1 / 56

Cutting Edge CyberSec Awareness, built with in Cologne.

Cyber-Security-Awareness messbar machen – Best-Practices und Data-Stories aus Phishing- Simulationen in Unternehmen IT-Trends Sicherheit 2019 Dr. Niklas Hellemann. Cutting Edge CyberSec Awareness, built with in Cologne. Lukas Schaefer Produktmanagement

annew
Download Presentation

Cutting Edge CyberSec Awareness, built with in Cologne.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Cyber-Security-Awareness messbarmachen – Best-Practices und Data-Stories aus Phishing-Simulationen in Unternehmen IT-Trends Sicherheit 2019 Dr. Niklas Hellemann

  2. Cutting Edge CyberSec Awareness,built with in Cologne. • Lukas Schaefer • Produktmanagement • Volks- und Betriebswirt • 4 Jahre Erfahrung als Berater bei McKinsey • Felix Schürholz • Technische Produktentwicklung • Software-Entwickler • 8 Jahre Erfahrung mit Plattform-Entwicklung • Dr. Niklas Hellemann • Vertrieb und Inhaltl. Entwicklung • Dipl.-Psychologe • 6 Jahre Erfahrung als Berater bei BCG • + 22 Mitarbeiter mit • verschiedenen Hintergründen • Cyber-Security • Software-Entwicklung • Grafikdesign • Wirtschaftsingenieurwesen • Marketing

  3. Cybersecurity istfürFirmenwichtigerdenn je.

  4. Phishing: Die Opfersind mal mehrund mal weniger prominent.

  5. Technische Barrieren sind gut und sinnvoll – schließen aber nicht alle Lücken. 156 Mio Phishing-Mails werden täglich versandt Jedezweite Phishing-Mail wirdgeöffnet. 16 Mio kommen durch Spam-Filter 8 Mio werden geöffnet Nutzer Filter 80% aller Mitarbeiter könnendifferenzierte Phishing-Mails nichterkennen. Quellen: Symantec, McAfee, Verizon

  6. Klassische Awareness-Formatesind ein guter Anfang… • Kommunikations- • kampagnen • Gehen in der Nachrichtenflut unter • Teilweise schwer übertragbar • Nutzen sich schnell ab • Klassische Offline-Formate(z.B. Präsenzkurse) • Kosten- und zeitintensiv • Wenig flexibel • Schwer auf alle Mitarbeiter übertragbar Die tagtäglicheUmsetzung von Wissen in Handeln bleibt ein Problem

  7. Was hat plastischeChirurgiemitCybersecurity zu tun? Es dauert (mind.) 21 Tage um sich an einneuesGesichtzugewöhnen. Quelle: James Clear (2017)

  8. Unsere Plattform hilft Mitarbeitern effizient,nachhaltig sicheres Verhalten zu entwickeln. SoSafe simuliert realistische Angriffeauf Mitarbeiter und gibt diesen Echtzeit-Feedback Mitarbeiter erhalten Hinweise zur Cybersicherheit durch eine interaktive eLearning-Suite mit Micro-Content-Modulen Firmen erhalten Transparenz zur Anfälligkeit ihrer Organisation für Phishing-Angriffe – Mitarbeiter werden motiviert durch direktes Feedback

  9. Wie läuft die Simulation einer Phishing-Attacke ab? Versand von E-Mails mit typischen Angriffsszenarien Die Mitarbeiter erhalten E-Mails, wie sie auch von echten Hackern verschickt würden – dabei werden sie zum Klicken von Links oder dem Download von Dateien angeregt. Umgehende Entwarnung und Aufklärung Klickt ein Nutzer auf einen der Links, öffnet sich ein Browserfenster. Auf der dann erscheinenden Seite kann z.B. Ihr Firmenlogo eingebunden werden und der Nutzer erhält eine Info zur Simulation. • Sofortiges Feedback mit Hinweisen zur konkreten E-Mail • Der Nutzer erhält auf der gleichen Infoseite auch differenzierte Hinweise (in Form sog. „Tooltips“), woran er die E-Mail als Phishing-Versuch hätte identifizieren können.

