Sicherheitsschulungen für mobile Endnutzer umsetzen
Sorgen Sie sich um Malware, Social Engineering und nicht gepatchte Software auf den mobilen Geräten Ihrer Mitarbeiter? Zeit für ein Security-Awareness-Training für die Nutzer.
Trotz aller Sicherheitskenntnisse, Tools und Dashboards, die IT-Teams zur Verfügung stehen, bleiben die Mitarbeiter eines Unternehmens das schwächste Glied in der Cybersicherheitskette.
Externe Bedrohungen profitieren von ungeschulten Mitarbeitern, die sich über mobile Geräte mit Unternehmensnetzwerken verbinden. Cyberkriminelle können diese Benutzer mit Social-Engineering-Techniken dazu verleiten, unbefugten Zugriff auf sensible Daten und Systeme zu gewähren. In anderen Fällen gewähren die Anwender aufgrund mangelnder Sicherheitskenntnisse und Fehleinschätzungen unwissentlich leichteren Zugang. In beiden Fällen sind Mitarbeiter, die nicht im Bereich der mobilen Sicherheit geschult sind, nicht in der Lage, Bedrohungen zu erkennen und zu vermeiden, was das Risiko schwerwiegender Datenschutzverletzungen erhöht.
Deshalb ist es so wichtig, die die Angestellten darin zu schulen, die Schwachstellen mobiler Geräte zu erkennen und böswillige Versuche zu blockieren. Die Herausforderung besteht darin, diese Konzepte so zu vermitteln, dass sie von den Anwendern angenommen werden und der sich ständig verändernden Bedrohungslandschaft Rechnung tragen. Mit dem richtigen Ansatz können IT-Manager ein effektives und skalierbares Awareness-Programm für mobile Sicherheit aufbauen.
Themen für mobile Sicherheitsschulungen
Eine breite Palette von Themen ist für mobile Sicherheitsschulungen unerlässlich. Die IT-Abteilung sollte sicherstellen, dass die Benutzer die verschiedenen Arten von Malware, Präventivmaßnahmen und die Anwendung ihres Wissens verstehen.
Arten mobiler Malware
Malware ist ein Problem für alle Geräte, die Unternehmensdaten enthalten. Mobile Endgeräte weisen jedoch einige spezifische Schwachstellen auf, die ihre Benutzer kennen sollten. Bestimmte Angriffe zielen auf mobile Geräte ab, häufig über E-Mails, bösartige Apps oder SMS-Nachrichten. Zu den gängigsten Arten mobiler Malware gehören Ransomware, Spyware und Trojaner.
Mit dem richtigen Ansatz können IT-Verantwortliche ein effektives, skalierbares Programm zur Sensibilisierung für mobile Sicherheit aufbauen.
Häufige Angriffsvektoren, die es zu vermeiden gilt
Die Mitarbeiter sollten sich mit den Praktiken vertraut machen, die sie auf ihren mobilen Geräten vermeiden sollten. In Schulungen sollten die Gefahren des Jailbreaking oder Rootens mobiler Betriebssysteme und des Öffnens verdächtiger Dateien erläutert werden. Behandeln Sie auch unbeabsichtigte Fehler, die Mitarbeiter begehen könnten, wie zum Beispiel das Anklicken eines Phishing-Links, sowie schädliche Sicherheitsumgehungen wie die Installation von Software aus App-Stores von Drittanbietern.
Verstehen, dass mobile Geräte überall bedroht sind
Viele Unternehmen haben BYOD-Richtlinien eingeführt, die es ihren Mitarbeitern erlauben, ihre privaten Mobilgeräte für berufliche Zwecke zu nutzen. Dies birgt jedoch zusätzliche Risiken. Die Nutzer greifen mit ihren privaten Geräten eher auf Webseiten und Dateien zu, die sie auf einem Firmengerät nicht öffnen würden. Darüber hinaus gehen Mobiltelefone leichter verloren als andere Endgeräte, und im Falle eines Verlusts oder Diebstahls ist es schwieriger, Geräte zu sichern, die sowohl geschäftliche als auch private Daten enthalten. Da die Anwender ihre mobilen Geräte praktisch überallhin mitnehmen können, sind potenzielle Bedrohungen allgegenwärtig.
