adrian138
Goto Top

IT Awareness

Guten Tag,

Welche IT Awarness Kampagnen macht Ihr in Ihrem Betrieb?

Ich habe von "learning yourneys" gehört wo der Benutzer selbständig Videos, Quiz usw. durcharbeiten/spielen kann.
Wisst Ihr davon und habt so eine Lösung in Betrieb, wenn ja welche Lösung ist dies?

Vielen Dank und Grüsse,

Adrian

Content-ID: 1995071364

Url: https://administrator.de/forum/it-awareness-1995071364.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

clSchak
clSchak 24.02.2022 um 14:35:09 Uhr
Goto Top
Hi

Psihing Kampangnen (da liefert MS ein paar Sachen, bin mir aber nicht sicher, ob das nur in den E5 Verträgen verfügbar ist), USB Sticks irgendwo rumliegen lassen (die lustige Dinge anrichten) und all so ein Zeug das auch in den Schulungsmaterial angesprochen wird. So als "Veprobung" bzw. Wirksamkeitsmessung der durchgeführten Schulungsmaßnahmen.

Schulungmaterial gibt es bei uns in unterschiedlichen Formen: Videos mit anschließenden Test (u.a. für Informationssicherheit, Datenschutz, Arbeitsschutz usw.), Onlinetrainings, Vor Ort Schulungen usw.

Das gesamte Schulungsmaterial steht auch "offline" zur Verfügung. Additiv dazu auch Umfangreiche Vorgaben, Arbeitsanweisungen und zum Teil Anleitungen wie man mit bestimmten Vorfällen umzugehen hat, ist aber alles noch Ausbaufähig, so lange machen wir das auch noch nicht face-smile

Gruß
@clSchak
adrian138
adrian138 24.02.2022 um 15:43:14 Uhr
Goto Top
Hallo clSchak,

Vielen Dank für die Infos.

Ich bin eher auf der Suche nach einer E-Learning Plattform wo die Benutzer das KnowHow selbst und jederzeit erarbeiten können.

Viele Grüsse,

Adrian
clSchak
clSchak 24.02.2022 um 16:03:01 Uhr
Goto Top
Den Content musst aber im Regelfall eh selbst erstellen, dass sollte ja zu eurem Abläufen / Prozessen passen. Ansonsten kannst es fast sein lassen, dass werden die Anwender nicht praktisch anwenden.
Coreknabe
Coreknabe 25.02.2022 um 09:24:30 Uhr
Goto Top
Zitat von @adrian138:

Hallo clSchak,

Vielen Dank für die Infos.

Ich bin eher auf der Suche nach einer E-Learning Plattform wo die Benutzer das KnowHow selbst und jederzeit erarbeiten können.

Viele Grüsse,

Adrian

Moin Adrian,

da gehst Du aus meiner Sicht von komplett falschen Voraussetzungen aus. In der Regel interessiert die Benutzer das alles nicht, für die soll es funktionieren. Wie das funktioniert, ist komplett egal. Da wird sich niemand hinsetzen und sich das selbst beibringen. Autovergleichsbeispiel: Wenn Du Auto fährst, willst Du auch nicht wissen, warum und wie das Auto fährt. Vielmehr musst Du Dir überlegen, wie Du die Mitarbeiter motivieren kannst, dass sie auf verdächtige Mails achten und ein gesundes Misstrauen entwickeln. Wenn Du das schaffst, hast Du fast das Optimum erreicht. Es ist auch problematisch, das Thema allzusehr in den Mittelpunkt zu stellen, das ermüdet die Mitarbeiter nur (oh, er hat schon wieder "ACHTUNG" gerufen, es passiert aber gefühlt nie etwas, das nutzt sich ab). Aus eigener Erfahrung kann ich auch sagen, dass speziell zum Wochenende hin die Aufmerksamkeit absolut nachlässt. Bei uns gab es eine Handvoll Fälle, in den die Nutzer Links aus Spam-Mails nicht nur angeklickt, sondern danach auch noch eigene Daten auf der Phishing-Seite eingegeben haben. Zeitpunkt: Immer Freitag Nachmittag.

Bleibt also neben regelmäßigen Sicherheitsschulungen nur das Aufsetzen einer eigenen Testplattform zum Versenden von Phishing Mails, sofern Du das selbst leisten kannst oder du lagerst das aus:
https://phish-test.de/

Auch nett:
https://phishingquiz.withgoogle.com/

Viel Erfolg!

Gruß
Coreknabe
melmax
melmax 25.02.2022 um 10:02:43 Uhr
Goto Top
Hallo Adrian,

aus meiner Sicht gehört beides zusammen - lernen (lassen) und dann auch prüfen ob was kleben geblieben ist.
Wir haben bei uns einerseits ein eLearning laufen, ich selbst bin aber eher ein Freund von Face2Face Trainings bei wichtigen Themen. Unsere Teilnehmer haben vor allem die "Live Hacks" genial gefunden. Das wird jedoch zunehmend schwieriger bei mehr als 1500 Usern.

Daneben verwende ich GoPhish um die User zu testen. Kostet nichts, ist schnell implementiert und kann relativ einfach mit Templates befüllt werden.

