Bestellung auf Knopfdruck: Einsatz von Dash & Order Buttons im Online-Handel

Lässt sich ein Order Button nach dem Vorbild von Amazons Dash Button in anderen Online-Shops einsetzen? Ja! Es gibt verschiedene Varianten: B2B, B2C, ein frei konfigurierbarer Knopf oder NFC-Aufkleber. Die Mittelstand 4.0-Agenturen Kommunikation und Handel haben einen leichtverständlichen Leitfaden geschrieben, der sich an alle Unternehmen richtet, die den Einkauf für ihre Kunden noch digitaler gestalten wollen.

Leitfaden „Bestellung auf Knopfdruck Einsatz von Dash & Order Buttons im Online-Handel“ herunterladen

Inhaltsverzeichnis

1. Einleitung
2. Bedeutung der Bestellknöpfe für die Entwicklung des Handels
3. Der Dash Button von Amazon
3.1 Wissen zum Gerät
3.2 Technische Daten
4. Alternative Buttons
4.1 Frei konfigurierbare Buttons
4.2 Beispiele für B2C-Buttons
4.3 Beispiele für B2B-Buttons
5. Chancen und Kritik
5.1 Einsatzmöglichkeiten der Bestellknöpfe
5.1.1 Produkte
5.1.2 Zielgruppen
5.2 Vorteile
5.2.1 … für Händler und Hersteller
5.2.2 … für Kunden
5.3 Nachteile
5.3.1 … für Händler
5.3.2 … für Kunden
5.4 Einschätzung aus rechtlicher Sicht
5.4.1 Kritik des Verbraucherschutzes
5.4.2 Innovation versus Rechtsprechung
6. Fazit & Ausblick
6.1 Vom Order Button zur Bestellung per Spracheingabe
6.2 Komplett autonom: selbstbestellende Geräte
6.3 Ein Blick in die Zukunft

Online-Bewertungen sind wichtiger als Gespräche mit Freunden

Onlinekommunikation – Dienstleistungen, Produkte, Institutionen, Unternehmen, Infrastruktur und Personen werden heute im Internet bewertet. Viele Kunden ziehen diese Meinungen zu Rate, bevor sie etwas kaufen. Wir zeigen, wie Unternehmen die – oft ungeliebten – Bewertungen für sich nutzen können.

Mindmap: Online-Bewertungen

„Sofern die Daten eines Unternehmens im Netz veröffentlicht sind, hat jeder das Recht, das Unternehmen zu bewerten“, sagt Andreas Pfeifer, Inhaber der Wiesbadener Marketingberatung „Die Heldenhelfer“. Pfeifer ist Experte für Online-Bewertungen. „Ich sage ganz klar: Viele haben Angst vor negativen Bewertungen. Aber fast 80 Prozent aller Bewertungen sind positiv. In der Touristik sogar 85.“

Was viele Unternehmen verunsichert ist, dass nicht der Betrieb entscheidet, ob er rezensiert wird, sondern der Kunde. Das tut er, ohne zu fragen. „Es passiert, ob man nun wegschaut oder nicht“, sagt Pfeifer. Dann also lieber zum Vorteil des eigenen Unternehmens reagieren, statt diese Form der Kundenkommunikation zu ignorieren. Online-Bewertungen werden von tausenden Nutzern gelesen und sind auch nach Jahren noch im Netz gespeichert. Überdies landen Kundenrezensionen häufig in den Ergebnissen bei Google und beeinflussen das Ranking.

Kundenbewertungen sind für Verbraucher eins der wichtigsten Entscheidungskriterien. Fürs Online-Shopping hat dies der Digitalverband Bitkom untersucht. Damit landen die Online-Rezensionen noch vor Preisvergleichsseiten und Gesprächen mit Freunden, Familie und Kollegen.

Bewertungsmanagement

Für Unternehmen ist es ratsam, aktiv mit Bewertungen zu arbeiten und ein Bewertungsmanagement zu etablieren. Wichtig dafür ist das Monitoring, um einen Überblick zu gewinnen. „Reagieren Sie auf jegliches Feedback“, rät Andreas Pfeifer, „für positives bedanken wie für negatives entschuldigen. Außer mit Trollen, mit denen darf man sich keinesfalls auf Diskussionen einlassen“. Das Ziel muss lauten, möglichst viele positive Bewertungen zu erhalten, zum Beispiel indem man Kunden aktiv um Feedback bittet.

Bewertungen können aber auch Manipulation, Fälschung und Verleumdungen enthalten und so  zu Imageverlust und Umsatzrückgang führen. Allerdings muss nicht jede Bewertung hingenommen werden. Die reine Meinungsäußerung unterliegt dem Schutz der Meinungsfreiheit. Unwahre Tatsachenbehauptungen, die die Grenze zur „Schmähkritik“ überschreiten, sind jedoch verboten und können zur Anzeige gebracht werden.