Die Rolle der Mitarbeiter bei der Sicherheit mobiler Geräte
Schulungen sollten sich darauf konzentrieren, wie ungeschulte Benutzer die Risiken erhöhen. Die Angestellten müssen verstehen, dass das Ignorieren der Warnzeichen gängiger Cyberbedrohungen direkte Auswirkungen auf die Sicherheit ihres Unternehmens und schwerwiegende Folgen haben kann.
Abbildung 1: Die Endanwender sollten wissen, was die größten mobilen Sicherheitsbedrohungen sind und wie sie diese vermeiden können.
Wie man Mitarbeiter schult, um mobile Geräte zu sichern.
Das IT Security Team ist dafür verantwortlich, einen umfassenden Schulungsplan für mobile Sicherheit zu erstellen. Ein vollständiger Plan sollte eine vollständige Liste von Sicherheitsempfehlungen enthalten, wobei die folgenden Punkte besonders wichtig sind:
Beispiele für Phishing-SMS und -E-Mails.
Heben Sie Warnsignale für Phishing-Versuche hervor, zum Beispiel Rechtschreibfehler und unaufgeforderte Anhänge.
Die Bedeutung von sicheren Passwörtern und Verschlüsselung: Zu den wichtigsten Punkten gehören die Möglichkeiten der Passwortspeicherung, Authentifizierungsmethoden, die Aktivierung der Nachrichtenverschlüsselung und die Gründe, warum Benutzer ihre Passwörter regelmäßig zurücksetzen müssen.
Minimierung von Sicherheitsrisiken innerhalb und außerhalb des Büros: Zu den wichtigsten Punkten gehören das sichere Herunterladen und die sichere Nutzung von Anwendungen, öffentliche WLAN-Netzwerke, Bluetooth-Verbindungen und der Schutz vor Social-Engineering-Angriffen.
Es ist wichtig, zu bedenken, dass die meisten Mitarbeiter über den Tag verteilt viele Aufgaben zu erledigen haben. Lange und langweilige Schulungen werden daher oft als lästige Pflicht empfunden, die neben der eigentlichen Arbeit erledigt werden muss. Damit die Benutzer die Sicherheitsinformationen aufnehmen und behalten können, muss die IT-Abteilung die Schulungen so gestalten, dass sie praxisnah, effizient und sogar unterhaltsam sind.
Beachten Sie die folgenden Best Practices, um ein effektives Programm zu erstellen:
Vorkonfigurierte Online-Schulungen sollten kurz sein (weniger als 10 Minuten) aber häufig stattfinden. Versenden Sie jeden Monat eine kurze Reihe von Schulungsübungen, die sich auf ein Thema der Sicherheit mobiler Geräte konzentrieren. Um sicherzustellen, dass die Mitarbeiter den Lektionen aufmerksam folgen, sollten Sie am Ende einen kurzen Test durchführen.
Bieten Sie speziell für neue Mitarbeiter ein längeres Schulungsprogramm an. Darin können die Unternehmensrichtlinien für Smartphones und die Nutzung von Unternehmensdaten behandelt werden. Lassen Sie die Nutzer am Ende der Schulung eine Einverständniserklärung unterschreiben, in der sie bestätigen, dass sie die Standards und Richtlinien verstanden haben.
Entwickeln Sie skalierbare Schulungen, die leicht an neue und aufkommende Sicherheitsbedrohungen angepasst werden können.
Die Verwendung von Beispielen aus der Praxis kommt bei Sicherheitsschulungen oft gut an. Achten Sie darauf, die aktuellsten Beispiele hervorzuheben.
Schulungsmaterial sollte leicht zugänglich sein. Die Mitarbeiter müssen wissen, wo sie weitere Informationen finden und wie sie das Informationssicherheitsteam kontaktieren können, wenn sie einen Sicherheitsvorfall vermuten.