[vc_row][vc_column][vc_custom_heading text=“Komm, wir gehen phishen“ font_container=“tag:h1|font_size:48|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1692623454470{margin-top: -25px !important;}“][vc_custom_heading text=“Phishingmails als Übung für Behörden“ font_container=“tag:h2|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1692623466272{padding-bottom: 10px !important;}“][vc_column_text]Hannes Hartung, Increase Your Skills GmbH

(Titelbild: © AdobeStock | 85301675| Kadmy)[/vc_column_text][ultimate_spacer height=“15″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][/vc_column][/vc_row][vc_row][vc_column][vc_custom_heading text=“Kurz und Bündig“ font_container=“tag:h2|font_size:34|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1661761237969{margin-top: -25px !important;}“ el_class=“box-headline“][vc_row_inner el_class=“box-content-wrapper“][vc_column_inner][vc_column_text]Für ein adäquates Sicherheitsniveau in Behörden sind individuelle Angriffssimulationen sowie Schulungseinheiten notwendig. Das Unternehmen Increase Your Skills schafft mit seiner Full-Service-Awareness Plattform den Spagat zwischen ansprechenden Awarenesstrainings und maßgeschneiderten, realitätsnahen Phishingangriffen für einen maximalen Lernerfolg.[/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row][vc_row css=“.vc_custom_1519752670572{margin-top: -10px !important;}“][vc_column][ultimate_spacer height=“30″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][vc_column_text]Cyberangriffe auf Behörden haben in den letzten Jahren rasant zugenommen. Der wichtigste Schutz ist das Training der Bediensteten. Dazu dienen individuell auf die Behörden zugeschnittene Angriffssimulationen über E-Mail (Phishing), Textnachricht (Smishing) oder Anruf (Vishing). Indem Bedienstete mit verschiedenen Angriffsmethoden konkret konfrontiert werden, können sie besser auf potenzielle Bedrohungen achten und angemessen reagieren.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]Mit dem verstärkten Einsatz digitaler Technologien und der zunehmenden Vernetzung von Systemen sind Behörden zu einem attraktiven Ziel für Cyberkriminelle und sogar staatliche Akteure geworden. Das hat zum Teil dramatische Folgen: Kommunen verarbeiten hochsensible Daten ihrer Bürger:innen und müssen daher noch besser geschützt werden, um potenzielle Totalausfälle der öffentlichen Infrastruktur zu verhindern.

Durch künstliche Intelligenz werden Phishingangriffe immer realitätsgetreuer und sind selbst für das geschulte Auge zum Teil sehr schwer zu erkennen. Daher ist es umso wichtiger, speziell auf individuelle Branchen zugeschnittene Angriffssimulationen anzubieten, welche eine Steigerung des Sicherheitsniveaus garantieren. Für diese individuellen Anforderungen wurde die OSINT-Engine entwickelt, eine Open Source Intelligence Software. Dabei handelt es sich um die Sammlung und Analyse von Informationen aus frei verfügbaren öffentlichen Quellen, wie zum Beispiel Informationen aus sozialen Medien, Nachrichtenartikeln, Blogs, Foren, Websites oder öffentlich zugänglichen Dokumenten. Also alle Quellen, die auch Angreifende ohne viel Aufwand analysieren können. Diese gesammelten Informationen werden verarbeitet und als realitätsnahe Angriffssimulationen speziell auf die Behörden angepasst. Allerdings gibt es im Bereich der Informationssicherheit meist sehr unterschiedliche Wissensniveaus. Aus diesem Grund ist es wichtig, individuell zugeschnittene Phishing-E-Mails zu generieren, um einen möglichst hohen Schulungseffekt zu erzielen. Somit wird versucht, möglichst nah an den Methoden der Angreifenden zu sein, denn wenn man sich vor perfiden Cyberangriffen schützen will, muss man sich in die Lage der Angreifenden hineinversetzen.[/vc_column_text][vc_custom_heading text=“Test-Attacken“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Das schwächste Glied in der Informationssicherheitskette ist der Mensch: Angreifende versuchen, über diesen Weg komplexe Attacken zu starten oder ihn als Einfallstor zu nutzen. Dabei ist ein Großteil aller Angestellten unzureichend sensibilisiert. Das liegt zum einen an der sich ständig wandelnden Angriffslandschaft, aber auch daran, dass sowohl in den meisten Ausbildungen und Studiengängen als auch im Berufsalltag das Thema Cybersicherheit eine eher untergeordnete Rolle spielt. Dadurch ist es essenziell, ein Grundniveau an Awareness aufzubauen, um die Eintrittswahrscheinlichkeit von Cyberangriffen zu reduzieren. Das Training der Angestellten erweist sich hier als wirksames Werkzeug. Die Herausforderung bei einem einheitlichen Training ist, dass alle möglichen Angriffsvektoren abgesichert sein müssen, während Cyberkriminelle sich auf einen Vektor spezialisieren können. Um die Wahrscheinlichkeit eines Angriffserfolgs dabei noch weiter zu erhöhen, können die Angreifenden zum Teil monatelange Vorbereitungen treffen. Um Angestellte auf diese Gefahren vorzubereiten und zu sensibilisieren, ist ein realitätsnahes Training von großer Wichtigkeit. Dabei versetzen sich die Trainingsanbietenden in die Lage der Angreifenden und übernehmen deren Rolle – kontrolliert in einer sicheren Umgebung.

