Beiträge

Personas: Wie Unternehmen von fiktiven Kunden profitieren

Das Wort Persona kommt aus dem Lateinischen und bedeutet „Maske“. Persona bezeichnet einen fiktiven Nutzer, der stellvertretend für eine Teilmenge der späteren tatsächlichen Kunden oder Zielgruppe stehen soll. Dafür muss ein Unternehmen zunächst die Wünsche, Bedürfnisse und Probleme der Zielgruppe unter die Lupe nehmen.

stevepb/pixabay.de

DOSSIER: Kundenkommunikation 4.0

Was ist ein MUSS, was ein KANN? Die digitale Kommunikation ist selbstverständlich, doch in ihrer Fülle an Möglichkeiten kann sie auch erschlagen. Wichtig ist es, einen kühlen Kopf zu bewahren und strategisch zu handeln.

Online-Bewertungen sind wichtiger als Gespräche mit Freunden

Onlinekommunikation – Dienstleistungen, Produkte, Institutionen, Unternehmen, Infrastruktur und Personen werden heute im Internet bewertet. Viele Kunden ziehen diese Meinungen zu Rate, bevor sie etwas kaufen. Wir zeigen, wie Unternehmen die – oft ungeliebten – Bewertungen für sich nutzen können.

Mindmap: Online-Bewertungen

„Sofern die Daten eines Unternehmens im Netz veröffentlicht sind, hat jeder das Recht, das Unternehmen zu bewerten“, sagt Andreas Pfeifer, Inhaber der Wiesbadener Marketingberatung „Die Heldenhelfer“. Pfeifer ist Experte für Online-Bewertungen. „Ich sage ganz klar: Viele haben Angst vor negativen Bewertungen. Aber fast 80 Prozent aller Bewertungen sind positiv. In der Touristik sogar 85.“

Was viele Unternehmen verunsichert ist, dass nicht der Betrieb entscheidet, ob er rezensiert wird, sondern der Kunde. Das tut er, ohne zu fragen. „Es passiert, ob man nun wegschaut oder nicht“, sagt Pfeifer. Dann also lieber zum Vorteil des eigenen Unternehmens reagieren, statt diese Form der Kundenkommunikation zu ignorieren. Online-Bewertungen werden von tausenden Nutzern gelesen und sind auch nach Jahren noch im Netz gespeichert. Überdies landen Kundenrezensionen häufig in den Ergebnissen bei Google und beeinflussen das Ranking.

Kundenbewertungen sind für Verbraucher eins der wichtigsten Entscheidungskriterien. Fürs Online-Shopping hat dies der Digitalverband Bitkom untersucht. Damit landen die Online-Rezensionen noch vor Preisvergleichsseiten und Gesprächen mit Freunden, Familie und Kollegen.

Bewertungsmanagement

Für Unternehmen ist es ratsam, aktiv mit Bewertungen zu arbeiten und ein Bewertungsmanagement zu etablieren. Wichtig dafür ist das Monitoring, um einen Überblick zu gewinnen. „Reagieren Sie auf jegliches Feedback“, rät Andreas Pfeifer, „für positives bedanken wie für negatives entschuldigen. Außer mit Trollen, mit denen darf man sich keinesfalls auf Diskussionen einlassen“. Das Ziel muss lauten, möglichst viele positive Bewertungen zu erhalten, zum Beispiel indem man Kunden aktiv um Feedback bittet.

Bewertungen können aber auch Manipulation, Fälschung und Verleumdungen enthalten und so  zu Imageverlust und Umsatzrückgang führen. Allerdings muss nicht jede Bewertung hingenommen werden. Die reine Meinungsäußerung unterliegt dem Schutz der Meinungsfreiheit. Unwahre Tatsachenbehauptungen, die die Grenze zur „Schmähkritik“ überschreiten, sind jedoch verboten und können zur Anzeige gebracht werden.

Andreas Pfeifers Tipps:
So reagieren Sie richtig auf Kritik im Netz:

  • Ignorieren Sie Kunden-Feedback nicht, sondern antworten so, als würde Ihnen der Kunde gegenüberstehen.
  • Sagen Sie Danke für positive Statements und für die Zeit, die der Kunde sich genommen hat.
  • Fehler können passieren – dann ist eine ehrliche Entschuldigung angebracht.
  • Antworten Sie verständlich und in einer guten, fehlerfreien Sprache.
  • Vermeiden Sie „copy & paste“ sowie nichtssagende Standardaussagen.
  • Nehmen Sie Kritik nicht persönlich.
  • Behalten Sie alle relevanten Portale im Blick und warten Sie mit Ihrer Antwort nicht länger als zwei Tage.
  • Hat der Kunde einen Verbesserungsvorschlag gemacht, den Sie umzusetzen beabsichtigen, dann tun Sie das und berichten Sie anschließend im Netz darüber.

Briefing „Rechtssichere Onlinekommunikation“ mit Datenschutz-Grundverordnung (DSGVO)

Viele Unternehmen sagen: „Onlinekommunikation ist wichtig und könnte uns auch helfen, aber wir haben Angst vor Abmahnungen und andere Rechtsverstöße zu begehen. Deshalb halten wir uns lieber zurück.“ Wir klären mit unserem Briefing über die wichtigsten Grundlagen auf: Welche Gesetze müssen Sie im Blick haben, wenn Sie online kommunizieren?

Kurz, knapp viele Themen, aber diese nur angerissen, das ist das Konzept unserer Briefings. Gedruckt auf vier Seiten bekommen Leser schnell viele Aspekte geliefert.

