Risikofaktor Mensch – schärfen Sie das
Sicherheitsbewusstsein Ihrer Mitarbeiter
Michael Hirschmann
Senior Presales Engineer
BEDROHUNGSLAGEUnternehmen sind tagtäglich einer Vielzahl unterschiedlicher Bedrohungen ausgesetzt
Unternehmen investieren viel Geld in die Absicherung ihrer IT-Sicherheitsinfrastruktur
Aber…
herkömmliche Sicherheitslösungen reichen nicht aus
neue Sicherheits-Mechanismen und -Technologien werden benötigt
Steigende Komplexität z.B. Vermischung von Privat- und Arbeits-Welt (BYOD) oder
weitere Vernetzung der Systeme (z.B. IoT, Industrie 4.0, autonomes Fahren )
heutige Bedrohungen werden komplexer
Cyber-Kriminelle werden immer professioneller,
kompetenter & vernetzter
„Cybercrime-as-a-Service“ (z.B. DDoS, Exploit Kits)
usw.
DAS PROBLEM
ca. 80 %aller Cybersicherheits-Vorfälle entstehen durch...
menschliches Fehlverhalten
Ist der Mensch evtl.
ein Risikofaktor in
der Sicherheitskette ?...
DAS PROBLEM
Beispiele Unbewusster Schädigung und Fehlverhaltens
Öffnen von dubiosen E-Mail Anhängen oder schnelle
Klicks auf URL Links (professionelle Phishing-Mails)
USB-Sticks
Passwörter
Umgang mit sozialen Netzwerken usw.
„Social Engineering“ um z.B. vertrauliche Informationen zu erhalten
Shoulder Surfing, Dumpster Diving, Tailgating
Auslegen/Liegenlassen präparierter USB-Sticks
Gezielte Kontaktaufnahme per E-Mail (Spear-Phishing)
am Telefon als Mitarbeiter der IT Abt. oder als Techniker oder Manager/Chef ausgeben
DAS PROBLEM
Fakt: auch die zuverlässigste Security-SW
schützt nicht vor der „Schwachstelle Mensch“
Cyber-Kriminelle haben den Fokus auch auf ein
neues, vermeintlich einfacheres Angriffsziel
verändert – den Mitarbeiter
Cyber-Security Awareness / Sicherheitsbewusstsein
ist ein "must have" Element der IT-Sicherheit
DAS PROBLEM
- zu lang
- zu technisch
- langweilig, nicht für
Manager
- nur Bedrohungen und
“Don’t”, ohne “DO’s”)
Langweilige,
frustrierende
Trainings
Poster sind
nicht genug
Mitarbeiter sehen
IT-Sicherheit
nicht als Partner
nur 22% glauben , dass sie
von Cyber-Kriminellen
attackiert werden können
Keine Motivation,
Irrglaube
Herausforderungen
Wahrscheinlich investieren Sie schon Geld in die Security-Awareness, ABER…
KASPERSKY APPROACH
Wissen
VerhaltenMotivation
Die meisten Awareness Programme
adressieren nur Wissen
Der Ansatz, den wir vorschlagen ist:
- Umfassend, verständlich, einflussreich & messbar
- auf 3 Ebenen – Wissen, Verhalten, Motivation
Verhalten ist das eigentliche Ziel der Awareness
und eng mit Wissen und Motivation verbunden
Profit, Misserfolg,
Nutzen, Gewohnheit
„spielerisches Lernen“, Angriffssimulationen und
interaktive Schulungen
PORTFOLIO – AUFBAU
für Senior Management /Geschäftsführung
KurzesUnternehmens-
Planspiel
für Line Manager /Fachgebietsleiter
Präsenzschulungmit Sicherheits-
Experten
für alleMitarbeiter
Modulare, interaktive Schulung
für Chief Information Security Officer
Cybersafety Culture Assessment
Auswertung des Assessments
Aufbau der Schulungen von Kaspersky Lab zum Thema Sicherheitsbewusstsein
KIPS
CyberSafetyGames
(CSA)
Online Training Platform
KIPS LIVE – ÜBERBLICK
KIPS = Kaspersky Interactive Protection Simulation
Dauer: ca. 2 – 2,5 Std.
