IT Awareness
Guten Tag,
Welche IT Awarness Kampagnen macht Ihr in Ihrem Betrieb?
Ich habe von "learning yourneys" gehört wo der Benutzer selbständig Videos, Quiz usw. durcharbeiten/spielen kann.
Wisst Ihr davon und habt so eine Lösung in Betrieb, wenn ja welche Lösung ist dies?
Vielen Dank und Grüsse,
Adrian
Welche IT Awarness Kampagnen macht Ihr in Ihrem Betrieb?
Ich habe von "learning yourneys" gehört wo der Benutzer selbständig Videos, Quiz usw. durcharbeiten/spielen kann.
Wisst Ihr davon und habt so eine Lösung in Betrieb, wenn ja welche Lösung ist dies?
Vielen Dank und Grüsse,
Adrian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1995071364
Url: https://administrator.de/forum/it-awareness-1995071364.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
9 Kommentare
Neuester Kommentar
Hi
Psihing Kampangnen (da liefert MS ein paar Sachen, bin mir aber nicht sicher, ob das nur in den E5 Verträgen verfügbar ist), USB Sticks irgendwo rumliegen lassen (die lustige Dinge anrichten) und all so ein Zeug das auch in den Schulungsmaterial angesprochen wird. So als "Veprobung" bzw. Wirksamkeitsmessung der durchgeführten Schulungsmaßnahmen.
Schulungmaterial gibt es bei uns in unterschiedlichen Formen: Videos mit anschließenden Test (u.a. für Informationssicherheit, Datenschutz, Arbeitsschutz usw.), Onlinetrainings, Vor Ort Schulungen usw.
Das gesamte Schulungsmaterial steht auch "offline" zur Verfügung. Additiv dazu auch Umfangreiche Vorgaben, Arbeitsanweisungen und zum Teil Anleitungen wie man mit bestimmten Vorfällen umzugehen hat, ist aber alles noch Ausbaufähig, so lange machen wir das auch noch nicht
Gruß
@clSchak
Psihing Kampangnen (da liefert MS ein paar Sachen, bin mir aber nicht sicher, ob das nur in den E5 Verträgen verfügbar ist), USB Sticks irgendwo rumliegen lassen (die lustige Dinge anrichten) und all so ein Zeug das auch in den Schulungsmaterial angesprochen wird. So als "Veprobung" bzw. Wirksamkeitsmessung der durchgeführten Schulungsmaßnahmen.
Schulungmaterial gibt es bei uns in unterschiedlichen Formen: Videos mit anschließenden Test (u.a. für Informationssicherheit, Datenschutz, Arbeitsschutz usw.), Onlinetrainings, Vor Ort Schulungen usw.
Das gesamte Schulungsmaterial steht auch "offline" zur Verfügung. Additiv dazu auch Umfangreiche Vorgaben, Arbeitsanweisungen und zum Teil Anleitungen wie man mit bestimmten Vorfällen umzugehen hat, ist aber alles noch Ausbaufähig, so lange machen wir das auch noch nicht
Gruß
@clSchak
Zitat von @adrian138:
Hallo clSchak,
Vielen Dank für die Infos.
Ich bin eher auf der Suche nach einer E-Learning Plattform wo die Benutzer das KnowHow selbst und jederzeit erarbeiten können.
Viele Grüsse,
Adrian
Hallo clSchak,
Vielen Dank für die Infos.
Ich bin eher auf der Suche nach einer E-Learning Plattform wo die Benutzer das KnowHow selbst und jederzeit erarbeiten können.
Viele Grüsse,
Adrian
Moin Adrian,
da gehst Du aus meiner Sicht von komplett falschen Voraussetzungen aus. In der Regel interessiert die Benutzer das alles nicht, für die soll es funktionieren. Wie das funktioniert, ist komplett egal. Da wird sich niemand hinsetzen und sich das selbst beibringen. Autovergleichsbeispiel: Wenn Du Auto fährst, willst Du auch nicht wissen, warum und wie das Auto fährt. Vielmehr musst Du Dir überlegen, wie Du die Mitarbeiter motivieren kannst, dass sie auf verdächtige Mails achten und ein gesundes Misstrauen entwickeln. Wenn Du das schaffst, hast Du fast das Optimum erreicht. Es ist auch problematisch, das Thema allzusehr in den Mittelpunkt zu stellen, das ermüdet die Mitarbeiter nur (oh, er hat schon wieder "ACHTUNG" gerufen, es passiert aber gefühlt nie etwas, das nutzt sich ab). Aus eigener Erfahrung kann ich auch sagen, dass speziell zum Wochenende hin die Aufmerksamkeit absolut nachlässt. Bei uns gab es eine Handvoll Fälle, in den die Nutzer Links aus Spam-Mails nicht nur angeklickt, sondern danach auch noch eigene Daten auf der Phishing-Seite eingegeben haben. Zeitpunkt: Immer Freitag Nachmittag.
