Das Unternehmen Ebro Color GmbH hat mich gebeten, ein virtuelles IT Security Awareness Training durchzuführen. Das Unternehmen ist ein moderner Verpackungshersteller, der sich auf flexible Verpackungen aus Karton spezialisiert hat. Bereits früh setzte das Unternehmen auf individuelle Kundenlösungen, was eine starke Digitalisierung erfordert hat. Dadurch stehen die Mitarbeiter*innen tagtäglich im Austausch mit Kunden und verarbeiten viele externe Daten. Um diese für das Thema IT-Sicherheit zu sensibilisieren, führte ich ein Cyber Security Training durch. Dabei ging ich nicht auf technische Lösungen ein, sondern zeigte typische Angriffsvektoren und erläuterte das Vorgehen von Cyber-Kriminellen.
Cyber Security
Zum Start zeigte ich anhand von kürzlich stattgefundenen IT-Sicherheitsvorfällen, wie die aktuelle Sicherheitslage ist. Natürlich ging ich hier auf das dringende Thema Kryptotrojaner / Ransomware ein. Um für das Thema Cyber Security zu sensibilisieren, zeigte ich typische IT-Sicherheitsirrtümer auf. Abschließend erläuterte ich, welche Risiken bzw. neue Angriffsvektoren durch BYOD / Home-Office entstanden sind.
Cybercrime as a Service
Um ein Verständnis aufzubauen, wie Angreifer vorgehen, wurde die Organisation von Cyber-Kriminellen an mehreren Beispielen exemplarisch vorgestellt. Mit den neuesten Ermittlungserkenntnissen aus diesem Bereich gab ich dadurch einen Blick hinter die Kulissen der Machenschaften der organisierten Cyber-Kriminalität.
Passwortsicherheit
Das Knacken von Accounts ist immer noch eine sehr verbreitete Angriffsmethode. So werden zum Beispiel bei einem Hack erbeutete Zugangsdaten systematisch bei anderen Diensten ausprobiert. Werden hier keine Sicherheitsmerkmale wie Passwortmanager mit zufälligen Passwörtern oder Zwei-Faktor-Authentisierung verwendet, kann ein enormer Schaden entstehen. Zusätzlich wurde ein Ausblick auf das Thema Passwortfreie Authentisierung gegeben.
Social Engineering
Vielfach werden nicht Sicherheitslücken ausgenutzt, sondern Angreifer nutzen die Form der Manipulation von Menschen. Hierbei werden Mitarbeiter dazu gebracht, gefälschte Links aufzurufen oder präparierte Dokumente zu öffnen, die ihnen per Phishing E-Mails zugesendet wurden. Um hier zielgenau Angriffe durchzuführen, nutzen Cyber-Kriminelle „Open Source Intelligence (OSINT)“, um Ziele auszuspähen.
Digitale Selbstverteidigung
Abgeschlossen habe ich die Schulung mit einer Zusammenfassung der wichtigsten Regeln für mehr IT-Sicherheit. Dazu habe ich „10 goldene Regeln“ für mehr Cyber Security prägnant präsentiert.
IT Security Awareness Training
Das zweistündige virtuelle Cyber Security Awareness Training fand am 12.9.2022 als Online-Schulung statt. Mittels didaktischer Elemente wie aktivierende Methode, Interaktion mit den Teilnehmenden und vielen Live-Elementen, um einen konkreten Praxisbezug herzustellen, gestaltete ich die Security Awareness Schulung abwechslungsreich. Die Themen des IT Security Awareness Trainings im Überblick:
- Cyber Security
+ IT-Sicherheitsvorfälle
+ Kryptotrojaner / Ransomware
+ IT-Sicherheitsirrtümer
+ BYOD / Home-Office - Cybercrime as a Service
+ Organisation von Cyber-Kriminellen
+ Blick hinter die Kulissen
- Passwortsicherheit
+ Angriffe auf Passwörter
+ Sichere Passwörter
+ Passwortfreie Authentisierung - Social Engineering
+ Manipulation von Menschen
+ Phishing E-Mails
+ Open Source Intelligence (OSINT) - Digitale Selbstverteidigung
+ 10 goldene Regeln