Briefing „Rechtssichere Onlinekommunikation“ herunterladen inklusive Entscheidungsbaum: „Darf ich dieses Bild veröffentlichen?“

Die Themen im Briefing:

  • Die neue Datenschutz-Grundverordnung (DSGVO)
  • Newsletter: Double-Opt-In, Versand mit Anbietern mit Sitz außerhalb der EU, z.B. Mailchimp
  • Creative Commons (CC)-Lizenzen: Methode, um urheberrechtliche Erlaubnisse zu bekommen und zu geben
  • Stockfotos in Social Media
  • Bilder von Veranstaltungen veröffentlichen
  • (Rechtswidrige) Kommentare und Bewertungen
  • Kostenfreie Rechtsberatung
  • Literaturtipp für eine hilfreiche kostenfreie Veröffentlichung

Beim Briefing „Rechtssichere Onlinekommunikation“ gibt es eine Besonderheit: Es gibt einen A4-Einlegeblatt mit Vorder- und Rückseite mit den Inhalten: „Entscheidungsbaum: Welches Foto darf ich veröffentlichen?“ und „Rechtssichere Onlinekommunikation: Welche Gesetze sind betroffen?“ Einlaminiert kann der Zettel direkt am Arbeitsplatz schnell dabei helfen, zu entscheiden. Sie finden die Seiten auch im Pdf-Dokument.

„Jeden Abend ein Begriff“ – eine Kanzlei bloggt und gründet ein Wiki

Wie man es schafft, die Besuche auf der Website um fast 50 Prozent zu steigern, jede Woche Mandanten durch Onlinekommunikation zu gewinnen und neue Mitarbeiter über Social Media zu rekrutieren, das zeigt die Patent- und Rechtsanwaltskanzlei Dr. Meyer-Dulheuer & Partners LLP mit Sitz in Frankfurt am Main – mit einem monatlichen Marketing-Budget im mittleren dreistelligen Bereich.

„Mein Chef hatte zum Glück früh verstanden, dass man an der Digitalisierung nicht vorbeikommt“, sagt Tobias Roth. „Im Gegenteil: Er wollte diese als Chance nutzen.“ Tobias Roth ist Head of Marketing in der Kanzlei und kümmert sich um alle Belange des Online-Marketings. Sein Chef, der ihn die Onlinekommunikation aufbauen ließ, ist Dr. Tim Meyer-Dulheuer, promovierter Chemiker und Patentanwalt. Er beschäftigt in der Kanzlei 15 Mitarbeiter, drei davon im Marketing.

Patentanwälte beraten und vertreten Mandanten in Bezug auf geistiges Eigentum und den gewerblichen Rechtsschutz, wie zum Beispiel Patente, Gebrauchsmuster, Designs, Marken und Lizenzverträge. Sie vertreten ihre Mandanten vor den Patent-und Markenämtern und Gerichten.

Besucher verweilen auf den Kanzlei-Seiten

„Inzwischen verweilen unsere Besucher rund fünf Minuten auf unseren Webseiten. Das ist lang und zeigt das rege Interesse an unseren Inhalten“, sagt Tobias Roth. Der umtriebige Online-Experte steuerte die Kanzlei in die Welt der Onlinekommunikation. Der Blog info.legal-patent.com startete im Jahr 2014, im selben Jahr auch die Social-Media-Aktivitäten.

Das Wiki wiki.legal-patent.com gründete Roth Ende 2016 als „Lexikon zum Gewerblichen Rechtsschutz“. Im Gewerblichen Rechtsschutz gibt es viele Begriffe, die für Außenstehende nicht verständlich sind. „Deshalb haben wir uns entschieden, dieses ‚Fachchinesisch‘ einfach und verständlich zu erklären. Erste Auswertungen ergeben, dass das dankend angenommen wird“, sagt Tobias Roth. Die Kanzlei hat innerhalb weniger Monate mehr als 250 Begriffe dem Lexikon hinzugefügt und es sollen noch mehr werden: „Unsere Arbeitsregel lautet ‚Jeden Abend einen neuen Begriff‘“, so Roth.

Aufmerksamkeit trotz eingeschränkter Werbemöglichkeit

„Wir dürfen als Kanzlei nicht aggressiv werben, das ist gesetzlich verboten“, sagt er. „Deshalb habe ich mir Gedanken gemacht, wie wir im Gewusel des Internets trotzdem auf uns aufmerksam machen können.“ Roth definierte als Ziel, sich mit dem Kanzlei-Blog als Experte im Netz zu positionieren und mit seinen Artikeln die Fragen zu beantworten, die potenzielle Kunden in den Suchschlitz bei Google tippen.

Heute sind Blog und Wiki die „digitalen Zugpferde“ der Kanzlei. In sozialen Medien wie Facebook, Twitter, Xing, LinkedIn und Google+ ist die Kanzlei auch präsent, nutzt die Aufmerksamkeit hier unter anderem für die Gewinnung neuer Mitarbeiter. „Wir haben so schon zwei Bewerber als neue Kollegen gewinnen können“, sagt Roth.

Das Recruiting in Form von gedruckten Stellenanzeigen hat die Kanzlei ganz hinter sich gelassen. Grund: Die hohen Kosten. „Auf den bekanntesten Portalen bezahlt man gut und gern 1.000 Euro für eine Anzeige. Das ist eine Menge Holz. Wir haben uns daher für multiple Stellenanzeigen in den sozialen Medien entschieden – mit deutlich geringeren Budget“, sagt Tobias Roth.

