IT-Security

4 Schulungsmodule gegen Social Engineering

Mit der Digitalisierung stehen auch kleine und mittlere Unternehmen (KMU) vor der Herausforderung, sich gegen Angriffe aus dem Internet schützen zu müssen. Diese Angriffe können Konsequenzen wie Imageverlust oder Umsatzeinbußen haben. Die meisten Einbrüche in IT-Infrastrukturen von Unternehmen lassen sich auf Informationen zurückführen, die über so genannte Social Engineering-Angriffe erbeutet wurden.

Unter „Social Engineering“ werden Angriffe auf die IT-Infrastruktur verstanden, welche keine technischen Schwachstellen ausnutzen, sondern den Menschen als Nutzer der Technik . Eine weit verbreitete Methode des Social Engineerings ist es, betrügerische Nachrichten mit gefährlichen Inhalten zu versenden, um an Daten von Internetnutzern zu gelangen.

Betrügerische Nachrichten sind:

  1. Nachrichten mit der Aufforderung zur Herausgabe privater Daten
  2. Nachrichten mit gefährlichen Dateianhängen
  3. „klassische Phishing“- Nachrichten, also Nachrichten mit gefährlichen Links.

Entsprechend wichtig sind:

  • die Sensibilisierung der Mitarbeiter für das Thema und klare Handlungsanweisungen im Verdachtsfall.
  • Die Mitarbeiter müssen verstehen, welche Tricks Angreifer anwenden und wie Angreifer vorgehen. Andererseits brauchen sie praktische Regeln und technische Unterstützung, woran sie betrügerische Nachrichten erkennen können.

Schulung und Materialien für kleine und mittlere Unternehmen

Große Unternehmen gehen das Problem seit einigen Jahren mit großen Kampagnen an. Dieser Ansatz ist für KMU in der Regel nicht praktikabel. Deshalb haben wir – die Forschungsgruppe SECUSO der Technische Universität Darmstadt und die usd AG – im Projekt „KMU AWARE – Awareness im Mittelstand“ praxistaugliche Maßnahmen zum Bewusstmachen des Problems und der Weiterbildung von Mitarbeitern entwickelt. Unter anderem gibt es eine Schulung, die in KMU eingesetzt werden kann, um Mitarbeiter hinsichtlich betrügerischer Nachrichten zu sensibilisieren und aufzuzeigen, wie sie sich gegen solche schützen können. Die Schulung steht in mehreren Formaten zur Verfügung, auf die wir später eingehen.

Schulung zur Erkennung betrügerischer Nachrichten

Modul 1: Einführung in das Thema Nachrichten mit gefährlichem Inhalt
Hier erfährt der Nutzer, wie Betrüger vorgehen und welcher Schaden entstehen kann, wenn Empfänger solcher Nachrichten auf den Betrug hereinfallen.

Modul 2: Erkennung von unplausiblen Nachrichten mit gefährlichem Inhalt
Dieses Modul zielt darauf ab, betrügerische Nachrichten bereits anhand der unzureichenden Plausibilität bezüglich Absender und Inhalt der Nachricht zu erkennen.
Ziel: Nach Modul 2 betrügerische Nachrichten erkannt werden, die zum Beispiel stark fehlerhafte Sprache einsetzen und deren Design von dem gängigen Design des Absenders abweicht.

Modul 3: Erkennung von plausiblen Nachrichten mit gefährlichen Links
In diesem Modul geht es darum, Links in Nachrichten zu prüfen, das heißt, die tatsächliche Webadresse hinter dem Link zu finden und den sogenannten Wer-Bereich in dieser Webadresse zu identifizieren. Dort kann der Mitarbeiter auch prüfen, ob der Wer-Bereich einen Bezug zu dem (vermeintlichen) Absender und/oder Inhalt der Nachricht hat.
Ziel: Nach Modul 3 sollen betrügerische Nachrichten erkannt werden, deren Links zu anderen Zielen als dem erwarteten führen.

Modul 4: Erkennung von plausiblen Nachrichten mit gefährlichen Anhängen
In Modul 4 geht es darum, Anhänge von Nachrichten daraufhin zu prüfen, ob diese ein gefährliches Dateiformat haben oder nicht zu dem Absender der Nachricht passen.
Die Struktur der inhaltlichen Module (2-4) ist in Form von drei Komponenten definiert:

Sensibilisierung: Alle drei Module enthalten einen sogenannten Teaser, welcher für die Wissensvermittlung sensibilisieren soll. Dieser veranschaulicht die Problematik anhand von zwei Beispiel-Nachrichten, die sich nur minimal unterscheiden: einer nicht betrügerischen (plausiblen) Nachricht und einer betrügerischen Nachricht, die sich jedoch nur schwer als solche erkennen lässt.

