Security Awareness ist längst fester Bestandteil eines ganzheitlichen IT-Sicherheitskonzepts. Doch wie so oft gehen Praxis und Theorie auseinander, denn der IT-Fachkräftemangel ebbt auch während der Corona-Krise nicht ab. Wie IT-Systemhäuser ihren Endkunden Security Awareness Trainings auch ohne eigenes Fachpersonal anbieten können, zeigt der Systemhauspartner Network Box aus Köln.
So hoch wie in den Jahren 2020 und 2021 waren die Schäden durch Cyberattacken noch nie. Den größten Anteil machte dabei sowohl bei kleinen als auch großen Unternehmen neben Schadsoftware die Angriffsart Phishing aus. Ein Zeichen dafür, dass die größten Sicherheitsrisiken durch Fehlverhalten und schwach ausgeprägtes IT-Sicherheitsbewusstsein der Mitarbeiter entstehen. Und dass zu einer umfassenden Absicherung der IT-Systeme neben zertifizierten UTM-Lösungen die Sensibilisierung der Mitarbeiter im richtigen Umgang mit der IT gehört.
So einfach die Lösung, so schwierig die Umsetzung. Seit Jahren bringt die wachsende Auftragslage Beratungs- und Systemhäuser an ihre Grenzen. IT-Fachkräfte sind auf dem Markt rar gesät. Um dem entgegenzusetzen, holen sich immer mehr Systemhäuser einen Partner ins Boot, der den Bereich IT-Sicherheit ganzheitlich übernimmt. So wie den Managed Security Service Provider Network Box aus Köln. Für mehr als 300 Systemhauspartner in ganz Deutschland bietet der IT-Sicherheitsspezialist seine Lösungen als Security as a Service an, dazu gehören neben der Managed Firewall UTM auch Managed Security Awareness Trainings. Dabei übernimmt Network Box im Hintergrund die Umsetzung der Security Awareness Trainings, Ansprechpartner für den Endkunden bleibt weiterhin das Systemhaus. So sorgt der MSSP dafür, dass sich seine Partner auf ihre Kernkompetenz konzentrieren und trotz Fachkräftemangel ganzheitliche IT-Sicherheit anbieten können.
Erfolg durch Wiederholung
In der Umsetzung sieht das Ganze dann so aus: In Absprache mit dem Systemhaus versendet Network Box Spam-E-Mails und auf Wunsch individuell gestaltete E-Mails mit gefälschten Inhalten an die Mitarbeiter des Endkunden. Sie können aus dem Alltag bekannte Mails etwa von Paketzustellern („Ihr Paket ist da!”) enthalten, aber auch E-Mails vermeintlich im Namen der Geschäftsführung an die Belegschaft, wonach die Gehaltsabrechnungen von nun an online verfügbar seien und der Mitarbeiter aufgefordert wird, auf den Link zu klicken, um zu prüfen, ob seine Angaben stimmen. Im Anschluss erhält der Kunde anonymisierte Auswertungen mit den Ergebnissen und Handlungsempfehlungen. Das Überraschende: Selbst IT-Verantwortliche ertappen sich dabei, wie schnell sie in der Hektik des Alltags auf eine gefälschte E-Mail klicken und wie gut diese heutzutage gefälscht sind.
Über eine eigens entwickelte eLearning-Plattform erhalten die Mitarbeiter Zugang zu Schulungsvideos und interaktiven Awareness Präsentationen zu aktuellen Bedrohungen und Themen wie Sicherheit am Arbeitsplatz, Home Office Awareness, Social Engineering und Passwortschutz. Solche interaktiven Phishing-Kampagnen machen die Risiken der Cyberkriminalität greifbar. Teilnahmezertifikate dienen als Nachweis im Rahmen der DSGVO und anderen Zertifizierungsstandards wie ISO27001 oder ISMS. Abgerundet werden die Trainings durch Awareness-Newsletter und Materialien am Arbeitsplatz. Dabei wählt der Endkunde zwischen einer einmaligen Kampagne und fortlaufenden Kampagnen für nachhaltige IT-Sicherheit. Mit Hilfe von Reports zeigt sich deutlich, wie sich der IT-Sicherheitsstatus der Mitarbeiter im Laufe des Trainings verbessert.
Worauf achten bei einem Managed Security Awareness Training?
Ein guter Managed Security Service Provider agiert wie ein neuer Mitarbeiter, der den Bereich IT-Sicherheit eigenverantwortlich im Hintergrund übernimmt. Das gilt auch für die Managed Security Awareness Trainings. Zur Einschätzung helfen Erfahrungen und Referenzprojekte, auf die der Anbieter verweisen kann, sowie Prozesse und Zertifizierungen wie zum Beispiel ISO27001. Am Ende des Tages ist wichtig, dass die IT-Belegschaft zu dem Anbieter ein gesundes Vertrauensverhältnis aufbauen kann. Grundlage sollte eine faire, unkomplizierte Zusammenarbeit auf Augenhöhe sein.
Mehr über die Security Awareness Trainings unter www.network-box.eu.