Google Adwords durch Inhalte ersetzt

„Natürlich ersetzt unser Content (Inhalt) keine Rechtsberatung. Der Vorteil ist aber, dass die Mandanten, die uns anrufen, vorab schon besser informiert sind“, sagt Tobias Roth. „Dummy-Fragen“, wie „Kann ich meinen Namen als Patent anmelden?“, stelle heute niemand mehr am Telefon. Der entsprechende Blog-Beitrag erfreut sich größter Beliebtheit.

Unter jedem Blogbeitrag weist ein Hinweis auf ein Formular hin, mit dem man um einen Rückruf der Kanzlei innerhalb der nächsten 24 Stunden bitten kann. Zwischen 30 und 40 Websitebesucher nutzen diesen Service pro Monat, rund ein Drittel davon werden zu Mandanten.

Test mit Null Euro-Media-Budget

Tobias Roth erreicht diese Aufmerksamkeit durch qualitativ hochwertige Inhalte. Die Anzeigen auf Google – „Google Adwords“ – hat er inzwischen auf ein Minimum reduziert. „Wir haben im September 2016 einen Testlauf durchgeführt und jegliche bezahlte Werbung gestoppt. Das Ergebnis: Null Euro Media-Budget, aber lediglich 15 Prozent weniger Besucher“, resümiert er. Drei Viertel der Website-Besucher kommen inzwischen über die organische also unbezahlte Suche. Das heißt: Die Seite ist so gut suchmaschinenoptimiert, dass die Seite möglichst weit oben in der Trefferliste erscheint.

Rund zwei deutsch- und zwei englischsprachige Blog-Beiträge veröffentlicht er mit seinem insgesamt dreiköpfigen Redaktionsteam pro Woche. Sie schreiben über neue Urteile und „alles, was Erklärungsbedarf hervorruft“. Dabei werden die deutschen Beiträge nicht einfach ins Englische übersetzt, sondern für jede Sprache – und die beiden daraus resultierenden unterschiedlichen Zielgruppen – eigene Themen aufbereitet. Dabei bemühen sich die Autoren, möglichst konkrete Aussagen zu treffen und nicht „zu schwammig im Etwa“ zu bleiben.

Zukunftsplanungen

In Zukunft sind Checklisten und eBooks geplant, sowie ein strategischer Ausbau des Empfehlungsmarketings mit Statements von Kunden auf der Website sowie Bewertungen auf Plattformen wie Google MyBusiness. „Wir haben in Frankfurt mit rund 20 Kanzleien eine große Patentenwaltsdichte. Qualifizierte Anwälte und eine lange Kanzlei-Tradition inklusive Referenzen kann jeder vorweisen. Aber was für Argumente gibt es noch? Warum sollte sich ein potenzieller Mandant also gerade für UNS entscheiden?“, hinterfragt Tobias Roth.

Studien haben gezeigt, dass Online-Bewertungen immer ausschlaggebender werden für Kaufentscheidungen. So auch bei der Auswahl der richtigen Kanzlei. Diese Chance will Tobias Roth als nächstes nutzen.

Sie möchten Ihre Onlinekommunikation strategisch planen? Leitfaden „In sechs Schritten zum Kommunikationsplan“ herunterladen

Team Schreinerei Luther

Schreinerei gewinnt jeden dritten Auftrag über Facebook

Vor vier Jahren – im Alter von 65 Jahren – begann Gerhard Luther etwas Neues: Zusammen mit einem Mitarbeiter startete er eine Facebook-Seite für seine im Darmstädter Stadtteil Arheilgen ansässige Tischlerei. Heute erreicht der Tischlermeister damit Kunden, die sich seine kreativen Arbeiten bis nach Los Angeles, Kairo oder Tokio liefern lassen.

Gerhard Luther ist, wie er sich selbst bezeichnet, auch mit 69 Jahren „kein Auslaufmodell“. Mit seinen 13 Mitarbeitern produziert der Inhaber der Tischlerei Wilhelm Luther auf mehr als 1.000 Quadratmetern Möbel, Ladenausstattungen, Küchen oder baut Wellnessbereiche, Wohnungen und ganze Häuser vor Ort aus.

Losgröße 1

Luther baut außerdem an der Schreinerei der Zukunft: Das Herzstück seiner Produktion ist das Vier-Achs-CNC-Bearbeitungszentrum. Die gesteuerte Fräsmaschine, wird nicht mehr von Hand bedient, sondern mit der so genannten Computerized Numerical Control. CNC bezeichnet ein elektronisches Verfahren, mit dem Werkzeugmaschinen gesteuert werden. „Mit dieser computergesteuerten Fräse stellen wir ausschließlich Produkte in Losgröße 1 her“, sagt Gerhard Luther, „das heißt: individuelle Unikate“.

Einer unter 40.000

Im Auftrag eines „sehr bekannten deutschen Sportartikelherstellers“ habe man beispielsweise für einen Werbepartner, einen Inlineskater, dessen ersten Skate-Schuh digital eingescannt, dann mit der CNC-Maschine ausgefräst und so ein hölzernes Denkmal gesetzt. Doch wie ist dieser „sehr bekannte deutsche Sportartikelhersteller“ eigentlich auf die kleine Schreinerei in Darmstadt aufmerksam und zu deren Kunden geworden? Schließlich gibt es bundesweit knapp 40.000 Betriebe im Tischlerhandwerk.