Wissensvermittlung: Als zentrales Element der Schulungseinheiten ist die Wissensvermittlung strukturiert. Zunächst wird eine Regel zur Erkennung der jeweiligen Kategorie betrügerischer Nachrichten (unplausible mit gefährlichem Inhalt, plausible mit gefährlichen Links, plausible mit gefährlichen Anhängen) vorgestellt. Ein Beispiel für eine solche Regel ist: „Prüfen Sie Absender und Inhalt jeder empfangenen Nachricht auf Plausibilität“. Im Anschluss an jede Regel wird diese erklärt. Im Folgenden wird jede genannte Regel anhand von Beispielen zur Anwendung der jeweiligen Regel veranschaulicht. Im nächsten Schritt werden jeweils Strategien aufgezeigt, welche Betrüger einsetzen, um das Erkennen betrügerischer Nachrichten der jeweiligen Kategorie zu erschweren. Ein Beispiel für eine solche Angreiferstrategie ist: „Die Überprüfung der Webadresse wird in einigen Nachrichten mit gefährlichen Inhalten dadurch erschwert, dass ein Link in einer Nachricht als vorgetäuschte Webadresse abgebildet wird. Die Webadresse im Text stimmt hierbei nicht mit der Webadresse überein, die man aufruft, wenn man auf den Link (in den Beispielen Screenshots einer Webadresse im Text) klickt.“ Abschließend werden die Strategien jeweils anhand von Beispielen veranschaulicht, um zu vermitteln, wie diese Strategien erkannt werden können.

Anwendung: Zur Festigung des erworbenen Wissens enthält jedes Modul Übungen mit Nachrichten in unterschiedlichen Kontexten. Dabei wird darauf geachtet, dass die Übungen die volle Bandbreite der Angreiferstrategien abdecken.

Materialien zur Erkennung betrügerischer Nachrichten

Ein Schwerpunkt der Arbeit von KMU AWARE liegt auf den „klassischen Phishing“- Nachrichten mit gefährlichen Links (Modul 3). Grund dafür sind die teilweise komplexen Angreiferstrategien innerhalb dieses Moduls. Zur Durchführung eines solchen Angriffs versenden Betrüger im Namen verschiedener Institutionen oder Personen Nachrichten (z.B. in Form von E-Mails, Facebook-Nachrichten oder SMS), mit denen sie ihre potenziellen Opfer zum (voreiligen) Klicken auf einen gefährlichen Link bewegen wollen. Zu diesem Modul wurden zahlreiche Materialien, Übungen und interaktive Tools entwickelt, die unabhängig voneinander oder auch zusammen eingesetzt werden können und den Nutzer dazu befähigen, solche Angriffe besser zu erkennen und so seine IT-Sicherheit zu verbessern – am heimischen PC bzw. Smartphone wie auch am Arbeitsplatz:

Android App und Online-Training – Lernspiel für das Smartphone bzw. zur Nutzung im Browser

Diese setzen das Schulung inklusive aller Module (Sensibilisierung, Wissensvermittlung und Anwendung) spielerisch um. App und Online-Training bestehen aus unterschiedlichen Leveln, die aufeinander aufbauen und vom Spieler sukzessive durchlaufen werden müssen. Wird ein Level nicht erfolgreich bestanden, muss es wiederholt werden, um das Training erfolgreich beenden zu können. Nach erfolgreicher Teilnahme können Spieler ein entsprechendes Zertifikat anfordern, welches als Motivation dient, das Spiel bis zum Ende zu durchlaufen.

Schulungsunterlagen für das Selbststudium

Die Schulungsunterlagen für das Selbststudium in Form eines Foliensatzes stehen in Kurz- und Langfassung zur Verfügung. Während die Kurzfassung den Lernenden in erster Linie sensibilisieren soll und das Wissen zur Erkennung betrügerischer Nachrichten vermitteln soll, beinhaltet die Langfassung zusätzlich Übungen zum Festigen des erworbenen Wissens.
Flyer, Infokarte und Poster mit einer Übersicht der wichtigsten Regeln zur Erkennung von Nachrichten mit gefährlichen Links : Die Nutzung dieser Materialien bietet sich an, um in kurzer Zeit die zentralen Lerninhalte zu vermitteln, und um eine „Gedankenstütze“ zur Verfügung zu haben. Während Flyer und Infokarte auch als selbständige Lernmaterialien eingesetzt werden können, bieten sie sich insbesondere als Ergänzung zu den umfangreicheren Lernmaterialien (Android App, Online-Training und Schulungsunterlagen) an.