  10. Unsere Mail-Templates bilden Taktiken und Szenarien echter Angriffe nach. Identität • Adress-Spoofing • Echte Absender-Domain Versch. Login-Masken (Google Docs, Dropbox, etc.) Anhänge/Malware Technischer Vektor Motiv • Geld • Datensätze • Geschäftsgeheimnisse • Persönliche Motive Druck Gier Vertrauen/Hilfsbereitschaft Anerkennung Angst Lob/Schmeicheln Flirt Neugier • Beruflich • Freizeit/Hobby • Persönlich/Privat • Öffentlich Psychologische Mechanismen Kontext Zusätzliche Differenzierung nach: Funktion des Empfängers Grad der Individualisierung Schwierigkeitsgrad Sprache

  11. Kurze, witzige Micro-Content-Modulevertiefen die Themen laufend im Arbeitsalltag. Module sind in eine übergreifende Storyline eingebettet

  12. DifferenzierteReportingshelfenunserenKunden, Maßnahmenabzuleiten. Einheit 1 23% 18% • Allgemeine Klickrate: • Klickratenachtechn. Methoden: • Domain-Spoofing: • Domain-Squatting: • Anhang: • Login-Page: • KlickratenachSchwierigkeitsgraden: • Leicht: • Mittel: • Schwer: Einheit 2 29% 15% 12% 14% 17% 25% 28% 32% 12% 14% 17% 25% 28% 32%

  13. Wir sehen z.T. dramatische Klickraten,die wir aber substantiell reduzieren können. ~18% durchschnittlicheKlickrate auf alle initial versandten Templates (5 per Mitarbeiter) • >70% • aller Mitarbeiter klickenmindestens auf eines der 5 initial versandten Templates 74% der Mitarbeiter, die auf eine Mail geklickthaben, gebenauchDaten auf einer Fake-Login-Seiteein ~59% Reduktion der KlickratennachinitialerSensibilisierung Quelle: Kundenprojekte Q1-Q3/2018

  14. Weitere interessante Beobachtungen: Routine macht blind. Klickraten Templates Grüße von der … Quelle: Klickraten verschiedener Templates, SoSafe Kundenprojekt Q1 2019

  15. Übersteigerte Autoritätshörigkeit verführt Mitarbeiter zu Unachtsamkeit. Klickrate bei unterschiedlichem Absender, aber identischem Inhalt 40% 24% Assistenz des Vorgesetzten Vorgesetzter Quelle: Klickraten auf Phishing-Links in zwei inhaltlich identischen E-Mail-Templates mit unterschiedlichen Absendern bei einem unserer Kunden, Q1 - 2019

  16. „Loose lips save ships!“ –Oder: Flurfunk schützt Klickrate Phishing-Mails nach Organisationsform 30% 12% x3 Zentral (1 Standort, kein remote work) Dezentral (global verteilt, remote work) Quelle: Klickraten zweier Kurz-Kampagnen bei zwei Kunden vergleichbarer Größe, aber unterschiedlicher Organisationsform, vergleichbare Templates, Q1 - 2019

  17. Best Practice: Simulationen und tiefergehendeVermittlungsollten Hand in Hand gehen. Meldefunktion über Plugin Kurze Intitialphase (~2 Wochen) Laufende Sensibilisierung (über den Rest des Jahres) 12 Monate Zugriff(eigene Plattform oder SCORM) auf 10 E-Learning-Module zu weiterführenden IT-Sicherheits-Themen Live Reporting (Self-Service) über Klickraten und automatisierte Vorlagen zur Kommunikation Kommunikation Vorab-Ankündigung Kommunikation Zwischenstand Kommunikation Implikationen