„Facebook“, antwortet Gerhard Luther. Sein Tischlermeister Matthias Knuhr ist neben dem Handwerklichen auch noch der Social Media Manager des Betriebs. Knuhr erstellt die Inhalte zusammen mit Gerhard Luther und postet sie dann auf Facebook. Nach inzwischen vier Jahren generieren die beiden ein Drittel der Aufträge über das soziale Netzwerk. „Wir haben uns damit unabhängiger gemacht von den Ausschreibungen der Architekten“, sagt Luther, „die sind meist 100 Seiten lang und die ersten 70 Seiten nur Vorgeplänkel“. Eine solche durchzuarbeiten koste ihn inklusive – kostenlosem – Angebot eine Woche Arbeit. Luther hatte sich deshalb gefragt: „Wie können wir dieses Verhältnis ändern?“

Neue Zielgruppe dank Facebook

Über Facebook erreicht der Betrieb heute eine ganz neue Zielgruppe, als ihm dies als lokal verankerter Tischler in Darmstadt und Umgebung möglich war. Der Kundenstamm ist internationaler und vor allem an den kreativen Holzprodukten interessiert.

Ein Beispiel: Matthias Knuhr ist Star Wars-Fan. Ihm kam die Idee, für Sammler der Figuren ein Regal mit UV-Schutzhaube und optimaler Ausleuchtung zu bauen. Fotos davon lud er auf Facebook hoch. Das Regal wurde dank des sozialen Netzwerks so bekannt, dass es Kunden aus Frankfurt, London und aus Hollywood bestellt haben. „Ein Kunde hat allein 1.000 Dollar nur dafür bezahlt, dass das Regal schneller in Los Angeles ankommt“, berichtet Luther.

Neue Produkte dank Facebook

Er und sein Team waren schon immer kreativ und haben nun ein Medium gefunden, mit dem sie wie in einem virtuellen Schaufenster ausstellen was sie können. Die digitale Kommunikation hat der Tischlerei nicht nur neue Kunden, sondern so auch neue Produkte gebracht. „Wir lernen am Rande viele Dinge, die auch bei anderen Sachen helfen“, so Luther.

Ein weiteres Beispiel für den digitalen Vertrieb: Die Arheilger Tischler haben Schallplattencover aus Holz gefräst. Allein über Facebook fanden sich 150 Kunden, unter anderem in Buenos Aires, Kairo, Chicago. Auf der Auktionsplattform Ebay boten Kunden bis zu 400 Dollar pro Stück.

 

Intensiv beobachtet

Neben diesen Aktivitäten engagiert sich Gerhard Luther übrigens auch noch ehrenamtlich für den Nachwuchs: an der Hochschule Darmstadt. Er begutachtet im Kurs der Innenarchitektur-Professorin Anke Mensing die technischen Zeichnungen der Studierenden. In den Möbel-Entwürfen fallen ihn mit seiner berufspraktischen Erfahrung schon auf dem Papier oft Details auf, die zu Problemen in der Herstellung führen könnten.

Der umtriebige Unternehmer ist mit seinem Engagement weit über die Grenzen Südhessens bekannt: „Unsere Aktivitäten werden bundesweit intensiv beobachtet“, sagt er mit Stolz.

Schadsoftware

Schadsoftware kommt nicht durch die Luft auf Ihren Rechner

Die Digitalisierung löst in Unternehmen auch Angst aus: Denn über fünf Einfalltore können Cyberkriminelle in ihre Systeme eindringen. Dabei gibt es einfache Regeln, mit denen man sich konsequent schützen kann. Die TU Darmstadt hat dazu ein kostenfreies Schulungsprogramm mit vier Modulen entwickelt.

Ein kleines hessisches Unternehmen kauft regelmäßig Produkte bei einem Handelspartner in Asien. Der Mitarbeiter, der die Geschäfte finanziell abwickelt, erhält eine Mail von dem gewohnten Absender in Asien. Darin steht, die Bankverbindung habe sich geändert. Der nächste Rechnungsbetrag – 150.000 Euro –  sei bitte auf das neue Konto zu überweisen. Der Mitarbeiter in Hessen tut dies.

Fehler! Er ist Opfer eines so genannten Social Engineering-Angriffs geworden. „Hätte er den erweiterten Mail-Kopf geöffnet, hätte er gesehen, dass die wahre Absenderadresse nicht die gewohnte war, sondern eine andere. Außerdem hätte er auch bei dem Handelspartner in Asien anrufen können“, sagt Michael Rühl vom Polizeipräsidium Südhessen. Ihm ist vor zwei Jahren in seiner Zeit als Ermittler genau dieser Fall begegnet. Inzwischen leitet er die polizeiliche Beratungsstelle „Cybercrime“ und klärt Unternehmen und Privatleute über die Tricks der Betrüger im Netz auf. Das schwächste Glied sei immer noch der Mensch, der einzelne Mitarbeiter, sagt Rühl. „Schadsoftware kommt nicht durch die Luft auf Ihren Rechner. Wichtig ist, dass jeder einzelne Mitarbeiter geschult ist und Bescheid weiß. Und nicht nur der Chef.“ Grundsätzlich gebe es immer zwei Vorsorgevarianten, die man am besten miteinander kombiniert, sagt Oliver Berg, der bei der Sparkasse Darmstadt die Abteilung „Mediale Vertriebswege“ leitet: erstens die technische und zweitens die Aufklärung der Mitarbeiter. Drei Mal im Jahr werden in der Bank alle Mitarbeiter darin geschult: „Wie erkenne ich eine Gefahrensituation?“ In jedem Fall sollten die fünf größten Einfallstore für Cyberkriminelle bekannt sein:

Tor 1: Infizierte USB-Sticks oder CDs

Schadsoftware kann über infizierte USB-Sticks oder CDs auf einen Firmenrechner und somit ins System des ganzen Unternehmens gelangen. Damit können zum Beispiel Daten verschlüsselt oder von außen ausgelesen werden. Wie kann man verhindern, dass Mitarbeiter fremde USB-Sticks oder CDs verwenden? „Bei uns sind alle USB-Zugänge gesperrt oder gar nicht mehr vorhanden, genauso wie CD-Laufwerke. Will ein Mitarbeiter einen fremden USB-Stick verwenden, muss dieser vorher durch die Prüfung unserer Systemadministratoren“, sagt Berg. Hier setzt die Sparkasse konsequent auf die technische Verhinderung leichtsinnigen Verhaltens.