Zu den Materialien werden drei Quiz angeboten, welche vor der Lernmaßnahme (Erhebung des Wissensstandes), direkt im Anschluss an die Maßnahme (Erhebung des Lernerfolgs) sowie einige Wochen oder Monate nach der jeweiligen Maßnahme (Erhebung des langfristigen Lernerfolgs) durchgeführt werden können.

Alle Materialien sowie weiterführende Informationen zum Thema „betrügerische Nachrichten“ stehen kostenlos zur Verfügung unter:

https://www.secuso.informatik.tu-darmstadt.de/en/secuso/research/results/erkennung-betruegerischer-nachrichten/

https://www.secuso.informatik.tu-darmstadt.de/en/secuso/research/results/nophish/

Zusätzlich zu den hier vorgestellten Materialien bietet die Technische Universität Darmstadt themenverwandte Tools an, die ebenfalls mit geringem Aufwand im Unternehmen einsetzbar sind:

TORPEDO – Erweiterung (Add-on) für das E-Mail-Programm Thunderbird , das Internetnutzern die Erkennung von Phishing-E-Mails technisch erleichtert, indem beispielsweise der Wer-Bereich von Webadressen hervorgehoben wird. www.secuso.org/torpedo

PassSec+ – Ein Add-On, das Passwörter, Zahlungsdaten und Privatsphäre schützt , indem es sicherstellt, dass Internetnutzer über verschlüsselte Verbindungen kommunizieren. www.secuso.org/passsec

Kontakt:
Technische Universität Darmstadt
Department of Computer Science
SECUSO – Security, Usability and Society
Telefon: +49(0) 6151 16 20813

Über das Projekt KMU AWARE – Awareness im Mittelstand

Ziel des Projekts KMU AWARE ist es, KMU in Deutschland verstärkt für die Gefahren beim Einsatz von IT zu sensibilisieren und ihnen aufzuzeigen, wie sie sich effektiv schützen können. Hierbei stehen drei Themen im Fokus: Das Erkennen von Social Engineering Angriffen, die Verwendung sicherer Passwörter sowie die Verwendung sicherer Privatsphäreneinstellungen.
Diese Themen haben den Vorteil, dass diese nicht nur im Firmenkontext, sondern auch im privaten Kontext relevant sind. Dadurch steigt die Motivation der Mitarbeiter in Unternehmen, an Lernmaßnahmen teilzunehmen.

Verschiedene Institutionen sowie Unternehmen haben Bestandteile der Schulung bereits erfolgreich angewendet und an Evaluationen teilgenommen, z.B. Rolls Royce, die HypoVereinsbank, das Polizeipräsidium Südhessen, die Sparkasse Darmstadt, die Volkshochschule Darmstadt, die Heinrich Emanuel-Merck-Schule und das Hochschulrechenzentrum Darmstadt. Darüber hinaus hat unter anderem das BSI auf seinen Webseiten, Social Media und im Newsletter „BSI für Bürger“ mehrfach auf Schulungsinhalte hingewiesen und diese empfohlen.

KMU AWARE wird im Rahmen der Initiative „IT-Sicherheit in der Wirtschaft“ vom Bundesministerium für Wirtschaft und Energie gefördert. Die Initiative „IT-Sicherheit in der Wirtschaft“ will vor allem kleinen und mittelständischen Unternehmen beim sicheren Einsatz von IKT-Systemen unterstützen. Gemeinsam mit IT-Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung soll eine Grundlage dafür geschaffen werden, um Bewusstseinsbildung in der digitalen Wirtschaft beim Thema IT-Sicherheit im Mittelstand zu stärken. Unternehmen sollen durch konkrete Unterstützungsmaßnahmen dazu befähigt werden, ihre IT-Sicherheit zu verbessern.

Weitere Informationen zum Projekt KMU AWARE: www.awareness-im-mittelstand.de

Weitere Informationen zur Initiative IT-Sicherheit in der Wirtschaft: www.it-sicherheit-in-der-wirtschaft.de

Foto: pixabay.com/JanBaby