Andreas Pfeifers Tipps:
So reagieren Sie richtig auf Kritik im Netz:

  • Ignorieren Sie Kunden-Feedback nicht, sondern antworten so, als würde Ihnen der Kunde gegenüberstehen.
  • Sagen Sie Danke für positive Statements und für die Zeit, die der Kunde sich genommen hat.
  • Fehler können passieren – dann ist eine ehrliche Entschuldigung angebracht.
  • Antworten Sie verständlich und in einer guten, fehlerfreien Sprache.
  • Vermeiden Sie „copy & paste“ sowie nichtssagende Standardaussagen.
  • Nehmen Sie Kritik nicht persönlich.
  • Behalten Sie alle relevanten Portale im Blick und warten Sie mit Ihrer Antwort nicht länger als zwei Tage.
  • Hat der Kunde einen Verbesserungsvorschlag gemacht, den Sie umzusetzen beabsichtigen, dann tun Sie das und berichten Sie anschließend im Netz darüber.
Rezepte für den digitalen Wandel

Man nehme… – Rezeptbuch für den digitalen Wandel

Digitalisierung, Industrie 4.0 – die Schlagwörter sind in aller Munde. Aber wie steige ich mit meinem Unternehmen in das Thema ein?

Rezepte für den digitalen Wandel

Es gibt einige Grundregeln und methodische Ansätze, die dabei helfen, das große Thema in kleine Einheiten zu unterteilen und strukturiert anzugehen. Unser Rezeptbuch möchte dazu beitragen, mehr Vertrauen in die Machbarkeit der digitalen Transformation zu entwickeln.

Leitfaden „Rezeptbuch für den digitalen Wandel“ herunterladen

Mittelstand Digital

Leitlinien für Führungskräfte im digitalen Wandel

Eine ganz besondere Rolle kommt den Führungskräften in der digitalen Transformation zu, deren Aufgabe es ist, den Wandel zu managen, Strukturen anzupassen und bei Ihren Mitarbeitern Akzeptanz für die Digitalisierung zu schaffen.  Der Leitfaden „E-Leadership“ ermöglicht Führungskräften, das eigene Führungsverhalten zu reflektieren und enthält – abgeleitet aus einem Praxisszenario – konkrete Tipps für Führungsentscheidungen in Zeiten des digitalen Wandels.

Definition E-Leadership

Sowohl in der Unternehmenspraxis als auch in der wissenschaftlichen Literatur finden sich bisher diverse Begriffe für eine Beschreibung von Führung und Digitalisierung (z.B. digitale Führung, virtuelle Führung, Leadership 2.0, E-Leadership). Den Aktivitäten der Mittelstand 4.0-Agentur Kommunikation und damit dieser Publikation liegen folgende Definitionen für E-Leadership zugrunde:

  • E-Leader in einem institutionellen Sinne bezeichnet diejenigen Akteure in Organisationen, die als Vorgesetzte mit Anweisungsbefugnissen ausgestattet sind und zugleich die Digitalisierung in Unternehmen verantworten. Hierzu gehören z.B. Geschäftsführer, CDO (Chief Digital Officer) oder auch IT-Abteilungsleiter.
  • E-Leadership in einem funktionalen Sinne fokussiert auf ein noch breiteres Verständnis: Hier geht es – unabhängig von formalen Positionen – um eine durch digitale Medien vermittelte Aufgabenerfüllung in digitalen Organisationskontexten. In diesem Sinne ist E-Leadership grundsätzlich durch all diejenigen Akteure möglich, die digitale Medien für die Interaktion mit anderen Akteuren nutzen und darüber verschiedene digitale Einflusspotenziale einsetzen, die weit über Anweisungsbefugnisse hinausgehen (z.B. IT-Expertenwissen, Zugänge zu digitalen Informationen, etc.).

Leitlinien E-Leadership

Digitalität ist Realität: Werden Sie zum E-Leader!

  1. Digitale Transformation impliziert radikalen Wandel: Agieren Sie proaktiv
  2. Digitalisierung verändert traditionelle Hierarchien: Denken Sie Führung neu
  3. E-Leader haben eine Vorbildfunktion: Optimieren Sie Ihr virtuelles Führungsverhalten
  4. Neue Medien verändern die Kommunikation der Mitarbeiterinnen und Mitarbeiter: Bleiben Sie gelassen
  5. Digitalisierung betrifft jeden: Fördern Sie IT-Kompetenzen in allen Unternehmensbereichen
  6. Daten sind wertvoll: Nutzen Sie sie für Ihr eigenes Unternehmen.
  7. Maschinen werden zu Kollegen: Führen Sie an der Schnittstelle von menschlicher und künstlicher Intelligenz

Leitfaden „eLeadership“ herunterladen

Digitalisierung

Digitalisierung in 5 Schritten

Digitalisierung: Aber wie starten? Der Leitfaden hilft kleinen und mittleren Unternehmen, die vor der Frage stehen: „Wo und wie soll ich anfangen?“, mit fünf Schritten digital durchzustarten.