Tor 2: Betrügerische E-Mails (Phishing)

„Erst denken, dann klicken“, warnt Aufklärer Rühl von der Polizei. Immer, wenn der Absender einer Mail eine Aktion vom Lesenden fordert, müsse man automatisch denken „Stop! Macht dieser Klick Sinn?“ Oft wird Schadsoftware per Mailanhang als Bewerbung oder Rechnung getarnt. Auch Links können zu Virusseiten führen. Hier muss man genau schauen: Entspricht der Link dem gängigen Muster? www.unternehmen.de oder.com?

Beispiel hierzu: Flyer zum Download

Die Sparkasse nutzt auch hier zusätzlich technischen Schutz: Alle Mails mit Anhang werden besonders geprüft. Auf Tippfehler oder andere Auffälligkeiten dürfe man sich bei betrügerischen E-Mails nicht mehr verlassen, sagt Oliver Berg. „Die kriminellen Mails werden immer besser.“ Dazu gehört auch, dass die Absender auf den ersten Blick vertraut aussehen können.

Tor 3: DDos-Attacken und Ransomware (Erpressungstrojaner)

Diese Angriffe haben das Ziel, den Nutzern den Zugriff auf ein Computersystem unmöglich zu machen oder Firmenwebseiten unerreichbar zu machen. „Davon betroffen sind viele kleine und mittlere Unternehmen, auch viele Onlineshops“, sagt Michael Rühl von der Polizei. Nach der Attacke kommt eine Zahlungsaufforderung. Wird diese beglichen, werden die Seiten meist wieder freigegeben. „Viele Unternehmen bezahlen diese oft erschwinglichen Beträge, um den Geschäftsausfall und den Reputationsverlust einzudämmen.“ Gegen solche Angriffe kann nur eine entsprechende softwaretechnische Aufrüstung helfen.

Tor 4: Fingierte Anrufe

Ein Anrufer gibt sich als Mitarbeiter von Microsoft oder einer anderen bekannten seriösen Firma aus. Unter einem Vorwand soll dem Anrufer ein Fernzugang auf den Computer gestattet werden. Zumeist gaukeln die Anrufer eine Bereinigung Ihres PCs vor und fordern im Anschluss eine Bezahlung der vermeintlich erbrachten Dienstleistung. Hierzu wird nach Kreditkartendaten oder TAN-Nummern für’s Onlinebanking gefragt.

Tor 5: Kollegen

Oliver Berg von der Sparkasse gibt einen weiteren Aspekt zu bedenken: „Achte auf die Kollegen!“ Möglich ist, dass Mitarbeiter nicht nur unbedarft in eine Falle klicken, sondern dies absichtlich tun. Sei es aus Profitgier oder weil sie von außen unter Druck gesetzt werden. „Zum Beispiel, wenn ein angeblicher Kollege am Telefon ein internes Passwort von mir haben will“: Auch hier ist Wachsamkeit geboten.

Unkomplizierte Schulung

Die Forschungsgruppe SECUSO der Technischen Universität Darmstadt bietet eine frei verfügbare und kostenfreie Schulung zur Erkennung betrügerischer Nachrichten an. Diese besteht aus vier Modulen und einem Quiz. Die Schulungseinheiten wurden innerhalb des vom Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der Wirtschaft geförderten Projekts KMU Aware entwickelt.

Aufklärungsvideo zum Thema:

Prof. Dr. Thomas Pleil

Online-Unternehmenskommunikation – Interview mit Prof. Thomas Pleil

Thomas Pleil, Professor für Online-PR an der Hochschule Darmstadt und Mitarbeiter der Mittelstand 4.0-Agentur Kommunikation, zeigt in einem im Interview, welche Faktoren bei der Onlinekommunikation von Unternehmen erfolgsentscheidend sind.

Herr Professor Pleil, digitale Kommunikationsmittel bieten Firmen viele Chancen. Doch nicht immer gelingt die Kommunikation mittels digitalen Plattformen. Welche Ursachen hat das?

Bei Unternehmen als Absender von Informationen steht am Anfang einer Reihe von Problemen oft das Kanaldenken: Manche Unternehmen meinen, einen Kommunikationskanal nutzen zu müssen, weil viele Menschen das eben auch schon tun. Zum Beispiel Facebook. Muss der Getränkemarkt um die Ecke dort wirklich aktiv sein? Wir hatten neulich einen solchen Fall: Dem Besitzer war gesagt worden, ohne Facebook-Seite funktioniere heute Kommunikation nicht mehr. Klar, mit einem guten Konzept und Liebe zur Kommunikation könnte das was werden. Aber mal im Ernst: Wenn sich der gute Mann damit quält, wird das auch nur eine Kommunikation um der Kommunikation Willen. Und wer will das abonnieren?

Was raten Sie Unternehmen, die darüber nachdenken, wie sie am besten digital mit Kunden kommunizieren?