Liebe Grüße
Melmax
EliteHacker
EliteHacker 25.02.2022, aktualisiert am 26.02.2022 um 01:03:30 Uhr
Goto Top
Erfahrungsgemäß lernen Mitarbeiter beim Lösen von Quiz-Aufgaben ziemlich genau nichts. Hätten wir lieber unsere Zeit mit dem Singen von Weihnachtsliedern verbracht. Selbst das wäre sinnvoller gewesen. Das selbe gilt für Videos anschauen, schätze ich. Der Nutzer muss das Wissen praktisch anwenden können. Der Nutzer muss begreifen, weshalb ein Passwort "stark" sein muss, nicht weil wir per Richtlinien dich ärgern wollen. Weshalb sollte man den PC beim Verlassen sperren? (WIN + L) Wofür braucht man Authentifizierung? Usw. usf.

Punkte auf die ich achten würde:

  • Social Engineering, auch physisch, keine herumliegende USB-Sticks anschliessen! (Danke, clSchak)
  • BYOD / IOT / Schatten-IT
  • Phishing (Teil von Social Engineering)

Ich bekomme jedes mal Schnappatmung, wenn ich beim Vorbeigehen einen verlassenen, ungesperrten Windowsrechner erspähe.

Ihr müsst Richtlinien, Leitlinien, Prozeduren, Mindestanforderungen und Standards festlegen und sie in einem öffentlichen Verzeichnis aufrufbar machen.

Merke: Leitlinien sind Empfehlungen und somit fakultativ. Der Rest ist obligatorisch.

Erteilt den Mitarbeitern den Auftrag sich gegenseitig den Bildschirm auf den Kopf zu drehen mit CTRL + ALT + Pfeiltaste nach Unten, um sich gegenseitig zu ärgern, bis der letzte Depp den PC sperrt, wenn er ihn für eine Pause verlässt. Wer erfolgreich den Desktop von fünf fremden PCs in Abwesenheit auf den Kopf dreht, bekommt eine kleine Belohnung. Die Frage ist nur: Wie messe ich das?

GoPhish verwenden, wie melmax schon erwähnt hat.

Zudem sollten eure Mitarbeiter keine Angst haben, einen Fehler / eine verdächtige E-Mail/Software zu melden.
Jedem passieren mal Fehler. Wichtig ist, dass man aus den Fehlern lernt und dazu steht. Dann dokumentiert man den Fehler in einem Unternehmensinternen Verzeichnis und andere Mitarbeiter können auch davon profitieren.
Psychologisch gesehen nimmt es denn Mitarbeitern den Konformitätsdruck weg, denn jeder kann sehen, dass Person XY, auch einen Fehler begangen hat. Somit scheut man sich weniger davor einen Fehler zu melden.
hschnei
hschnei 26.02.2022 um 16:21:32 Uhr
Goto Top
Hallo,

der Vortrag "36C3 - Hirne Hacken" zeigt einige interessante Ansätze
zu dem Thema.

https://www.youtube.com/watch?v=BreKdM7CKnY


MfG
Hans-Jürgen
adrian138
adrian138 03.03.2022 um 19:54:56 Uhr
Goto Top
Hallo zusammen,

Vielen Dank für die vielen hilfreichen Inputs.

Ich werde GoPhish testen - wir haben im Intranet mit Awarness Infothemen angefangen, wir machen dies monatlich mit einem Thema.

Viele Grüsse,
eXesor
eXesor 07.03.2022 um 21:17:35 Uhr
Goto Top
Hey @adrian138,

ich setzte tatsächlich noch klassisch auf Face2Face Schulungen. Ich hab das sowohl bei einem Mittelständler realisiert, als auch bei etwas größeren Firmen. Neben aktuelle Bedrohungen werden auch die immer "neue" Methoden mit Beispielen aufgezeigt. Was ich jedoch sehr wichtig finde: Bitte pass auf deine Kolleg*innen nicht mit verschiedenen Tests auf den Keks zu gehen. Ich höre immer wieder das Mitarbeiter sich nicht wohlfühlen bzw. genau aus diesem Grund sich nicht trauen die IT nach Hilfe zu fragen. Wenn schon die eigene IT Spam E-Mails verschickt um die Mitarbeiter zu testen, na dann geh ich sicherlich nicht zu den Jungs die mich mit solchen E-Mail verarschen wollen. Ich hoffe du verstehst was ich meine. Ein Mitarbeiter, welchen du dann darauf ansprichst, dass er ja den Test nicht bestanden hat, den hast du mit solchen Spielereien eventuell das Bewusstsein komplett auf dem Boden geschlagen.

Sonst finde ich es eine nette Idee zwischendurch auch sowas zu testen bzw. einfach mal Logs zu zeigen, dass XXX Spam-Emails nur heute geblockt worden sind und einige "leider" trotzdem durchkommen. So sieht ein Mitarbeiter das du nichts aus der Theorie vorbetest, sondern wirklich auf eine bestehende Bedrohung aufmerksam machen willst.

Stay Safe ;)