Die Mittelstand 4.0-Agentur Kommunikation hat jetzt den Leitfaden „Digitalisierung in 5 Schritten“ veröffentlichtEr folgt aus der praktischen Zusammenarbeit mit dem Unternehmen Drei Köche GmbH (https://drei-koeche.de). Darin zusammengefasst werden die Ergebnisse von Dialogveranstaltungen und Workshops, die auf Basis des wissenschaftlich entwickelten Transitionsmodells für die Praxis im Förderprojekt „Mittelstand 4.0-Agentur Kommunikation“ durchgeführt worden sind.

Ziel des Leitfadens ist es, vor allem kleinere Unternehmen in die Lage zu versetzen, den Digitalisierungsprozess selber zu beginnen und zu planen, um so zusammen mit denjenigen, die beispielsweise als Steuer- oder IT-Beraterinnen/-Berater das Unternehmen extern begleiten und oft seit Jahren gut kennen, die notwendigen Veränderungen auf das Unternehmen auszurichten.

Leitfaden „Digitalisierung in 5 Schritten“ herunterladen

Stationärer und Online-Handel

Briefing „Online- und stationärer Handel“ erschienen

Auf zwei Seiten haben wir in kurzen Informationshäppchen die derzeit wichtigsten Fragen für stationäre Händler zusammengetragen, die sich digital weiterentwickeln mochten.

  • Bedeutet die Digitalisierung des Handels, dass jeder Händler einen eigenen Online-Shop eröffnen muss?
  • Wo können Händler Nischen finden, auch wenn ihre Produkte (Schuhe, Bücher) schon von den großen Online-Shops besetzt sind?
  • Wie entwickelt sich der Handel gerade (in Zahlen)?
  • Innenstadt-Belebung durch freies W-Lan?

Diese Themen greift das Briefing „Online- und stationärer Handel“ kurz und bündig auf. Auf zwei Seiten werden viele Themen angerissen, damit die Leser „schon mal was davon gehört haben“, ohne zu tief in das Thema einsteigen zu müssen.

Briefing „Stationärer und Online-Handel“ herunterladen

Das Briefing ist ein Ergebnis des 1. Update_Digitalsierung, einer Veranstaltung, die die Mittelstand 4.0-Agenturen Kommunikation und Handel sowie das -Kompetenzzentrum Darmstadt zusammen auf die Beine gestellt haben.

Online-Meeting

Webinare sind günstiger als erwartet

Webinare sind günstiger als erwartet und eine Alternative zu Seminaren. In einer übersichtlichen Tabelle zeigen wir, welche Webinar-Anbieter es gibt und welche Funktionen diese bieten. Zudem können Sie den Leitfaden „Online-Meetings“ kostenfrei herunterladen.

Was sind Webinare?

Webinare stellen die Zukunft der Seminare im 21. Jahrhundert dar. Sie verbinden die Vorteile der Seminare mit der Möglichkeit der ortsunabhängigen Kommunikation und Kooperation, die das Internet heutzutage bereitstellt. Webinare sind wie Präsenzseminare interaktiv ausgelegt und ermöglichen eine beidseitige Kommunikation zwischen dem Vortragenden und dem Teilnehmenden. Der Vorteil ist, dass ein Webinar nicht ortsabhängig ist. Es ermöglicht eine Teilnahme von jedem Ort über das Internet. Neben der Möglichkeit der gegenseitigen und direkten Sprachkommunikation bestehen die Möglichkeiten Dateien herunterzuladen, Fragen via Chat zu stellen und an Umfragen teilzunehmen.

Realisierung von Webinaren ist einfach und kostengünstig

Wollen Sie ein Webinar durchführen, müssen Sie selbst keine Investition tätigen um einen Rechner bereitzustellen und eine Software zu lizensieren. Zur Durchführung von Webinaren bieten Anbieter verschiedene Modelle an. In aller Regel handelt es sich um Mietmodelle. Umfassende professionelle Lösungen sind bereits für einen Bruchteil der Miete eines Seminarraums nämlich rund 100-150€ pro Monat verfügbar. Damit können Sie dann sogar beliebig viele Seminare mit einer großen Teilnehmeranzahl durchführen.