In unserer vom BMWi geförderten „Mittelstand 4.0-Agentur Kommunikation“ stehen wir Multiplikatoren als Ansprechpartner für Kommunikation 4.0, Change-Management und eLearning zur Verfügung. Wir raten Unternehmen grundsätzlich, erst einmal zu beschreiben, welches Kommunikationsproblem behoben werden oder inwiefern die Kommunikation genau verbessert werden soll. Geht es zum Beispiel um die Zusammenarbeit der Mitarbeiter oder um besseren Kundenservice? Sind die vorhandenen Kommunikationswege einfach nur schlecht genutzt? Oder bieten neue Kanäle wirklich bessere Möglichkeiten? Wenn ja, gibt es eine Menge weiterer Fragen. Zum Beispiel: Ist es ok, wenn die Kommunikation nicht vertraulich und auf einem fremden Server gespeichert wird? Und wenn Inhalte irgendwann kaum mehr auffindbar sind? Und so weiter.

Ist diese Analyse gemacht, was wäre der zweite Schritt?

Zeigt sich, dass ein neuer Kommunikationskanal sinnvoll genutzt werden könnte, sollte man sich erst einmal in die Kommunikationspartner versetzen: Welche Art von Kommunikation erwarten sie? Welche Inhalte? Welche Intensität? Ich zucke mittlerweile schon zusammen, wenn ich nur davon höre, dass irgendwo eine neue WhatsApp-Gruppe eröffnet wurde und hoffe, dass dieser Kelch an mir vorüber geht. Warum? Weil WhatsApp für mich ein privater Kanal für Freunde und Familie ist. Und weil Gruppen oft unglaublichen digitalen Stress verursachen.

Wie innovativ sollten Unternehmen letztendlich in ihrer Kommunikation sein: nach vorne preschen oder lieber per Mail weitermachen?

Um nicht missverstanden zu werden: Ich möchte niemandem eine Ausrede bieten, die (Unternehmens-)Kommunikation nicht zu verbessern. Im Gegenteil: Wir können mit digitalen Werkzeugen Arbeit erleichtern, Menschen mitnehmen und Service verbessern. Aber damit das wirklich funktioniert, sollten wir überlegt herangehen und nicht schnell mal entscheiden, einfach einen neuen Account zu machen, wie es manche KMU für notwendig halten.
Herr Pleil, vielen Dank für das Interview.

IT-Security

4 Schulungsmodule gegen Social Engineering

Mit der Digitalisierung stehen auch kleine und mittlere Unternehmen (KMU) vor der Herausforderung, sich gegen Angriffe aus dem Internet schützen zu müssen. Diese Angriffe können Konsequenzen wie Imageverlust oder Umsatzeinbußen haben. Die meisten Einbrüche in IT-Infrastrukturen von Unternehmen lassen sich auf Informationen zurückführen, die über so genannte Social Engineering-Angriffe erbeutet wurden.

Unter „Social Engineering“ werden Angriffe auf die IT-Infrastruktur verstanden, welche keine technischen Schwachstellen ausnutzen, sondern den Menschen als Nutzer der Technik . Eine weit verbreitete Methode des Social Engineerings ist es, betrügerische Nachrichten mit gefährlichen Inhalten zu versenden, um an Daten von Internetnutzern zu gelangen.

Betrügerische Nachrichten sind:

  1. Nachrichten mit der Aufforderung zur Herausgabe privater Daten
  2. Nachrichten mit gefährlichen Dateianhängen
  3. „klassische Phishing“- Nachrichten, also Nachrichten mit gefährlichen Links.

Entsprechend wichtig sind:

  • die Sensibilisierung der Mitarbeiter für das Thema und klare Handlungsanweisungen im Verdachtsfall.
  • Die Mitarbeiter müssen verstehen, welche Tricks Angreifer anwenden und wie Angreifer vorgehen. Andererseits brauchen sie praktische Regeln und technische Unterstützung, woran sie betrügerische Nachrichten erkennen können.

Schulung und Materialien für kleine und mittlere Unternehmen

Große Unternehmen gehen das Problem seit einigen Jahren mit großen Kampagnen an. Dieser Ansatz ist für KMU in der Regel nicht praktikabel. Deshalb haben wir – die Forschungsgruppe SECUSO der Technische Universität Darmstadt und die usd AG – im Projekt „KMU AWARE – Awareness im Mittelstand“ praxistaugliche Maßnahmen zum Bewusstmachen des Problems und der Weiterbildung von Mitarbeitern entwickelt. Unter anderem gibt es eine Schulung, die in KMU eingesetzt werden kann, um Mitarbeiter hinsichtlich betrügerischer Nachrichten zu sensibilisieren und aufzuzeigen, wie sie sich gegen solche schützen können. Die Schulung steht in mehreren Formaten zur Verfügung, auf die wir später eingehen.

Schulung zur Erkennung betrügerischer Nachrichten

Modul 1: Einführung in das Thema Nachrichten mit gefährlichem Inhalt
Hier erfährt der Nutzer, wie Betrüger vorgehen und welcher Schaden entstehen kann, wenn Empfänger solcher Nachrichten auf den Betrug hereinfallen.

Modul 2: Erkennung von unplausiblen Nachrichten mit gefährlichem Inhalt
Dieses Modul zielt darauf ab, betrügerische Nachrichten bereits anhand der unzureichenden Plausibilität bezüglich Absender und Inhalt der Nachricht zu erkennen.
Ziel: Nach Modul 2 betrügerische Nachrichten erkannt werden, die zum Beispiel stark fehlerhafte Sprache einsetzen und deren Design von dem gängigen Design des Absenders abweicht.

Modul 3: Erkennung von plausiblen Nachrichten mit gefährlichen Links
In diesem Modul geht es darum, Links in Nachrichten zu prüfen, das heißt, die tatsächliche Webadresse hinter dem Link zu finden und den sogenannten Wer-Bereich in dieser Webadresse zu identifizieren. Dort kann der Mitarbeiter auch prüfen, ob der Wer-Bereich einen Bezug zu dem (vermeintlichen) Absender und/oder Inhalt der Nachricht hat.
Ziel: Nach Modul 3 sollen betrügerische Nachrichten erkannt werden, deren Links zu anderen Zielen als dem erwarteten führen.