  18. Unsere Erfahrungen für erfolgreiche Phishing-Simulationen – „Dos …“ Datenschutz priorisieren • Keine Erhebung individuellen Klickverhaltens • Keine Speicherung eingegebener Formulardaten • FAQs erklären Mitarbeitern Datenverwendung Mitarbeiter mitnehmen • Vorankündigung Simulation an Mitarbeiter • Ca. 1 Woche vorher per Rund-Mail • Wider Erwarten dennoch hohe Klickraten Transparenz herstellen • Einbindung aller Stakeholder (Mgmt., BR, IT, DSB) • Ziel & Mehrwert Kampagne hervorheben • Management IT-Support-Tickets durch Routing Auf Insights folgt Action • Phishing-Simulation mit E-Learning kombinieren • Veränderung Klickraten durch E-Learning tracken • Psych. Taktiken analysieren und gezielt schulen

  19. „ … and Don‘ts“ Simulation im „Stealth-Modus“ • Unzufriedenheit bei Managern über erhöhtes Mailaufkommen aufgrund von Weiterleitungen • Wahrnehmung von „Cyber Security“ als negativ besetztes Thema, weil Mehrwert nicht klar ist Reiner Phishing-Test ohne E-Learning • Kann von Mitarbeitern als Misstrauen (negativ) anstelle von Lernangebot (positiv) wahrgenommen werden • Maßnahme erzeugt Kosten, aber keine Verbesserung für die Zukunft Nicht alle Mitarbeiter einzubeziehen • Punktuelle Tests der Organisation zeigen nicht das vollständige Bild • Echte Hacker greifen meist an der schwächsten Stelle an – kann vom Manager bis Pförtner überall sein

  20. Gut gemachte Phishing-SimulationensindbeiMitarbeiternsehrbeliebt! ~4,8/5 Durchschn. Berwertungdurch die Mitarbeiter unsererKunden. „Wie gut fanden Sie die versendete, simulierte Phishing-Mail?“ >94% bewerten die Maßnahmealssinnvoll. „Die simulierten Mails helfen dabei, derartige Angriffe greifbar zu machen.“

  21. Amateurs hack systems, professionals hack people. ” Bruce Schneier, Expert on Cryptography and Information Security, Harvard University SoSafe GmbH Venloer Str. 240 50823 Köln info@sosafe.de

  22. BACKUP

  23. Für gesteigerten Schutz ist Awareness in tagtägliches Handeln umzusetzen. Lernen am Objekt ermöglichen Aufmerksamkeit fortdauernd aktivieren Mitarbeiter nachhaltig motivieren Ratio Inzidentelles Lernen effektiver als rein klassisches eLearning Kleine „Stupser“ stimulieren Awareness der MA kontinuierlich Spielerische Elemente ver-ankern sichere Gewohnheiten Simulierte Phishing-E-Mails und weitere Angriffe (Voice Phishing) Micro-Learning-Formate und Reminder (z.B. an PW-Änderung) “Challenges“ (z.B. Quizze) und „Badges“ (virtuelle Pokale) Beispiele

  24. Our strong expert boardcloselysupportsusalongourstrategicroadmap. Prof. Dr. Michael Meier Head ofCyber Security at Fraunhofer FKIE, Chair forinformationsecurity, University of Bonn • Prof. Dr. • Gernot Heisenberg • Predictive Analytics, Insitituteofinformationscience, Technical University Cologne Peter Meyer Head of Internet Security at eye/o, Cyber Sec expert, Ex-eco - Association of the Internet Industry, Ex-McAfee Lukas Lindner Security Expert, Senior Systems Engineer at Fortinet

  25. Das Logo-Slide ;) Breite Erfahrung in DACH Tiefe Branchenverankerung Wissenschaftliche Fundierung Intl. Tourismus-unternehmen Parlamentsfraktion Nationaler Sicherheits-dienstleister Gesundheits-dienstleister • Kunden aus zahlreichen Industrien / Sparten, wie Handel, Industriegüter, KRITIS, Werbung & Medien, etc. • Kooperationen mit zahlreichen Branchenverbänden, Speaker-Slots auf Messen, Artikel in Fachzeitschriften • Akademischer Expertenbeirat aus führenden Institutionen