Ein Mietmodell bedeutet, dass der Anbieter Ihnen auf dessen Infrastruktur einen exklusiv nutzbaren Webinar-Raum und Zugänge zu dem Webinar-Raum zur Verfügung stellt. Sie müssen sich bei einem Anbieter registrieren und ein angebotenes Modell auswählen. In dem meisten Fällen können Sie unmittelbar danach ein Webinar starten. Eine Weboberfläche des Anbieters leitet Sie dabei an.
Auch sonst sind Webinare im Vergleich zum klassischen Seminare schneller realisierbar. Da keine Reisen geplant werden müssen und keine Raumbuchungen notwendig sind, kann die Vorlaufphase zeitlich beschränkt werden.

Worin unterscheiden sich die Anbieter und welche Mietmodelle gibt es?

Es gibt verschiedene Anbieter von Lösungen für Webinare. In einer Übersicht haben wir Ihnen verschiedene Beispiele zusammengestellt. Die grundsätzlichen Funktionen sind bei allen Anbietern gleich. Unterschiede gibt es beispielsweise hinsichtlich ergänzender Funktionen oder der Gestaltung des Webinar-Raumes. Auch bei Präsenzseminaren müssen Sie entscheiden, ob Sie ein Flipchart oder eine Metaplanwand benötigen. Gleiches gilt bei Webinaren. Ein weiterer wesentlicher Unterschied besteht darin, ob sich das Webinar aufzeichnen lässt und die Aufzeichnung wiederum per Internet zu späteren Zeitpunkten zugreifbar ist.

Wesentliches Kriterium für die Bestimmung des Mietpreises ist die maximale Anzahl der Teilnehmer, die zeitgleich an einem Webinar teilnehmen können. Aber auch hinsichtlich der verschiedenen Funktionen gibt es eine Preisdifferenzierung. Sie können mit einem einfachen kostengünstigen Modell anfangen und Erfahrungen sammeln, denn Sie wollen sicherlich nicht direkt 200 Mitarbeiter zu einer als Webinar durchgeführten Schulung einladen.

Weitere Informationen

Eine Auswahl verschiedener Webinar-Anbieter und Informationen zu deren Angebot:
Leitfaden Webinare: „Webinar-Anbieter im Überblick“ herunterladen

Eine detailliertere Beschreibung zu Webinaren finden Sie hier:
Leitfaden „Webinare“ herunterladen

Schadsoftware

Schadsoftware kommt nicht durch die Luft auf Ihren Rechner

Die Digitalisierung löst in Unternehmen auch Angst aus: Denn über fünf Einfalltore können Cyberkriminelle in ihre Systeme eindringen. Dabei gibt es einfache Regeln, mit denen man sich konsequent schützen kann. Die TU Darmstadt hat dazu ein kostenfreies Schulungsprogramm mit vier Modulen entwickelt.

Ein kleines hessisches Unternehmen kauft regelmäßig Produkte bei einem Handelspartner in Asien. Der Mitarbeiter, der die Geschäfte finanziell abwickelt, erhält eine Mail von dem gewohnten Absender in Asien. Darin steht, die Bankverbindung habe sich geändert. Der nächste Rechnungsbetrag – 150.000 Euro –  sei bitte auf das neue Konto zu überweisen. Der Mitarbeiter in Hessen tut dies.

Fehler! Er ist Opfer eines so genannten Social Engineering-Angriffs geworden. „Hätte er den erweiterten Mail-Kopf geöffnet, hätte er gesehen, dass die wahre Absenderadresse nicht die gewohnte war, sondern eine andere. Außerdem hätte er auch bei dem Handelspartner in Asien anrufen können“, sagt Michael Rühl vom Polizeipräsidium Südhessen. Ihm ist vor zwei Jahren in seiner Zeit als Ermittler genau dieser Fall begegnet. Inzwischen leitet er die polizeiliche Beratungsstelle „Cybercrime“ und klärt Unternehmen und Privatleute über die Tricks der Betrüger im Netz auf. Das schwächste Glied sei immer noch der Mensch, der einzelne Mitarbeiter, sagt Rühl. „Schadsoftware kommt nicht durch die Luft auf Ihren Rechner. Wichtig ist, dass jeder einzelne Mitarbeiter geschult ist und Bescheid weiß. Und nicht nur der Chef.“ Grundsätzlich gebe es immer zwei Vorsorgevarianten, die man am besten miteinander kombiniert, sagt Oliver Berg, der bei der Sparkasse Darmstadt die Abteilung „Mediale Vertriebswege“ leitet: erstens die technische und zweitens die Aufklärung der Mitarbeiter. Drei Mal im Jahr werden in der Bank alle Mitarbeiter darin geschult: „Wie erkenne ich eine Gefahrensituation?“ In jedem Fall sollten die fünf größten Einfallstore für Cyberkriminelle bekannt sein:

Tor 1: Infizierte USB-Sticks oder CDs

Schadsoftware kann über infizierte USB-Sticks oder CDs auf einen Firmenrechner und somit ins System des ganzen Unternehmens gelangen. Damit können zum Beispiel Daten verschlüsselt oder von außen ausgelesen werden. Wie kann man verhindern, dass Mitarbeiter fremde USB-Sticks oder CDs verwenden? „Bei uns sind alle USB-Zugänge gesperrt oder gar nicht mehr vorhanden, genauso wie CD-Laufwerke. Will ein Mitarbeiter einen fremden USB-Stick verwenden, muss dieser vorher durch die Prüfung unserer Systemadministratoren“, sagt Berg. Hier setzt die Sparkasse konsequent auf die technische Verhinderung leichtsinnigen Verhaltens.