Modul 4: Erkennung von plausiblen Nachrichten mit gefährlichen Anhängen
In Modul 4 geht es darum, Anhänge von Nachrichten daraufhin zu prüfen, ob diese ein gefährliches Dateiformat haben oder nicht zu dem Absender der Nachricht passen.
Die Struktur der inhaltlichen Module (2-4) ist in Form von drei Komponenten definiert:

Sensibilisierung: Alle drei Module enthalten einen sogenannten Teaser, welcher für die Wissensvermittlung sensibilisieren soll. Dieser veranschaulicht die Problematik anhand von zwei Beispiel-Nachrichten, die sich nur minimal unterscheiden: einer nicht betrügerischen (plausiblen) Nachricht und einer betrügerischen Nachricht, die sich jedoch nur schwer als solche erkennen lässt.

Wissensvermittlung: Als zentrales Element der Schulungseinheiten ist die Wissensvermittlung strukturiert. Zunächst wird eine Regel zur Erkennung der jeweiligen Kategorie betrügerischer Nachrichten (unplausible mit gefährlichem Inhalt, plausible mit gefährlichen Links, plausible mit gefährlichen Anhängen) vorgestellt. Ein Beispiel für eine solche Regel ist: „Prüfen Sie Absender und Inhalt jeder empfangenen Nachricht auf Plausibilität“. Im Anschluss an jede Regel wird diese erklärt. Im Folgenden wird jede genannte Regel anhand von Beispielen zur Anwendung der jeweiligen Regel veranschaulicht. Im nächsten Schritt werden jeweils Strategien aufgezeigt, welche Betrüger einsetzen, um das Erkennen betrügerischer Nachrichten der jeweiligen Kategorie zu erschweren. Ein Beispiel für eine solche Angreiferstrategie ist: „Die Überprüfung der Webadresse wird in einigen Nachrichten mit gefährlichen Inhalten dadurch erschwert, dass ein Link in einer Nachricht als vorgetäuschte Webadresse abgebildet wird. Die Webadresse im Text stimmt hierbei nicht mit der Webadresse überein, die man aufruft, wenn man auf den Link (in den Beispielen Screenshots einer Webadresse im Text) klickt.“ Abschließend werden die Strategien jeweils anhand von Beispielen veranschaulicht, um zu vermitteln, wie diese Strategien erkannt werden können.

Anwendung: Zur Festigung des erworbenen Wissens enthält jedes Modul Übungen mit Nachrichten in unterschiedlichen Kontexten. Dabei wird darauf geachtet, dass die Übungen die volle Bandbreite der Angreiferstrategien abdecken.

Materialien zur Erkennung betrügerischer Nachrichten

Ein Schwerpunkt der Arbeit von KMU AWARE liegt auf den „klassischen Phishing“- Nachrichten mit gefährlichen Links (Modul 3). Grund dafür sind die teilweise komplexen Angreiferstrategien innerhalb dieses Moduls. Zur Durchführung eines solchen Angriffs versenden Betrüger im Namen verschiedener Institutionen oder Personen Nachrichten (z.B. in Form von E-Mails, Facebook-Nachrichten oder SMS), mit denen sie ihre potenziellen Opfer zum (voreiligen) Klicken auf einen gefährlichen Link bewegen wollen. Zu diesem Modul wurden zahlreiche Materialien, Übungen und interaktive Tools entwickelt, die unabhängig voneinander oder auch zusammen eingesetzt werden können und den Nutzer dazu befähigen, solche Angriffe besser zu erkennen und so seine IT-Sicherheit zu verbessern – am heimischen PC bzw. Smartphone wie auch am Arbeitsplatz:

Android App und Online-Training – Lernspiel für das Smartphone bzw. zur Nutzung im Browser

Diese setzen das Schulung inklusive aller Module (Sensibilisierung, Wissensvermittlung und Anwendung) spielerisch um. App und Online-Training bestehen aus unterschiedlichen Leveln, die aufeinander aufbauen und vom Spieler sukzessive durchlaufen werden müssen. Wird ein Level nicht erfolgreich bestanden, muss es wiederholt werden, um das Training erfolgreich beenden zu können. Nach erfolgreicher Teilnahme können Spieler ein entsprechendes Zertifikat anfordern, welches als Motivation dient, das Spiel bis zum Ende zu durchlaufen.

Schulungsunterlagen für das Selbststudium

Die Schulungsunterlagen für das Selbststudium in Form eines Foliensatzes stehen in Kurz- und Langfassung zur Verfügung. Während die Kurzfassung den Lernenden in erster Linie sensibilisieren soll und das Wissen zur Erkennung betrügerischer Nachrichten vermitteln soll, beinhaltet die Langfassung zusätzlich Übungen zum Festigen des erworbenen Wissens.
Flyer, Infokarte und Poster mit einer Übersicht der wichtigsten Regeln zur Erkennung von Nachrichten mit gefährlichen Links : Die Nutzung dieser Materialien bietet sich an, um in kurzer Zeit die zentralen Lerninhalte zu vermitteln, und um eine „Gedankenstütze“ zur Verfügung zu haben. Während Flyer und Infokarte auch als selbständige Lernmaterialien eingesetzt werden können, bieten sie sich insbesondere als Ergänzung zu den umfangreicheren Lernmaterialien (Android App, Online-Training und Schulungsunterlagen) an.