  26. Phishing und Social Engineering sind insbesondere ein dramatisches Problem. 91% 83% € 3Mio aller Cyber-Angriffe starten mit einer Phishing-Mail. aller Unternehmen weltweit haben in 2018 einen Phishing-Angriff erfahren. Kosten werden in jedem mittelgroßen Unternehmen pro Jahr durch Phishing verursacht. Quellen: PhishMe; Proofpoint ; Friedrich-Alexander-Universität Erlangen-Nürnberg, Kent State University, Forbes Magazine

  27. WichtigsindunsMehrwert und Umsetzbarkeit der KPIs. • Klickraten nach psychologischer Taktik

  28. AktuellesBeispiel:Phishing-WellealsBewerbungsmails. • https://www.polizei-praevention.de/aktuelles/bewerbungsmail-mit-schadsoftware-im-anhang.html

  29. Hence, thecybertrainingmarketisshowingsteepgrowth. Yearly spending on security awareness training for employees • 10bn Global corporate LMS 1market CAGR 2018-2023 +28% CBT 2securityawarenessmarketCAGR 2016-2019 +55% +20% CAGR 1bn “Security awareness training for employees is the most underspent sector of the cybersecurity industry” Cybersecurity Ventures, 2017 2014 2027 Sources: Gartner, Research & Markets, Markets and Markets. 1. Learning Management Systems 2. Computer-basedtraining

  30. Beispiel: Salesforce.

  31. Beispiel: Salesforce.

  32. Beispiel: Salesforce.

  33. Praxisbeispiel: Inzidentelles Lernen • Inzidentelles Lernen • Findet außerhalb klassischer Lehrumgebungen statt • Erfolgt vielmehr „beiläufig“ im privaten oder beruflichen Umfeld • Ad-hoc-Feedback ermöglicht dabei iteratives/effektives Lernen • Beispiel: Sprachreise • Sprachschüler setzt sich neuem regionalen Umfeld aus • Durch Interaktion mit Menschen/Kultur lernt er Sprache kennen • Die Sprache wird kontextuell („am Objekt“) verinnerlicht

  34. Praxisbeispiel: Nudging • Nudging • Kleine lenkende „Stupser“, die Menschen freiwillig zu erwünschten Handlungen bewegen • Handlungen werden nicht durch Verbote/Gebote, sondern motivational durch Emotionen/unbewusste Prozesse initiiert • Beispiel: Platzierung von Speisen am Buffet • Wird an einem Kantinenbuffet Obst erhöht in Griffnähe, Gebäck aber weiter hinten präsentiert, so wird öfter zum Obst gegriffen • Ein hinter dem Buffet platzierter Spiegel hat denselben Effekt • Kantinengäste bilden so gesunde Ernährungsgewohnheiten

  35. Praxisbeispiel: Gamification • Gamification • Anwendung spiel­typischer Elemente in spielfremden Kontexten • Verhalten wird durch spielerische Elemente hervorgerufen • Motivation ermöglicht Gewohnheitsveränderungen • Beispiel: Schrittwettbewerb „Global Corporate Challenge“ • 2015 traten in D 80.000 Mitarbeiter in Teams gegeneinander an • Team mit den meisten Schritten nach 100 Tagen gewann • Mitarbeiter bildeten so gesunde Bewegungsgewohnheiten

  36. Gamification – spielendleicht. ErwünschteVerhaltensweisendefinieren Dem Ganzeneinen Sinn geben (Testen und) Feedback geben Belohnen und informieren Sichtbarmachen! Beispiel:

  37. Unsere eLearning-Module decken alle relevanten Awareness-Bereiche ab. Spam & Phishing Grundlagen der Cybersicherheit • Hintergrundinfos & Beispiele zu jedem Modul Spear-Phishing (Social Hacking) Kollaborations- & Remote-Tools • Praktische Anleitungen & Tricks Passwort- Sicherheit Malware, Ran-somware & Co Social Media und Messaging Smartphone-Sicherheit • Abschließendes Quiz zur Kontrolle des Lernerfolgs Datenschutz/ DSGVO Basics Datenträger-Sicherheit