Tor 2: Betrügerische E-Mails (Phishing)

„Erst denken, dann klicken“, warnt Aufklärer Rühl von der Polizei. Immer, wenn der Absender einer Mail eine Aktion vom Lesenden fordert, müsse man automatisch denken „Stop! Macht dieser Klick Sinn?“ Oft wird Schadsoftware per Mailanhang als Bewerbung oder Rechnung getarnt. Auch Links können zu Virusseiten führen. Hier muss man genau schauen: Entspricht der Link dem gängigen Muster? www.unternehmen.de oder.com?

Beispiel hierzu: https://www.secuso.informatik.tu-darmstadt.de/fileadmin/user_upload/Group_SECUSO/Research/Results/NoPhish/NoPhish_Flyer_de.pdf

Die Sparkasse nutzt auch hier zusätzlich technischen Schutz: Alle Mails mit Anhang werden besonders geprüft. Auf Tippfehler oder andere Auffälligkeiten dürfe man sich bei betrügerischen E-Mails nicht mehr verlassen, sagt Oliver Berg. „Die kriminellen Mails werden immer besser.“ Dazu gehört auch, dass die Absender auf den ersten Blick vertraut aussehen können.

Tor 3: DDos-Attacken und Ransomware (Erpressungstrojaner)

Diese Angriffe haben das Ziel, den Nutzern den Zugriff auf ein Computersystem unmöglich zu machen oder Firmenwebseiten unerreichbar zu machen. „Davon betroffen sind viele kleine und mittlere Unternehmen, auch viele Onlineshops“, sagt Michael Rühl von der Polizei. Nach der Attacke kommt eine Zahlungsaufforderung. Wird diese beglichen, werden die Seiten meist wieder freigegeben. „Viele Unternehmen bezahlen diese oft erschwinglichen Beträge, um den Geschäftsausfall und den Reputationsverlust einzudämmen.“ Gegen solche Angriffe kann nur eine entsprechende softwaretechnische Aufrüstung helfen.

Tor 4: Fingierte Anrufe

Ein Anrufer gibt sich als Mitarbeiter von Microsoft oder einer anderen bekannten seriösen Firma aus. Unter einem Vorwand soll dem Anrufer ein Fernzugang auf den Computer gestattet werden. Zumeist gaukeln die Anrufer eine Bereinigung Ihres PCs vor und fordern im Anschluss eine Bezahlung der vermeintlich erbrachten Dienstleistung. Hierzu wird nach Kreditkartendaten oder TAN-Nummern für’s Onlinebanking gefragt.

Tor 5: Kollegen

Oliver Berg von der Sparkasse gibt einen weiteren Aspekt zu bedenken: „Achte auf die Kollegen!“ Möglich ist, dass Mitarbeiter nicht nur unbedarft in eine Falle klicken, sondern dies absichtlich tun. Sei es aus Profitgier oder weil sie von außen unter Druck gesetzt werden. „Zum Beispiel, wenn ein angeblicher Kollege am Telefon ein internes Passwort von mir haben will“: Auch hier ist Wachsamkeit geboten.

Unkomplizierte Schulung

Die Forschungsgruppe SECUSO der Technischen Universität Darmstadt bietet eine frei verfügbare und kostenfreie Schulung zur Erkennung betrügerischer Nachrichten an. Diese besteht aus vier Modulen und einem Quiz. Die Schulungseinheiten wurden innerhalb des vom Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der Wirtschaft geförderten Projekts KMU Aware entwickelt.

Aufklärungsvideo zum Thema:

IT-Security

4 Schulungsmodule gegen Social Engineering

Mit der Digitalisierung stehen auch kleine und mittlere Unternehmen (KMU) vor der Herausforderung, sich gegen Angriffe aus dem Internet schützen zu müssen. Diese Angriffe können Konsequenzen wie Imageverlust oder Umsatzeinbußen haben. Die meisten Einbrüche in IT-Infrastrukturen von Unternehmen lassen sich auf Informationen zurückführen, die über so genannte Social Engineering-Angriffe erbeutet wurden.