Zu den Materialien werden drei Quiz angeboten, welche vor der Lernmaßnahme (Erhebung des Wissensstandes), direkt im Anschluss an die Maßnahme (Erhebung des Lernerfolgs) sowie einige Wochen oder Monate nach der jeweiligen Maßnahme (Erhebung des langfristigen Lernerfolgs) durchgeführt werden können.

Alle Materialien sowie weiterführende Informationen zum Thema „betrügerische Nachrichten“ stehen kostenlos zur Verfügung unter:

https://www.secuso.informatik.tu-darmstadt.de/en/secuso/research/results/erkennung-betruegerischer-nachrichten/

https://www.secuso.informatik.tu-darmstadt.de/en/secuso/research/results/nophish/

Zusätzlich zu den hier vorgestellten Materialien bietet die Technische Universität Darmstadt themenverwandte Tools an, die ebenfalls mit geringem Aufwand im Unternehmen einsetzbar sind:

TORPEDO – Erweiterung (Add-on) für das E-Mail-Programm Thunderbird , das Internetnutzern die Erkennung von Phishing-E-Mails technisch erleichtert, indem beispielsweise der Wer-Bereich von Webadressen hervorgehoben wird. www.secuso.org/torpedo

PassSec+ – Ein Add-On, das Passwörter, Zahlungsdaten und Privatsphäre schützt , indem es sicherstellt, dass Internetnutzer über verschlüsselte Verbindungen kommunizieren. www.secuso.org/passsec

Kontakt:
Technische Universität Darmstadt
Department of Computer Science
SECUSO – Security, Usability and Society
Telefon: +49(0) 6151 16 20813

Über das Projekt KMU AWARE – Awareness im Mittelstand

Ziel des Projekts KMU AWARE ist es, KMU in Deutschland verstärkt für die Gefahren beim Einsatz von IT zu sensibilisieren und ihnen aufzuzeigen, wie sie sich effektiv schützen können. Hierbei stehen drei Themen im Fokus: Das Erkennen von Social Engineering Angriffen, die Verwendung sicherer Passwörter sowie die Verwendung sicherer Privatsphäreneinstellungen.
Diese Themen haben den Vorteil, dass diese nicht nur im Firmenkontext, sondern auch im privaten Kontext relevant sind. Dadurch steigt die Motivation der Mitarbeiter in Unternehmen, an Lernmaßnahmen teilzunehmen.

Verschiedene Institutionen sowie Unternehmen haben Bestandteile der Schulung bereits erfolgreich angewendet und an Evaluationen teilgenommen, z.B. Rolls Royce, die HypoVereinsbank, das Polizeipräsidium Südhessen, die Sparkasse Darmstadt, die Volkshochschule Darmstadt, die Heinrich Emanuel-Merck-Schule und das Hochschulrechenzentrum Darmstadt. Darüber hinaus hat unter anderem das BSI auf seinen Webseiten, Social Media und im Newsletter „BSI für Bürger“ mehrfach auf Schulungsinhalte hingewiesen und diese empfohlen.

KMU AWARE wird im Rahmen der Initiative „IT-Sicherheit in der Wirtschaft“ vom Bundesministerium für Wirtschaft und Energie gefördert. Die Initiative „IT-Sicherheit in der Wirtschaft“ will vor allem kleinen und mittelständischen Unternehmen beim sicheren Einsatz von IKT-Systemen unterstützen. Gemeinsam mit IT-Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung soll eine Grundlage dafür geschaffen werden, um Bewusstseinsbildung in der digitalen Wirtschaft beim Thema IT-Sicherheit im Mittelstand zu stärken. Unternehmen sollen durch konkrete Unterstützungsmaßnahmen dazu befähigt werden, ihre IT-Sicherheit zu verbessern.

Weitere Informationen zum Projekt KMU AWARE: www.awareness-im-mittelstand.de

Weitere Informationen zur Initiative IT-Sicherheit in der Wirtschaft: www.it-sicherheit-in-der-wirtschaft.de

Foto: pixabay.com/JanBaby

Matrix-Kundenkommunikation

2. Auflage der beliebten Social-Media-Matrix erschienen

Ist ihr Produkt besonders fotogen? Oder die Dienstleistung erklärungsbedürftig? Instagram, YouTube oder Snapchat? Verantwortliche in der Unternehmenskommunikation stehen bei der Planung ihrer Kommunikationsziele und Zielgruppen vor der Frage: Welcher Aufwand lohnt sich? Welcher Kanal ist der richtige?

Die Mittelstand 4.0-Agentur Kommunikation hat nun die 2. Auflage der Matrix herausgebracht. Diese zeigt auf einen Blick, welche Social Media-Plattformen es derzeit gibt und welche Ziele man mit welchem Kanal erreichen kann. In die Weiterentwicklung sind Ergebnisse aus einem Workshop mit Studenten und Hinweise von Unternehmen eingeflossen.

„Social-Media-Matrix: Welcher Kanal für welches Ziel?“ herunterladen

In der Matrix ist zu finden, wie aufwändig das Bespielen des jeweiligen Kanals ist und für welche Produkte und Dienstleistungen sich welcher eignet. Ebenso das Alter der Zielgruppe und Besonderheiten einzelner Netzwerke sind aufgeführt.

Die Matrix ist für Verantwortliche in der Unternehmenskommunikation gedacht. Zudem können sie Multiplikatoren aus Wirtschaftsförderungen, Verbänden, Industrie- und Handelskammern sowie Handwerkskammern als Handreichung in Unternehmensberatungen verwenden.

Die Matrix ist zur Veranstaltung „Kundenkommunikation 4.0“ entstanden, die wir zusammen mit Facebook veranstaltet haben. – Programm herunterladen

Portfolio Einträge