Zielgruppe: Manager /IT-Security Abt. usw.
Anzahl: ca. 9 – 40 Leute (ggf. auch mehr)
Setup: Aufteilung der Gruppe in mehrere Teams, Mix von 3 – 5 Leuten/Team
Szenarien: Wasserwerk, Corporate, Financial und Government
Grund: Separates Event oder z.B. Session in einer Konferenz/Seminar
Verfügbar: Deutsch, Englisch, Französisch usw.
Spielformat fördert das Verständnis der Cyber-sicherheits-Maßnahmen; Wettbewerb und Teamwork
KIPS LIVE – SZENARIEN
Wasserwerk(Spielbrett)
Schutz von industriellen
Steuerungssystemen (ICS)
KIPS LIVE – SZENARIEN
Corporate(Spielbrett)
Schutz des Unternehmens
vor Ransomware, APT‘s
und Sicherheitslücken
KIPS LIVE – SZENARIEN
Financial(Spielbrett)
Schutz der Finanzinstitute
vor High-Level APT‘s, wie
z.B. Tyupkin, Carbanak
KIPS LIVE – SZENARIEN
Government(Spielbrett)
Schutz der öffentlichen
Web-Server vor Angriffen
und Exploits
Reputation Umsatz
KIPS LIVE – AKTIONSKARTEN
NUMMER
KIPS LIVE – KONSOLE (TABLET)
ZAHLEN DER
AKTIONSKARTEN
VERBLEIBENDE ZEIT BIS ZUM ENDE DER RUNDE
RUNDE 1100
€20 000
KIPS ONLINE – NEU (DEMNÄCHST)
KIPS Online –
Global Championship
erstes globales Game über
3 Zeitzonen (APAC, EMEA,
Americas) am 01.12.2016
280 Teams gegeneinander
KIPS Online
für Remote-Teams ohne
gedruckte Materialien
hervorragend für öffentliche
Aktivitäten & globale Teams
bis zu 300 Teams gleichzeitig
KIPS ONLINE – NEU (DEMNÄCHST)
Game-Konsole
jedes Team benötigt jeweils
PC, Internet, Web-Browser
(Chrome), 2 Fenster (WebEx
+ Game-Konsole)
Beschreibung / Spielregeln
in Englisch
Unterstützte Game-Konsole
Sprachen (am 01.12.2016):
Englisch, Russisch, Deutsch,
Spanisch
PORTFOLIO – AUFBAU
für Senior Management /Geschäftsführung
KurzesUnternehmens-
Planspiel
für Line Manager /Fachgebietsleiter
Präsenzschulungmit Sicherheits-
Experten
für alleMitarbeiter
Modulare, interaktive Schulung
für Chief Information Security Officer
Cybersafety Culture Assessment
Auswertung des Assessments
Aufbau der Schulungen von Kaspersky Lab zum Thema Sicherheitsbewusstsein
KIPS
CyberSafetyGames
(CSA)
Online Training Platform
CYBERSAFETY GAMES – ÜBERBLICK
CyberSafety Games
Dauer: 1x 8 oder 2x 4 Std.
demnächst auf 1x 4 Std.
und 1x 2 Std. geplant
Zielgruppe: Line Manager /Security Abt. usw.
Anzahl: 20 – 50 Leute
Setup: Aufteilung der Gruppe in mehrere
Teams, Mix von 3 – 5 Leuten/Team
Verfügbar: Englisch, demnächst in Deutsch
Spielformat fördert sicherheitsbewusstes Verhalten in
typischen Umgebungen (z.B. Großraum-Büro,
Flughafen, Konferenzraum)
CYBERSAFETY GAMES
Aufbau – Spielbrett
12 markierten Zonen
/Workplace
potenzielle Cyber-
Bedrohungen /Zone
10 Security Domains (z.B. AV/Apps, Web, E-Mail,
Passwort, Data Leak, Social
Engineering usw.)