Unter „Social Engineering“ werden Angriffe auf die IT-Infrastruktur verstanden, welche keine technischen Schwachstellen ausnutzen, sondern den Menschen als Nutzer der Technik . Eine weit verbreitete Methode des Social Engineerings ist es, betrügerische Nachrichten mit gefährlichen Inhalten zu versenden, um an Daten von Internetnutzern zu gelangen.

Betrügerische Nachrichten sind:

  1. Nachrichten mit der Aufforderung zur Herausgabe privater Daten
  2. Nachrichten mit gefährlichen Dateianhängen
  3. „klassische Phishing“- Nachrichten, also Nachrichten mit gefährlichen Links.

Entsprechend wichtig sind:

  • die Sensibilisierung der Mitarbeiter für das Thema und klare Handlungsanweisungen im Verdachtsfall.
  • Die Mitarbeiter müssen verstehen, welche Tricks Angreifer anwenden und wie Angreifer vorgehen. Andererseits brauchen sie praktische Regeln und technische Unterstützung, woran sie betrügerische Nachrichten erkennen können.

Schulung und Materialien für kleine und mittlere Unternehmen

Große Unternehmen gehen das Problem seit einigen Jahren mit großen Kampagnen an. Dieser Ansatz ist für KMU in der Regel nicht praktikabel. Deshalb haben wir – die Forschungsgruppe SECUSO der Technische Universität Darmstadt und die usd AG – im Projekt „KMU AWARE – Awareness im Mittelstand“ praxistaugliche Maßnahmen zum Bewusstmachen des Problems und der Weiterbildung von Mitarbeitern entwickelt. Unter anderem gibt es eine Schulung, die in KMU eingesetzt werden kann, um Mitarbeiter hinsichtlich betrügerischer Nachrichten zu sensibilisieren und aufzuzeigen, wie sie sich gegen solche schützen können. Die Schulung steht in mehreren Formaten zur Verfügung, auf die wir später eingehen.

Schulung zur Erkennung betrügerischer Nachrichten

Modul 1: Einführung in das Thema Nachrichten mit gefährlichem Inhalt
Hier erfährt der Nutzer, wie Betrüger vorgehen und welcher Schaden entstehen kann, wenn Empfänger solcher Nachrichten auf den Betrug hereinfallen.

Modul 2: Erkennung von unplausiblen Nachrichten mit gefährlichem Inhalt
Dieses Modul zielt darauf ab, betrügerische Nachrichten bereits anhand der unzureichenden Plausibilität bezüglich Absender und Inhalt der Nachricht zu erkennen.
Ziel: Nach Modul 2 betrügerische Nachrichten erkannt werden, die zum Beispiel stark fehlerhafte Sprache einsetzen und deren Design von dem gängigen Design des Absenders abweicht.

Modul 3: Erkennung von plausiblen Nachrichten mit gefährlichen Links
In diesem Modul geht es darum, Links in Nachrichten zu prüfen, das heißt, die tatsächliche Webadresse hinter dem Link zu finden und den sogenannten Wer-Bereich in dieser Webadresse zu identifizieren. Dort kann der Mitarbeiter auch prüfen, ob der Wer-Bereich einen Bezug zu dem (vermeintlichen) Absender und/oder Inhalt der Nachricht hat.
Ziel: Nach Modul 3 sollen betrügerische Nachrichten erkannt werden, deren Links zu anderen Zielen als dem erwarteten führen.

Modul 4: Erkennung von plausiblen Nachrichten mit gefährlichen Anhängen
In Modul 4 geht es darum, Anhänge von Nachrichten daraufhin zu prüfen, ob diese ein gefährliches Dateiformat haben oder nicht zu dem Absender der Nachricht passen.
Die Struktur der inhaltlichen Module (2-4) ist in Form von drei Komponenten definiert:

Sensibilisierung: Alle drei Module enthalten einen sogenannten Teaser, welcher für die Wissensvermittlung sensibilisieren soll. Dieser veranschaulicht die Problematik anhand von zwei Beispiel-Nachrichten, die sich nur minimal unterscheiden: einer nicht betrügerischen (plausiblen) Nachricht und einer betrügerischen Nachricht, die sich jedoch nur schwer als solche erkennen lässt.