Bleibt also neben regelmäßigen Sicherheitsschulungen nur das Aufsetzen einer eigenen Testplattform zum Versenden von Phishing Mails, sofern Du das selbst leisten kannst oder du lagerst das aus:
https://phish-test.de/
Auch nett:
https://phishingquiz.withgoogle.com/
Viel Erfolg!
Gruß
Coreknabe
Hallo Adrian,
aus meiner Sicht gehört beides zusammen - lernen (lassen) und dann auch prüfen ob was kleben geblieben ist.
Wir haben bei uns einerseits ein eLearning laufen, ich selbst bin aber eher ein Freund von Face2Face Trainings bei wichtigen Themen. Unsere Teilnehmer haben vor allem die "Live Hacks" genial gefunden. Das wird jedoch zunehmend schwieriger bei mehr als 1500 Usern.
Daneben verwende ich GoPhish um die User zu testen. Kostet nichts, ist schnell implementiert und kann relativ einfach mit Templates befüllt werden.
Liebe Grüße
Melmax
aus meiner Sicht gehört beides zusammen - lernen (lassen) und dann auch prüfen ob was kleben geblieben ist.
Wir haben bei uns einerseits ein eLearning laufen, ich selbst bin aber eher ein Freund von Face2Face Trainings bei wichtigen Themen. Unsere Teilnehmer haben vor allem die "Live Hacks" genial gefunden. Das wird jedoch zunehmend schwieriger bei mehr als 1500 Usern.
Daneben verwende ich GoPhish um die User zu testen. Kostet nichts, ist schnell implementiert und kann relativ einfach mit Templates befüllt werden.
Liebe Grüße
Melmax
Erfahrungsgemäß lernen Mitarbeiter beim Lösen von Quiz-Aufgaben ziemlich genau nichts. Hätten wir lieber unsere Zeit mit dem Singen von Weihnachtsliedern verbracht. Selbst das wäre sinnvoller gewesen. Das selbe gilt für Videos anschauen, schätze ich. Der Nutzer muss das Wissen praktisch anwenden können. Der Nutzer muss begreifen, weshalb ein Passwort "stark" sein muss, nicht weil wir per Richtlinien dich ärgern wollen. Weshalb sollte man den PC beim Verlassen sperren? (WIN + L) Wofür braucht man Authentifizierung? Usw. usf.
Punkte auf die ich achten würde:
Ich bekomme jedes mal Schnappatmung, wenn ich beim Vorbeigehen einen verlassenen, ungesperrten Windowsrechner erspähe.
Ihr müsst Richtlinien, Leitlinien, Prozeduren, Mindestanforderungen und Standards festlegen und sie in einem öffentlichen Verzeichnis aufrufbar machen.
Merke: Leitlinien sind Empfehlungen und somit fakultativ. Der Rest ist obligatorisch.
Erteilt den Mitarbeitern den Auftrag sich gegenseitig den Bildschirm auf den Kopf zu drehen mit CTRL + ALT + Pfeiltaste nach Unten, um sich gegenseitig zu ärgern, bis der letzte Depp den PC sperrt, wenn er ihn für eine Pause verlässt. Wer erfolgreich den Desktop von fünf fremden PCs in Abwesenheit auf den Kopf dreht, bekommt eine kleine Belohnung. Die Frage ist nur: Wie messe ich das?
GoPhish verwenden, wie melmax schon erwähnt hat.
Zudem sollten eure Mitarbeiter keine Angst haben, einen Fehler / eine verdächtige E-Mail/Software zu melden.
Jedem passieren mal Fehler. Wichtig ist, dass man aus den Fehlern lernt und dazu steht. Dann dokumentiert man den Fehler in einem Unternehmensinternen Verzeichnis und andere Mitarbeiter können auch davon profitieren.
Psychologisch gesehen nimmt es denn Mitarbeitern den Konformitätsdruck weg, denn jeder kann sehen, dass Person XY, auch einen Fehler begangen hat. Somit scheut man sich weniger davor einen Fehler zu melden.
Punkte auf die ich achten würde:
- Social Engineering, auch physisch, keine herumliegende USB-Sticks anschliessen! (Danke, clSchak)
- BYOD / IOT / Schatten-IT
- Phishing (Teil von Social Engineering)
Ich bekomme jedes mal Schnappatmung, wenn ich beim Vorbeigehen einen verlassenen, ungesperrten Windowsrechner erspähe.
Ihr müsst Richtlinien, Leitlinien, Prozeduren, Mindestanforderungen und Standards festlegen und sie in einem öffentlichen Verzeichnis aufrufbar machen.