CYBERSAFETY GAMES
Regeln
Wetten im
„Casino-Stil“ auf
möglichen Cyber-
Bedrohungen
auf Threats
oder
keine-Bedrohung
und
Häufigkeit
CYBERSAFETY GAMES
Regeln
Vorschlag der
Teams, wie das
Risiko gemindert
werden könnte
Erklärung der
Best-Practice (Trainer)
CYBERSAFETY GAMES
Regeln
Div. Übungen für
verantwortliche, „risk-
taking“ Entscheidungen (erst denken, dann handeln)
Beurteilung der
verschiedener Situationen
aus Sicht der Arbeits-
Effizienz und Sicherheit
PORTFOLIO – AUFBAU
für Senior Management /Geschäftsführung
KurzesUnternehmens-
Planspiel
für Line Manager /Fachgebietsleiter
Präsenzschulungmit Sicherheits-
Experten
für alleMitarbeiter
Modulare, interaktive Schulung
für Chief Information Security Officer (CISO)
Cybersafety Culture Assessment
Auswertung des Assessments
Aufbau der Schulungen von Kaspersky Lab zum Thema Sicherheitsbewusstsein
KIPS
CyberSafetyGames
(CSA)
Online Training Platform
ONLINE TRAINING PLATTFORM – ÜBERBLICK
Online Training Plattform
SaaS/Cloud Plattform
Online – 21 interaktive Schulungsmodule für
Mitarbeiter; ca. 15 Min./Module
In 26 Sprachen
integrierte Plattform für Schulung , Assessments,
Simulierte Phishing-Angriffe und Reporting
Schulungs-module
+
Simulierte Phishing-Angriffe
Skills Assessment
Analyse und Reporting
ONLINE TRAINING PLATTFORM – ÜBERBLICK
Ziel (für alle Mitarbeiter):
Stärkung guter Cybersicherheits-Gewohnheiten
und Fertigkeiten
Vermittlung von Kenntnissen bzgl.
Anti-Phishing, sicherer Umgang mit Sozialen
Netzwerken, Smartphones usw.
Ziel (für z.B. CISO):
Einschätzung der Security Skills im
Unternehmen und wo ggf. Verbesserungen
notwendig sind
Effektiv, dauerhaft und messbar
ggf. mehrere Zyklen im Laufe des Jahres
ONLINE TRAINING PLATTFORM – ÜBERBLICK
Diverse Konfigurations- & Lizenz-Optionen:
Full Plattform, Anti-Phishing, Multi-topic oder Training Modules Set
Skill Assessment & Simulierte Phishing-Attacke je nach Option
ggf. SCORM & SSO Add-on
OTP – ABGEDECKTE SICHERHEITSBEREICHE(LISTE DER INTERAKTIVEN MODULE)
Web-Frontend für Benutzer & Administrator
21 interaktive Schulungsmodule in 26 Sprachen; ca. 15 Min./Module
Grundlagen der
Sicherheit
Anti-Phishing
Phil
E-Mail-
Sicherheit
Anti-Phishing
Phishing PhyllisSicherheit für
mobile Geräte
Sicherheit
mobiler Apps
Datenschutz
und
Datenzerstörung
Grundlagen der
Sicherheit –
Geschäftsleitung
Social
Engineering
Sicheres Surfen
im Internet
URL Schulung Passwort-
Sicherheit
Physische
Sicherheit
PCI DSS
Sicherheit in
Sozialen
Netzwerken
Schutz gegen
Ransomware
Sicherheit über
das Büro hinaus
USB Geräte-
Sicherheit PII Geschützte
Gesundheits-
daten (PHI)
Sicherheit auf
Reisen
ONLINE TRAINING PLATTFORM
Training Module (Benutzer)
Jedes Trainings-Module beinhaltet…
- Unterricht / Lehrmaterial