Wissensvermittlung: Als zentrales Element der Schulungseinheiten ist die Wissensvermittlung strukturiert. Zunächst wird eine Regel zur Erkennung der jeweiligen Kategorie betrügerischer Nachrichten (unplausible mit gefährlichem Inhalt, plausible mit gefährlichen Links, plausible mit gefährlichen Anhängen) vorgestellt. Ein Beispiel für eine solche Regel ist: „Prüfen Sie Absender und Inhalt jeder empfangenen Nachricht auf Plausibilität“. Im Anschluss an jede Regel wird diese erklärt. Im Folgenden wird jede genannte Regel anhand von Beispielen zur Anwendung der jeweiligen Regel veranschaulicht. Im nächsten Schritt werden jeweils Strategien aufgezeigt, welche Betrüger einsetzen, um das Erkennen betrügerischer Nachrichten der jeweiligen Kategorie zu erschweren. Ein Beispiel für eine solche Angreiferstrategie ist: „Die Überprüfung der Webadresse wird in einigen Nachrichten mit gefährlichen Inhalten dadurch erschwert, dass ein Link in einer Nachricht als vorgetäuschte Webadresse abgebildet wird. Die Webadresse im Text stimmt hierbei nicht mit der Webadresse überein, die man aufruft, wenn man auf den Link (in den Beispielen Screenshots einer Webadresse im Text) klickt.“ Abschließend werden die Strategien jeweils anhand von Beispielen veranschaulicht, um zu vermitteln, wie diese Strategien erkannt werden können.

Anwendung: Zur Festigung des erworbenen Wissens enthält jedes Modul Übungen mit Nachrichten in unterschiedlichen Kontexten. Dabei wird darauf geachtet, dass die Übungen die volle Bandbreite der Angreiferstrategien abdecken.

Materialien zur Erkennung betrügerischer Nachrichten

Ein Schwerpunkt der Arbeit von KMU AWARE liegt auf den „klassischen Phishing“- Nachrichten mit gefährlichen Links (Modul 3). Grund dafür sind die teilweise komplexen Angreiferstrategien innerhalb dieses Moduls. Zur Durchführung eines solchen Angriffs versenden Betrüger im Namen verschiedener Institutionen oder Personen Nachrichten (z.B. in Form von E-Mails, Facebook-Nachrichten oder SMS), mit denen sie ihre potenziellen Opfer zum (voreiligen) Klicken auf einen gefährlichen Link bewegen wollen. Zu diesem Modul wurden zahlreiche Materialien, Übungen und interaktive Tools entwickelt, die unabhängig voneinander oder auch zusammen eingesetzt werden können und den Nutzer dazu befähigen, solche Angriffe besser zu erkennen und so seine IT-Sicherheit zu verbessern – am heimischen PC bzw. Smartphone wie auch am Arbeitsplatz:

Android App und Online-Training – Lernspiel für das Smartphone bzw. zur Nutzung im Browser

Diese setzen das Schulung inklusive aller Module (Sensibilisierung, Wissensvermittlung und Anwendung) spielerisch um. App und Online-Training bestehen aus unterschiedlichen Leveln, die aufeinander aufbauen und vom Spieler sukzessive durchlaufen werden müssen. Wird ein Level nicht erfolgreich bestanden, muss es wiederholt werden, um das Training erfolgreich beenden zu können. Nach erfolgreicher Teilnahme können Spieler ein entsprechendes Zertifikat anfordern, welches als Motivation dient, das Spiel bis zum Ende zu durchlaufen.

Schulungsunterlagen für das Selbststudium

Die Schulungsunterlagen für das Selbststudium in Form eines Foliensatzes stehen in Kurz- und Langfassung zur Verfügung. Während die Kurzfassung den Lernenden in erster Linie sensibilisieren soll und das Wissen zur Erkennung betrügerischer Nachrichten vermitteln soll, beinhaltet die Langfassung zusätzlich Übungen zum Festigen des erworbenen Wissens.
Flyer, Infokarte und Poster mit einer Übersicht der wichtigsten Regeln zur Erkennung von Nachrichten mit gefährlichen Links : Die Nutzung dieser Materialien bietet sich an, um in kurzer Zeit die zentralen Lerninhalte zu vermitteln, und um eine „Gedankenstütze“ zur Verfügung zu haben. Während Flyer und Infokarte auch als selbständige Lernmaterialien eingesetzt werden können, bieten sie sich insbesondere als Ergänzung zu den umfangreicheren Lernmaterialien (Android App, Online-Training und Schulungsunterlagen) an.

Zu den Materialien werden drei Quiz angeboten, welche vor der Lernmaßnahme (Erhebung des Wissensstandes), direkt im Anschluss an die Maßnahme (Erhebung des Lernerfolgs) sowie einige Wochen oder Monate nach der jeweiligen Maßnahme (Erhebung des langfristigen Lernerfolgs) durchgeführt werden können.