[/vc_column_text][vc_custom_heading text=“Individualisierte Trainings für Verwaltungen
“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Verschiedene Verwaltungen haben unterschiedliche Bedürfnisse an Sicherheitsschulungen. Es gibt Themenbereiche, welche für alle Branchen relevant sind, diese können durch Grundlagenschulungen trainiert werden. Im Gesundheitswesen spielt beispielsweise die Patient:innensicherheit die größte Rolle. Es muss eine reibungslose Patient:innenversorgung sichergestellt werden, und das zum Teil im Krisenmodus. Auch Bildungseinrichtungen stehen mit stark voranschreitender Digitalisierung vor besonderen Herausforderungen. Das breite Spektrum an Nutzenden, darunter Schüler:innen, Lehrkräfte, Admins und Eltern, führt zum Teil zu komplexen Anforderungen an das Sicherheitsmanagement. Eine Gemeinsamkeit haben jedoch alle diese Bereiche: Im Vordergrund steht die Förderung der Digitalisierung. Ein hohes Sicherheitsniveau kommt allerdings häufig mit einem Verlust der Benutzer:innenfreundlichkeit von Systemen einher. So kann es zu komplexen und umständlichen Bedienungen kommen, die die Nutzenden frustrieren. Hierbei spielt erneut der Faktor Mensch als schwächstes Glied in der Informationssicherheitskette eine tragende Rolle. Nutzende umgehen häufig organisatorische Richtlinien, um effizienter arbeiten zu können.

Es ist daher eine Herausforderung, einen Ausgleich zwischen Sicherheit und Be-nutzer:innenfreundlichkeit zu finden. Mit einer Kombination aus Schulungen, Richtlinien und einer Sicherheitskultur werden das Bewusstsein und die Verantwortung aller Angestellten für Cybersicherheit gefördert.[/vc_column_text][vc_custom_heading text=“Unterschiedlicher Kenntnisstand als Herausforderung“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Die größte Herausforderung bei der Schulung in Behörden im Bereich der Cybersicherheit liegt neben den Ressourcenbeschränkungen in den unterschiedlichen Kenntnisständen der Bediensteten. Diese Heterogenität kann sich aufgrund der unterschiedlichen Aufgabenbereiche, Erfahrungsniveaus und technischen Hintergründe ergeben.

Laut einer Studie der National Initiative for Cybersecurity Education aus den USA variierten die Kenntnisstände von Angestellten in Regierungsbehörden zum Thema Cybersicherheit teilweise sehr stark. Zu einem ähnlichen Ergebnis kam eine Studie des Government Accountability Office. Beide Studien belegten, dass einige Angestellte ein hohes Verständnis für Sicherheitskonzepte und -praktiken zeigten, während bei anderen grundlegende Kenntnisse fehlten.

