minuten zur Repetition.

 Sogenannte «Nano Learnings» sind noch kürzer und nehmen nur 1 Minute in Anspruch.

 All diese Trainings und Fragen stehen in diversen Sprachen zur Verfügung. Während die von mir getesteten Materialien in Englischer Sprache sehr gut sind, wirken die Übersetzungen allerdings zum Teil etwas hölzern. Oder manche Videos werden in Englisch gesprochen und sind bloss mit anderssprachigen Untertiteln versehen. Die Qualität ist dabei je nach Sprache und Trainingseinheit sehr unterschiedlich. Dafür aktualisiert Cisco die Schulungsunterlagen regelmässig und fügt monatlich neue Module hinzu.


Phishing Simulation

Zu guter Letzt möchte man als Security Verantwortlicher wissen, ob das vermittelte Wissen von den Mitarbeitern auch in der Praxis umgesetzt werden kann. Diesem Zweck dienen die «Phishing Simulationen». Dazu stehen verschiedenste Templates zur Verfügung, welche einfach angepasst werden können. Oder es können auch eigene Templates kreiert werden, um einen gezielten Spear-Phishing Angriff zu simulieren.

Quelle: Screenshot eines Phishing Templates von Cisco Secure Awareness Training, abgerufen am 12.10.2021

Diese Mails werden dann einer Usergruppe zugestellt. Es wird ausgewertet, ob jemand auf die Links klickt oder das Attachment öffnet. Sollte dem so sein, kann automatisch ein passendes Training gestartet werden, bei welchem der Benutzer nochmals vertieft, wie er Phishing Mails erkennen und dem Security Team melden kann. Übrigens: Auf dem Cisco Email Security Gateway gibt es sogar die Möglichkeit, den so identifizierten «Schnell-Klickern» eine etwas strengere Mail-Policy zuzuweisen und z.B. URLs unklickbar zu machen.


Zusammenfassung

Die letzte Bastion im Schutz gegen Information-Security Vorkommnisse sind die aufmerksamen Benutzer. Als Security Verantwortliche sollten wir alle Mitarbeiter im Kampf gegen Angriffe einbeziehen, sie gut schulen und motivieren, Sicherheits-Vorfälle unkompliziert zu melden. Dabei können uns Tools zur User-Schulung und zur Messung des Erfolgs helfen.