Alle Materialien sowie weiterführende Informationen zum Thema „betrügerische Nachrichten“ stehen kostenlos zur Verfügung unter:

https://www.secuso.informatik.tu-darmstadt.de/en/secuso/research/results/erkennung-betruegerischer-nachrichten/

https://www.secuso.informatik.tu-darmstadt.de/en/secuso/research/results/nophish/

Zusätzlich zu den hier vorgestellten Materialien bietet die Technische Universität Darmstadt themenverwandte Tools an, die ebenfalls mit geringem Aufwand im Unternehmen einsetzbar sind:

TORPEDO – Erweiterung (Add-on) für das E-Mail-Programm Thunderbird , das Internetnutzern die Erkennung von Phishing-E-Mails technisch erleichtert, indem beispielsweise der Wer-Bereich von Webadressen hervorgehoben wird. www.secuso.org/torpedo

PassSec+ – Ein Add-On, das Passwörter, Zahlungsdaten und Privatsphäre schützt , indem es sicherstellt, dass Internetnutzer über verschlüsselte Verbindungen kommunizieren. www.secuso.org/passsec

Kontakt:
Technische Universität Darmstadt
Department of Computer Science
SECUSO – Security, Usability and Society
Telefon: +49(0) 6151 16 20813

Über das Projekt KMU AWARE – Awareness im Mittelstand

Ziel des Projekts KMU AWARE ist es, KMU in Deutschland verstärkt für die Gefahren beim Einsatz von IT zu sensibilisieren und ihnen aufzuzeigen, wie sie sich effektiv schützen können. Hierbei stehen drei Themen im Fokus: Das Erkennen von Social Engineering Angriffen, die Verwendung sicherer Passwörter sowie die Verwendung sicherer Privatsphäreneinstellungen.
Diese Themen haben den Vorteil, dass diese nicht nur im Firmenkontext, sondern auch im privaten Kontext relevant sind. Dadurch steigt die Motivation der Mitarbeiter in Unternehmen, an Lernmaßnahmen teilzunehmen.

Verschiedene Institutionen sowie Unternehmen haben Bestandteile der Schulung bereits erfolgreich angewendet und an Evaluationen teilgenommen, z.B. Rolls Royce, die HypoVereinsbank, das Polizeipräsidium Südhessen, die Sparkasse Darmstadt, die Volkshochschule Darmstadt, die Heinrich Emanuel-Merck-Schule und das Hochschulrechenzentrum Darmstadt. Darüber hinaus hat unter anderem das BSI auf seinen Webseiten, Social Media und im Newsletter „BSI für Bürger“ mehrfach auf Schulungsinhalte hingewiesen und diese empfohlen.

KMU AWARE wird im Rahmen der Initiative „IT-Sicherheit in der Wirtschaft“ vom Bundesministerium für Wirtschaft und Energie gefördert. Die Initiative „IT-Sicherheit in der Wirtschaft“ will vor allem kleinen und mittelständischen Unternehmen beim sicheren Einsatz von IKT-Systemen unterstützen. Gemeinsam mit IT-Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung soll eine Grundlage dafür geschaffen werden, um Bewusstseinsbildung in der digitalen Wirtschaft beim Thema IT-Sicherheit im Mittelstand zu stärken. Unternehmen sollen durch konkrete Unterstützungsmaßnahmen dazu befähigt werden, ihre IT-Sicherheit zu verbessern.

Weitere Informationen zum Projekt KMU AWARE: www.awareness-im-mittelstand.de

Weitere Informationen zur Initiative IT-Sicherheit in der Wirtschaft: www.it-sicherheit-in-der-wirtschaft.de

Foto: pixabay.com/JanBaby

Matrix-Kundenkommunikation

2. Auflage der beliebten Social-Media-Matrix erschienen

Ist ihr Produkt besonders fotogen? Oder die Dienstleistung erklärungsbedürftig? Instagram, YouTube oder Snapchat? Verantwortliche in der Unternehmenskommunikation stehen bei der Planung ihrer Kommunikationsziele und Zielgruppen vor der Frage: Welcher Aufwand lohnt sich? Welcher Kanal ist der richtige?

Die Mittelstand 4.0-Agentur Kommunikation hat nun die 2. Auflage der Matrix herausgebracht. Diese zeigt auf einen Blick, welche Social Media-Plattformen es derzeit gibt und welche Ziele man mit welchem Kanal erreichen kann. In die Weiterentwicklung sind Ergebnisse aus einem Workshop mit Studenten und Hinweise von Unternehmen eingeflossen.

„Social-Media-Matrix: Welcher Kanal für welches Ziel?“ herunterladen

In der Matrix ist zu finden, wie aufwändig das Bespielen des jeweiligen Kanals ist und für welche Produkte und Dienstleistungen sich welcher eignet. Ebenso das Alter der Zielgruppe und Besonderheiten einzelner Netzwerke sind aufgeführt.

Die Matrix ist für Verantwortliche in der Unternehmenskommunikation gedacht. Zudem können sie Multiplikatoren aus Wirtschaftsförderungen, Verbänden, Industrie- und Handelskammern sowie Handwerkskammern als Handreichung in Unternehmensberatungen verwenden.

Die Matrix ist zur Veranstaltung „Kundenkommunikation 4.0“ entstanden, die wir zusammen mit Facebook veranstaltet haben. – Programm herunterladen