Die unterschiedlichen Kenntnisstände stellen eine zentrale Herausforderung dar: Ein einheitliches Schulungsprogramm könnte möglicherweise nicht alle Bediensteten adäquat ansprechen. Daher ist es wichtig, maßgeschneiderte Schulungsansätze zu entwickeln, die den individuellen Bedürfnissen und Kenntnisständen der Teilnehmenden gerecht werden.[/vc_column_text][vc_custom_heading text=“Trainings für unterschiedliche Cyberangriffe
“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Es kann eine Vielzahl von Cyberangriffen getestet werden. Im Bereich der technischen Evaluierung spricht man häufig von sogenannten Penetrationstests. Dabei handelt es sich um eine autorisierte Simulation eines Angriffs auf ein Computersystem oder Netzwerk, um Schwachstellen und Sicherheitslücken zu identifizieren und zu bewerten. Im Bereich „Faktor Mensch“ können ebenfalls verschiedene Angriffsarten simuliert werden – so dass unter anderem Vishing, der Betrug über einen Telefonanruf und Smishing, der Angriff via Textnachricht, trainiert werden. Aber auch die Sensibilisierung im Bereich der physischen Sicherheit ist äußerst wichtig und wird von Auditor:innen im Bereich der ISO/IEC 27001, einer der wichtigsten IT-Sicherheitsnormen, gerne überprüft. Wie reagieren Angestellte, wenn eine fremde Person auf dem Firmengelände ist? Werden unautorisierte Personen in Sicherheitsbereiche gelassen? Wie schwer ist es, auf das Firmengelände zu gelangen?
Auch die Auswirkungen von Cyberattacken sollten trainiert werden. In sogenannten „Sandboxsystemen“ können Angriffe in einer sicheren Umgebung ausgeführt werden. Das ist eine gern genutzte Methode, um den Ernstfall zu simulieren. Häufig wird in solchen Ernstfällen erst bewusst, wie dramatisch so ein Cyberangriff – zum Beispiel durch Ransomware – sein kann.[/vc_column_text][vc_custom_heading text=“Wirkungsgrad von Security-Awareness-Kampagnen“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Der Wirkungsgrad von Security-Awareness-Kampagnen kann enorm sein. Eine anonymisierte Auswertung der Datenbanken der Increase Your Skills GmbH hat ergeben, dass die Kundschaft des öffentlichen Sektors im Schnitt eine Klickrate von 30 Prozent hat, sofern noch keine Phishingtrainings durchgeführt worden sind. Die Klickrate bezeichnet in diesem Fall den Klick auf einen schädlichen Link einer simulierten und geöffneten Phishing-E-Mail. Diese Rate kann innerhalb von zwölf Monaten auf im Schnitt unter acht Prozent reduziert werden. Das ist enorm und zeigt, wie wichtig die realitätsgetreue Simulation von Angriffen ist. Davon profitieren mittlerweile Kommunalverwaltungen, Landratsämter und auch Bundesbehörden.[/vc_column_text][vc_custom_heading text=“Sicherheitstrainings als ganzheitlicher Teil des Sicherheitskonzepts
“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Security-Awareness-Trainings tragen maßgeblich für einen höheren Informationssicherheitsschutz in Kommunen, Verwaltungen und Behörden bei. Sie allein reichen jedoch noch nicht aus, um ein adäquates Sicherheitsniveau zu etablieren. Daher sollte ein Sicherheitskonzept verschiedene Maßnahmen beinhalten:

1. Technische Sicherheitsmaßnahmen: Behörden sollten robuste technische Sicherheitslösungen implementieren, wie Firewall-Systeme, Intrusion Detection Systeme, Antivirus-software, Verschlüsselung und regelmäßige Systemaktualisierungen. Diese Maßnahmen dienen dazu, potenzielle Schwachstellen zu minimieren und die Systeme widerstandsfähiger gegen Angriffe zu machen.
2. Richtlinien und Verfahren: Es ist wichtig, klare Sicherheitsrichtlinien und -verfahren zu entwickeln und zu implementieren. Sie sollten den sicheren Umgang mit Informationen, Zugriffsrechten, Passwortrichtlinien, Verantwortlichkeiten und Notfallplänen abdecken. Die Richtlinien sollten regelmäßig überprüft und aktualisiert werden, um mit der aktuellen Bedrohungslage Schritt zu halten.
3. Sicherheitskultur und Governance: Eine Sicherheitskultur sollte in der gesamten Behörde gefördert werden. Dafür ist es nötig, ein Bewusstsein für Cybersicherheit zu etablieren. Das betrifft sowohl Angestellte einer Kommune als auch deren Führungskräfte. Außerdem ist eine starke Governancestruktur für die Überwachung und Durchsetzung der Sicherheitsrichtlinien notwendig.
4. Incident Response und Kontinuitätsplanung: Es ist wichtig, über einen gut definierten Incident-Response-Plan zu verfügen, um im Falle eines Sicherheitsvorfalls angemessen reagieren zu können. Dies beinhaltet die Identifizierung, Analyse und Behebung von Sicherheitsvorfällen sowie die Wiederherstellung des normalen Betriebs. Zudem sollten Behörden über einen Business Continuity Plan verfügen, um sicherzustellen, dass die kritischen Funktionen auch während eines Sicherheitsvorfalls aufrechterhalten werden können.

Das größte Risiko in der öffentlichen Verwaltung ist der Faktor Mensch. Aber auch andere Angriffsvektoren können bei zu geringem Schutzniveau leicht ausgenutzt werden. Folgende Angriffsflächen bietet der öffentliche Sektor:

1. Vergütung des Personals: Da in den Verwaltungen oft die Gelder fehlen und die Privatwirtschaft meist höhere Löhne ermöglicht, ist die Gewinnung von Fachpersonal für Cybersicherheit oft eine Herausforderung.
2. Fehlende Sanktionierung: Während in der Privatwirtschaft bei großen Sicherheitsvorfällen Kundschaftsverlust oder gar hohe finanzielle Strafen drohen, können fehlende direkte Konsequenzen dazu führen, dass Sicherheitsmaßnahmen als weniger dringlich eingestuft werden.
3.  Geschwindigkeit: Die Angriffslandschaft wandelt sich so rasant, dass es anspruchsvoll ist, den Cyberkriminellen auf Augenhöhe zu begegnen. Bürokratische Strukturen, Budgetbeschränkungen und die Komplexität der Systeme führen im öffentlichen Sektor zu einem Verlust von Geschwindigkeit.

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][ult_dualbutton btn_hover_style=“Style 2″ btn_border_style=“solid“ btn_color_border=“#ffffff“ btn_border_size=“2″ btn_alignment=“left“ dual_resp=“off“ button1_text=“Einzelheft kaufen“ icon_link=“url:https%3A%2F%2Fwww.im-io.de%2Fproduct%2Fmetaverse%2F|title:Metaverse%2C%20NFTs%20%26%20Cryptos|target:_blank“ btn1_background_color=“#f3f3f3″ btn1_bghovercolor=“#f07d00″ icon=“Defaults-book“ icon_size=“22″ icon_color=“#f07d00″ icon_hover_color=“#ffffff“ button2_text=“Jetzt abonnieren“ btn_icon_link=“url:https%3A%2F%2Fwww.aws-institut.de%2Fim-io%2Fabo%2F|title:Abo||“ btn2_background_color=“#f3f3f3″ btn2_bghovercolor=“#f07d00″ btn_icon=“Defaults-chevron-right“ btn_icon_size=“22″ btn_icon_color=“#f07d00″ btn_iconhover_color=“#ffffff“ divider_text=“oder“ divider_text_color=“#f07d00″ divider_bg_color=“#ffffff“ btn1_text_color=“#f07d00″ btn1_text_hovercolor=“#ffffff“ btn2_text_color=“#f07d00″ btn2_text_hovercolor=“#ffffff“ title_font_size=“desktop:20px;“ btn_border_radius=“30″ title_line_ht=“desktop:22px;“ btn_width=“280″][/vc_column][/vc_row]