  38. Ein simulationsbasiertes Spiel istAusgangspunktfür den User.

  39. Mit unserem Dashboardwird Awareness messbar. Messbare Erfolge Öffnungs-, Klick- und Eingabe-Quoten auf einen Blick. Identifikation der gefährlichsten Taktiken. Fortschrittsübersicht der Mitarbeiter im E-Learning. Schutz der Persönlichkeit Auswertung der Klickraten etc. nur in aggregierter Form (auf Wunsch kann z.B. nach Abteilungen geschnitten werden). „Risikofreies“ Umfeld für Ihre Mitarbeiter. Klare Handlungsempfehlungen Ableitung der individuell sinnvollsten nächsten Schritte. Empfehlung bezüglich der Frequenz einer kontinuierlichen Bewusstseinsschaffung im Arbeitsalltag.

  40. Unser Plugin für Outlook/Office 365 stärkt die Reporting-Kultur und entlastet die IT.

  41. 1. Verhaltensweisendefinieren.

  42. 2. Sinn geben.

  43. 3. (Testen und) Feedback geben.

  44. 4. Belohnen.

  45. 5. Sichtbarmachen.

  46. Verschiedenste Angriffsszenarien und Vektoren werden veranschaulicht. Beispiele s.mueller@beispielfirma.de-server.info

  47. Unsere Phishing-Templates sind realistisch und an aktuellsten Angriffen orientiert. Beispiele t.kerner@beispielfirma.de-server.info http://beispielfirma.de-server.info/impressum coehn-willmann.de-server.info mailto: t.kerner@beispielfirma.de-server.info coehn-willmann.de-server.info

  48. Unser Reporting lässtsichdirekt in die Kommunikationeinbinden. Hintergründe erfolgreicher Angriffe werden noch einmal praktisch aufbereitet

  49. AlseinzigerAnbietererhebenwir das Mitarbeiterverhalten anonym – nichtanonymisiert. ÜblicherProzess Mitarbeiter- daten Server (Pseudo- nomysierung) Versand durch Gesamtsystem Tracking Klickdaten Speicherung (pseudonymisiert) Auswertung Reporting (aggregiert) Zuordnung theoretisch immer noch möglich @ Aufruf Infoseiten Mitarbeiter- daten Versanddurch getrenntes System Zuordnung (nahezu) ausgeschlossen Getrennte Auszählung Auswertung Reporting (aggregiert)

  50. Wir bieten zwei grundsätzliche Leistungspakete an. Basic: Standardisierte Packages Automatisierte Simulation und Infomaterialien – Nutzung zugeschnittener Branchenpakete möglich. Pro: Individuelles Package Individuell angepasste Templates zur Imitation eines gezielten Angriffs auf ein spezielles Unternehmen. • Automatisiert auf das Unternehmen angepasste Mail-Templates unterschiedlicher Schwierigkeitsgrade (auf Basis von Branchenpaketen) – initialisiert durch den Kunden per Web-Tool • Individuelle Templates, spezifisch angepasst auf den konkreten Kontext und nach Wunsch des Kunden • Lernseiten zur Information der Mitarbeiter individualisiert und angepasst mit Kundenlogo und / -texten • Differenzierte Ausspielung und Reporting nach Organisationseinheiten, Standorten, Hierarchieebenen, o.ä. • Zugriff auf unsere E-Learning Module über unser proprietäres Learning Mgmt. Systems zur Nachhaltung des Lernerfolgs • Zugriff auf unsere E-Learning Module über unser proprietäres Learning Mgmt. Systems zur Nachhaltung des Lernerfolgs • Anpassung des E-Learning-Portals mit Kundenlogo • Auswertungen/Statistiken zur durchgeführten Kampagne • Auswertungen/Statistiken zur durchgeführten Kampagne • Zugriff auf Vorlagen zur internen Kommunikation, Awareness-Screensaver, Poster, u.v.m. • Zugriff auf Vorlagen zur internen Kommunikation, Awareness-Screensaver, Poster, u.v.m. • Phishing-Melde-Plugin für Outlook/Office365

More Related