- Übungen & Tests
- „Learning-by-doing“
Kombination aus…
- Erklärungen
- Tests, "Do-it-yourself„
- und Hinweise & Feedback
für effektives Lernen
ONLINE TRAINING PLATTFORM
Training Module (Benutzer)
Jedes Trainingsmodule führt die Lernenden von den Grundlagen bis zum
fortgeschrittenem Wissen
ONLINE TRAINING PLATTFORM – WEBPAGE
Demo-Webpage
https://www.kaspersky.de/enterprise-security/cybersecurity-awareness/
via Link „ZUR DEMOVERSION“
18 interaktive verkürzte engl. Module
Engl. Templates für Simulierte Phishing Angriffe
inkl. Beispiele für „Teachable Moments“
ONLINE TRAINING PLATTFORM
Training Module (Admin)
Zuweisung (Assignment)
bestimmter Ausbildungsmodule
für die jeweiligen Mitarbeiter
Basierend auf Profile, Abteilung,
Assessment Ergebnisse, Zeit
aktuell 21 Ausbildungsmodule
mit Start- und Fälligkeits-Datum
ONLINE TRAINING PLATTFORM
Training Jackets (Admin)
Am Anfang oder Ende der
Trainings-Module können
z.B.
- Unternehmen spezifische
Sicherheits-Richtlinien
oder
- Infos, Tel./Mail-Adresse
vom IT Security Team etc.
hinterlegt werden
ONLINE TRAINING PLATTFORM
Teilnahme-Zertifikate
Zertifikat für den Benutzer
am Ende jedes Trainings-
Moduls möglich
ONLINE TRAINING PLATTFORM
CyberStrength Assessment
(Admin)
Bestimmung der Fähigkeiten und
Ausbildungsbedarf des Benutzers
verschiedene Sicherheitsdomänen
vordefinierte/zufällige Assessments
Eigene kundendefinierte Fragen
Umfang frei wählbar
Interaktive Fragen
(Multiple Choice, Wahr/Falsch)
ONLINE TRAINING PLATTFORM
CyberStrength Assessment
(Benutzer)
Beispiel
Assessment Frage
aus
Sicht des Benutzers
ONLINE TRAINING PLATTFORM
ThreatSim – Simulierte
Phishing Attacke (Admin)
"Ready-to-go" und anpassbare
Vorlagen von Phishing-Mails
verschiedenen Schwierigkeitsstufen
"Aha„- bzw. Lern-Effekt, wenn diese
Phishing-Mails angeklickt werden
anschl. kann automatisch das
betreffende Ausbildungsmodul
zugewiesen werden
ONLINE TRAINING PLATTFORM
ThreatSim – Simulierte
Phishing Attacke
(Benutzer)
Beispiel für Landing-Page
Weitere „Teachable
Moments“ neben Landing-
Page z.B. Comic-Strip
ONLINE TRAINING PLATTFORM
Analyse und Berichte (Admin)
Überblick und Verfolgung der
Assessments und Kampagnen
Übersicht der Security Skills in
bestimmten Bereichen
Bewertung von potenziellen
Schwachstellen (areas of weakness)
Daten und Analysen für die nächste
Phase des Assessments/Schulung
KASPERSKY SECURITY AWARENESS
Cyber-Security Awareness ist ein
„must have“ Element der IT-Sicherheit,
damit der Mensch nicht zum
Risikofaktor in der Sicherheitskette wird
Kaspersky Security Awareness
https://www.kaspersky.de/enterprise-security/cybersecurity-awareness/
Vielen Dank für Ihre Aufmerksamkeit !
Sprechen Sie mit uns in Halle 6, Stand H 18
Top Related