Vielklicker im Phishing-Fokus: Mehr Achtsamkeit lässt sich gezielt erlernen

Befähigung der Mitarbeiter zur aktiven Teilnahme an der Cyber-Abwehr insbesondere gegen Phishing als betriebliche Herausforderung

[datensicherheit.de, 14.12.2023] „Innerhalb der meisten Organisationen gibt es einige Mitarbeiter, die stets achtsam sind und jegliche Phishing-Versuche abwehren, indem sie bedacht und aufmerksam arbeiten. Sie sind besonders dann aufmerksam, wenn sie es mit Kundenanfragen, internen und jeglichen anderen E-Mails zu tun haben“, führt Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4 in seiner aktuellen Stellungnahme aus und warnt zugleich: „Auf der anderen Seite gibt es allerdings auch Anwender, die trotz mehrfacher Schulungen regelmäßig Opfer von Phishing-E-Mails werden, indem sie Anzeichen von Social-Engineering-Angriffen missachten oder nicht erkennen.“ Diese zuletzt genannte Gruppe werde als „Vielklicker“ bezeichnet. Die Befähigung der Mitarbeiter zur aktiven Teilnahme an der Cyber-Abwehr stelle eine Herausforderung dar. Die Erhöhung der Schulungsfrequenz und vor allem die Anpassung der Schulungsinhalte an individuelle Bedürfnisse könnten jedoch durchaus Erfolge zeitigen. „Das stärkt nicht nur die Sicherheitskultur der Organisationen insgesamt, sondern auch das Selbstvertrauen der Betroffenen.“ Im besten Fall werde die Resilienz einer Organisation durch Reduzierung des Potenzials für Fehlklicks gestärkt.

Foto: KnowBe4

Dr. Martin J. Krämer rät zur Achtsamkeit im Sinne aktiver Aufmerksamkeit für digitale Kommunikationen, um Sicherheitsverstöße zu verhindern

Vielklicker sollten weniger anfällig für Phishing-Taktiken werden, um ihre Arbeitgeber und sich nicht zu gefährden!

Für Unternehmen sei es deshalb entscheidend, die Achtsamkeit dieser „Vielklicker“ zu erhöhen: „Sie sollten weniger anfällig für Phishing-Taktiken werden, um ihre Arbeitgeber und sich nicht zu gefährden.“ Diese Gruppe von Anwendern müsse dazu gebracht werden, stets aufmerksam zu sein und ein zunächst vermitteltes und dann gelerntes Sicherheitsverhalten bewusst abzurufen, wenn ihnen eine Anfrage seltsam vorkommt – dies sei kein leichtes Unterfangen.

Im Kontext der Cyber-Sicherheit beziehe sich Achtsamkeit auf aktive Aufmerksamkeit für digitale Kommunikation, um Sicherheitsverstöße zu verhindern. Dabei umfasst dieser Begriff laut Dr. Krämer:

Bewusstsein:
Die Person ist sich der potenziellen Gefahren bewusst und zeigt Aufmerksamkeit für die Details jeder Kommunikation.

Erkennung:
Die Fähigkeit, Phishing-Anzeichen wie verdächtige Links oder unbekannte Absender zu erkennen.

Fokus:
Eine achtsame Person handelt nicht automatisch, sondern prüft jede Nachricht bewusst.

Absichtlichkeit:
Handlungen erfolgen bewusst und nicht impulsiv.

Aktionsfähigkeit:
Statt reaktiv zu handeln, agiert eine achtsame Person gemäß erlernten Verhaltensweisen aus Schulungen und greift auf bewährte Verfahren zurück.

Gezielt Inhalte auswählen, z.B. Phishing, um die gewünschten Effekte zu erreichen!

Für die mit der Durchführung von Security-Awareness-Maßnahmen betrauten Verantwortlichen sei es wichtig sicherzustellen, dass diese „Vielklicker“ regelmäßig Security-Awareness-Trainings durchlaufen. Darüber hinaus müssten sie darauf achten, „dass diese Mitarbeiter daraus auch etwas mitnehmen und ihr Verhalten dauerhaft ändern“. Sicherheitsteams sollten in Erwägung ziehen, dass Mitarbeiter, die sich dabei besonders schwertun, unter Umständen individuelle Schulungen durchlaufen sollten.

Dr. Krämer erläutert, dass sogenannte generische Inhalte, welche die gesamte Bandbreite der Cyber-Bedrohungen und Social-Engineering-Techniken darstellten, hierfür nicht der richtige Weg seien. Stattdessen gelte es, ganz gezielt Inhalte auszuwählen, welche einzelne Themen in den Fokus stellten, um die gewünschten Effekte zu erreichen. „Security-Awareness-Beauftragte sind dazu angehalten, ein genaues Verständnis zu schaffen, wie Warnsignale in Zukunft erkannt und überprüft werden, ohne dabei Risiken einzugehen.“

Phishing-Anfälligkeit reduzieren: Techniken der Achtsamkeit der Belegschaft durch gezielte Schulungen vermitteln!

Die Achtsamkeit spiele seit einigen Jahren eine wichtige Rolle in den Personalabteilungen deutscher Unternehmen. Das Konzept finde zunehmend Anwendung in der Cybersecurity: „Beispielsweise können Techniken der Achtsamkeit (Mindfulness) die Belegschaft direkt befähigen, insofern diese durch gezielte Schulungen vermittelt werden.“ Oftmals seien es Ablenkungen, welche durch gezieltes Planen und Fokusarbeit vermieden werden sollten.

„Beispielsweise sollten Mitarbeitende E-Mails und andere Benachrichtigungen während dieser Zeit abstellen. Da Fokusarbeit sehr energieraubend ist, gilt es zudem ausreichend Pausen einzuplanen, mindestens fünf Minuten nach 45 Minuten Arbeit.“ Die wichtigste Erkenntnis sei, „dass in der Langsamkeit die Geschwindigkeit liegt“ – mit mehr Fokus auf weniger Tätigkeiten könne oftmals mehr erreicht werden.

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2019
Security Awareness: Faktor Mensch von zentraler Bedeutung / Bedrohung der Reputation von Websites als Erpressungsmethode

datensicherheit.de, 07.11.2018
Security Awareness: Tipps für ein funktionierendes Sicherheitsbewusstsein im Unternehmen / Sicherheitsexperten sollten mit Mitarbeitern in Kontakt sein