Awareness Training und datenschutzkonformes Onlinemarketing
Mehr IT-Sicherheit wagen bedeutet insbesondere auf Befähigung, anwendbares Wissen sowie auf emotionale Intelligenz zu setzen. Bestimmte Lernkonzepte und Tools können helfen, die Gefahr eines Cyber-Angriffes zu mindern. Zugleich gilt es aber auch selbst darauf zu achten, die richtigen digitalen Werkzeuge einzusetzen.
Stellen Sie sich vor der CEO ruft Sie persönlich an – Sie arbeiten erst seit einer Woche in diesem neuen Unternehmen und konnten ihn noch gar nicht in einem Onlinemeeting so richtig kennenlernen. Geschweige denn, dass Sie seine Stimme am Telefon sofort identifizieren können. Die kritischen Faktoren sind folglich die Glaubwürdigkeit und die Legitimität des Gegenübers. Umso dringlicher sind jedoch seine Absichten! Wenn Sie jetzt als Mitarbeiter zu sich selbst sagen, „wird schon stimmen, dass das der CEO ist“, könnte es sein, dass Sie in eine Falle laufen. „Telefonbasiertes Phishing, das sogenannte Voice-Phishing ist im Homeoffice besonders gefährlich. Vor allem den Überraschungseffekt sollte man nicht unterschätzen. Künstliche Intelligenz kann dabei auch als Waffe eingesetzt werden“, erklärt Micha Pfisterer, Geschäftsführer der Ext-Com IT GmbH. „Die oftmals automatisierten Anrufe erfolgen ohne Ankündigung und verlangen von den Opfern schnell zu handeln.“ Eine beliebte Taktik sei die IT-Support-Masche, zu der auch der ,Microsoft-Technical-Support-Scam‘ gehöre. Kriminelle geben sich in diesem Szenario als Mitarbeitende von Microsoft aus und behaupten, eine Sicherheitslücke oder Malware auf dem Gerät des Opfers entdeckt zu haben. „Unwissenheit und Angst führen schließlich dazu, dass sich die Opfer von den Kriminellen täuschen lassen“, warnt Pfisterer. Der Grund: Sie sind für die scheinbare Hilfe dankbar und installieren unter Anweisung der Kriminellen etwa ein Programm zur ,Fehlerbehebung‘ , dass jedoch einen Fernzugriff auf deren Gerät erlaubt. „So können die Kriminellen heimlich weitere Malware installieren, sensible Daten ausspähen oder im Nachgang Lösegeld vom Opfer erpressen. Das übelste Szenario ist hierbei der bereits erwähnte CEO-Fraud: Hier gibt sich der Anrufer als CEO oder Führungskraft aus, um Mitarbeiter zu schädlichen Handlungen zu animieren, wie etwa Überweisungen an angebliche Lieferanten oder Geschäftspartner“, erklärt Pfisterer.
„Mit einem effektiven Awareness-Training kann man seine Mitarbeiter für den richtigen Umgang mit diesen Szenarien aber sensibilisieren und vorbereiten. Diese Trainingsszenarien kann man mit einem Flugzeugsimulator vergleichen, digitale Schulungen und E-Learnings runden das Angebot zur Krisenprävention ab.“
Micha Pfisterer - Geschäftsführer der Ext-Com IT GmbH
Informationen werden gesammelt
Auch das Online Magazin Security Insider bestätigte schon, dass der Voice-Phishing- oder auch Vishing-Versuch genannt, möglichst dann realistisch wirkt, wenn die Angreifenden im Vorfeld zahlreiche Informationen über ihr Opfer gesammelt haben. „Dabei können Social-Media-Plattformen wie LinkedIn oder Xing Details liefern, die dem Vishing-Angriff eine hohe Glaubwürdigkeit verleihen. Angriffsziele müssen nicht unbedingt hochrangige Personen wie Manager oder Politiker sein. Für die Kriminellen sind alle Mitarbeiterinnen und Mitarbeiter interessant, da potenziell jeder als unauffälliger Türöffner in die Unternehmensnetzwerke fungieren kann“, erläutert Security Insider in einem Online-Beitrag ausführlich. Hierzu meint Ext-Com-Geschäftsführer Micha Pfisterer: „Mit einem effektiven Awareness-Training kann man seine Mitarbeiter für den richtigen Umgang mit diesen Szenarien aber sensibilisieren und vorbereiten. Diese Trainingsszenarien kann man mit einem Flugzeugsimulator vergleichen, digitale Schulungen und E-Learnings runden das Angebot zur Krisenprävention ab.“ Denn gerade die Konfrontation mit realistisch wirkenden Phishing- und Vishing-Angriffen schafften die notwendige Routine und Gelassenheit, die jeder Mitarbeiter brauche. Kurzum: Man lernt folglich, solche Angriffe zu erkennen, um sich davor besser zu schützen.
„Gerichtsurteile zu Cookies und zum Privacy Shield sowie jüngere Stellungnahmen von Datenschutzbehörden wie etwa im Fall Mailchimp, sorgen regelmäßig für Ungemach in der Datenschutz-Debatte."
Andrea Pfisterer - Externe Datenschutzbeauftragte der Ext-Com IT GmbH
Auf die Auswahl achten
Wer im Online-Marketing unterwegs ist, sollte die europäische Datenschutzgrundverordnung (EU-DSGVO) kennen. Denn sobald es um Datenschutz-relevante Inhalte geht, sind Knowhow und Risikobewusstsein gefragt. Ein Online-Marketer sollte hier also sicher unterwegs sein und auf datenschutzkonforme Online-Tools setzen. „Gerichtsurteile zu Cookies und zum Privacy Shield sowie jüngere Stellungnahmen von Datenschutzbehörden wie etwa im Fall Mailchimp, sorgen regelmäßig für Ungemach in der Datenschutz-Debatte“, erläutert Andrea Pfisterer, Externe Datenschutzbeauftragte der Ext-Com IT GmbH. Das gelte vor allem dann, wenn Software eingesetzt werden soll, um Marketingprozesse professionell zu digitalisieren und zu automatisieren. Ein kleiner Tipp: Die sicherste Lösung ist, von vornherein auf die Software eines Anbieters zu vertrauen, der ausschließlich in der EU sitzt und dort Daten hostet. Wenn das bestehende Tool dagegen nicht DSGVO-konform ist, bietet sich infolgedessen der Umstieg auf eine datenschutzkonforme Lösung eines europäischen Unternehmens an. „Zwar gibt es Alternativen, um auch US-Tools weiternutzen zu können, jedoch sind diese zum Teil nur sehr schwer umsetzbar“, stellt die IT- und Datenschutzexpertin abschließend fest.
Falls Sie Fragen zu den Themen Datenschutz und IT-Sicherheit haben, rufen Sie uns einfach gerne an!
Wir sind für Sie da!
Micha Pfisterer Geschäftsführer
Haben Sie Fragen rund um die Themen
IT Service & Sicherheit?