Merke: Leitlinien sind Empfehlungen und somit fakultativ. Der Rest ist obligatorisch.
Erteilt den Mitarbeitern den Auftrag sich gegenseitig den Bildschirm auf den Kopf zu drehen mit CTRL + ALT + Pfeiltaste nach Unten, um sich gegenseitig zu ärgern, bis der letzte Depp den PC sperrt, wenn er ihn für eine Pause verlässt. Wer erfolgreich den Desktop von fünf fremden PCs in Abwesenheit auf den Kopf dreht, bekommt eine kleine Belohnung. Die Frage ist nur: Wie messe ich das?
GoPhish verwenden, wie melmax schon erwähnt hat.
Zudem sollten eure Mitarbeiter keine Angst haben, einen Fehler / eine verdächtige E-Mail/Software zu melden.
Jedem passieren mal Fehler. Wichtig ist, dass man aus den Fehlern lernt und dazu steht. Dann dokumentiert man den Fehler in einem Unternehmensinternen Verzeichnis und andere Mitarbeiter können auch davon profitieren.
Psychologisch gesehen nimmt es denn Mitarbeitern den Konformitätsdruck weg, denn jeder kann sehen, dass Person XY, auch einen Fehler begangen hat. Somit scheut man sich weniger davor einen Fehler zu melden.
Hallo,
der Vortrag "36C3 - Hirne Hacken" zeigt einige interessante Ansätze
zu dem Thema.
https://www.youtube.com/watch?v=BreKdM7CKnY
MfG
Hans-Jürgen
der Vortrag "36C3 - Hirne Hacken" zeigt einige interessante Ansätze
zu dem Thema.
https://www.youtube.com/watch?v=BreKdM7CKnY
MfG
Hans-Jürgen
Hey @adrian138,
ich setzte tatsächlich noch klassisch auf Face2Face Schulungen. Ich hab das sowohl bei einem Mittelständler realisiert, als auch bei etwas größeren Firmen. Neben aktuelle Bedrohungen werden auch die immer "neue" Methoden mit Beispielen aufgezeigt. Was ich jedoch sehr wichtig finde: Bitte pass auf deine Kolleg*innen nicht mit verschiedenen Tests auf den Keks zu gehen. Ich höre immer wieder das Mitarbeiter sich nicht wohlfühlen bzw. genau aus diesem Grund sich nicht trauen die IT nach Hilfe zu fragen. Wenn schon die eigene IT Spam E-Mails verschickt um die Mitarbeiter zu testen, na dann geh ich sicherlich nicht zu den Jungs die mich mit solchen E-Mail verarschen wollen. Ich hoffe du verstehst was ich meine. Ein Mitarbeiter, welchen du dann darauf ansprichst, dass er ja den Test nicht bestanden hat, den hast du mit solchen Spielereien eventuell das Bewusstsein komplett auf dem Boden geschlagen.
Sonst finde ich es eine nette Idee zwischendurch auch sowas zu testen bzw. einfach mal Logs zu zeigen, dass XXX Spam-Emails nur heute geblockt worden sind und einige "leider" trotzdem durchkommen. So sieht ein Mitarbeiter das du nichts aus der Theorie vorbetest, sondern wirklich auf eine bestehende Bedrohung aufmerksam machen willst.
Stay Safe ;)
ich setzte tatsächlich noch klassisch auf Face2Face Schulungen. Ich hab das sowohl bei einem Mittelständler realisiert, als auch bei etwas größeren Firmen. Neben aktuelle Bedrohungen werden auch die immer "neue" Methoden mit Beispielen aufgezeigt. Was ich jedoch sehr wichtig finde: Bitte pass auf deine Kolleg*innen nicht mit verschiedenen Tests auf den Keks zu gehen. Ich höre immer wieder das Mitarbeiter sich nicht wohlfühlen bzw. genau aus diesem Grund sich nicht trauen die IT nach Hilfe zu fragen. Wenn schon die eigene IT Spam E-Mails verschickt um die Mitarbeiter zu testen, na dann geh ich sicherlich nicht zu den Jungs die mich mit solchen E-Mail verarschen wollen. Ich hoffe du verstehst was ich meine. Ein Mitarbeiter, welchen du dann darauf ansprichst, dass er ja den Test nicht bestanden hat, den hast du mit solchen Spielereien eventuell das Bewusstsein komplett auf dem Boden geschlagen.
Sonst finde ich es eine nette Idee zwischendurch auch sowas zu testen bzw. einfach mal Logs zu zeigen, dass XXX Spam-Emails nur heute geblockt worden sind und einige "leider" trotzdem durchkommen. So sieht ein Mitarbeiter das du nichts aus der Theorie vorbetest, sondern wirklich auf eine bestehende Bedrohung aufmerksam machen willst.
Stay Safe ;)