Das allgegenwärtige Problem Social Engineering

Der Schwachpunkt bei der IT-Sicherheit sind Ihre Mitarbeitenden. Social Engineering ist in allen Organisationen die größte Sicherheitsbedrohung. Hinzu kommt, dass die Anzahl komplexer Cyberangriffe in alarmierendem Maße wächst. Cyberkriminelle nehmen einfache Ziele ins Visier: Mitarbeitende. Zahlreiche Reports und Whitepaper belegen die massive Zunahme der Cyberangriffe auf Organisationen in den vergangenen fünf Jahren.

Die Bedrohungsakteure setzen bei Ihren Mitarbeitenden an, deshalb ist Security Awareness Training unverzichtbar. Security Awareness Training besteht aus Kursen, die Mitarbeitenden einer Organisation die notwendigen Informationen vermitteln, mit denen sie sich und ihre Organisationen vor Verlusten und Schäden schützen können.

Ziel des Security Awareness Trainings ist es, Mitarbeitende mit dem Know-how zur Abwehr der Bedrohungen auszustatten. Sie dürfen nicht voraussetzen, dass Mitarbeitende alle Arten von Bedrohungen und die entsprechenden Sicherheitsmaßnahmen kennen. Mitarbeitende müssen vom Arbeitgeber zu gefährlichen und sicheren Verhaltensweisen geschult und für Hinweise auf Bedrohungen sensibilisiert werden. Zudem müssen sie mit Vorgehensweisen für den Ernstfall vertraut sein.

Der Ansatz von KnowBe4: Phishing, Training, Analyse

KnowBe4 unterstützt Zehntausende Kunden bei der Bewältigung des allgegenwärtigen Problems Social Engineering. Wir verfügen über die weltweit größte Bibliothek mit Security Awareness Training Content wie interaktiven Modulen, Videos, Spielen, Postern sowie Newslettern und haben es uns zur Aufgabe gemacht, Ihren Mitarbeitenden Tag für Tag die richtigen sicherheitsrelevanten Entscheidungen zu ermöglichen.

KnowBe4 verschafft Ihnen einen doppelten Wettbewerbsvorteil. Erstens liefern wir Organisationen mithilfe zahlreicher Tools und Informationsfeeds einen ausführlichen Überblick über ihr aktuelles Risikoprofil. Dieser Schritt wird von Wettbewerbern häufig übersprungen, ist jedoch unverzichtbar für die Auswahl geeigneter Abwehrmaßnahmen und zur effizienten Risikominimierung. Zweitens setzt KnowBe4 auf lokale Bedrohungsdaten, sodass Sie gezielt Gefahren abwehren können, die speziell gegen Ihre Umgebung gerichtet sind und denen Sie andernfalls schutzlos ausgeliefert wären.

Die meisten Anbieter von Security Awareness Trainings stützen sich in erster Linie auf allgemeine statistische Daten zu allen Phishing-E-Mail-Methoden und Kunden. Sie kommunizieren globale Trends, als ob diese auch für Sie die größte Bedrohung darstellen würden. KnowBe4 weist auf aktuelle globale Trends hin, bietet IT-Administratoren jedoch gleichzeitig die Möglichkeit zu erkennen, was Phishing-Versuche und erfolgreiche Angriffe in der jeweiligen Region vom weltweiten Gesamtbild unterscheidet und wie entsprechend reagiert werden kann.

Der Ansatz von KnowBe4 ist mehrgleisig.

Im ersten Schritt ermitteln wir die spezifische Risikolage Ihrer Organisation. Anschießend bieten wir Ihnen die Möglichkeit, anhand globaler Daten und konkreter Phishing-Versuche, die in Ihrer Organisation erfolgreich waren, erfolgreiche Schutzmaßnahmen vorzubereiten:

1. Baseline Testing

Mit einem ersten simulierten und kostenfreien Phishing-Angriff ermitteln wir, wie anfällig Ihre Nutzer:innen für Angriffe sind (Phish-prone™ Percentage).

2. Nutzer:innen schulen

Profitieren Sie von der weltweit größten Bibliothek für Security Awareness Training Content mit interaktiven Modulen, Videos, Spielen, Postern sowie Newslettern und automatisierten Trainingskampagnen mit Erinnerungs-E-Mails.

3. Nutzer:innen testen

Nutzen Sie branchenführende, voll automatisierte simulierte Phishing-Kampagnen. Tausende Vorlagen mit unbegrenzter Nutzung sowie ständig aktualisierte Community-Phishing-Vorlagen.

4. Ergebnisse analysieren

Präsentieren Sie dem Management anhand detaillierter Reports mit Statistiken und Diagrammen zu Security Awareness Training und Phishing Ihre Erfolge und verbesserungsfähige Bereiche.

Trainingszugriffsstufen

Wir bieten drei Trainingszugriffsstufen an: I, II und III (abhängig von Ihrer Abonnementstufe). Der Security Awareness Training Content ist sorgfältig abgestimmt, sodass die Stufen aufeinander aufbauen. Die einzelnen Abonnements bieten unterschiedliche Stufen mit unterschiedlichen Sprachen und für Mobilgeräte optimiertem Content. Registrieren Sie sich für die KnowBe4 ModStore Training Preview, um sich mit unserer gesamten, laufend aktualisierten Bibliothek vertraut zu machen.

Trainingszugriffsstufe I

(Silver)

Die Trainingszugriffsstufe I vermittelt die Grundlagen für den Aufbau eines Security-Awareness-Training-Programms. Diese Stufe eignet sich optimal für Organisationen, die noch kein Security Awareness Training durchgeführt haben und ein zumindest jährliches Trainingsprogramm ins Leben rufen möchten. Sie erhalten Trainings- und Videomodule, Assessments und Trainingsmaterialien wie Sicherheitsdokumente und Poster. Kunden beginnen häufig mit Stufe I, um ihren Nutzer:innen Security Awareness-Grundlagen zu vermitteln, einschließlich der Gefahr durch Social Engineering. Anschließend wechseln sie dann zur nächsten Stufe der Trainingsinhalte, die einen tieferen Einblick in andere Cybersicherheitsthemen bietet. Wenn ein jährliches Training nicht mehr ausreicht und Sie bereit sind, und Sie häufigere Trainingskampagnen durchführen möchten, können Sie mit den Trainingszugriffsstufen II und III ein umfassenderes und ausgereifteres Security-Awareness-Training-Programm entwickeln.

Trainingszugriffsstufe II

(Gold und Platinum)

Die Bibliothek der Trainingszugriffsstufe II baut auf Stufe I auf und bietet eine größere Vielfalt an Training Content, Formaten und Themen. Von Animationen über Live-Action bis hin zu selbstbestimmtem Lernen – Stufe II eröffnet Ihnen die Möglichkeit, gezieltere Trainings anzubieten, passend zu den Rollen Ihrer Nutzer:innen, der jeweiligen Region und der Branche Ihrer Organisation. Die Auswahl an kurzen Trainingsmodulen, die höchstens fünf Minuten dauern, ermöglicht die problemlose Durchführung häufigerer Trainingskampagnen, sodass Ihre Nutzer:innen wachsam bleiben. Häufigeres Training in kürzeren Abständen kann zu einer Verhaltensänderung beitragen und Security Awareness als Verhaltensgrundlage etablieren.

Trainingszugriffsstufe III (Diamond)

Trainingszugriffsstufe III umfasst alle Trainingsinhalte der Stufen I und II sowie den Zugriff auf die umfangreichste Bibliothek mit Security Awareness Training Content, sodass Ihre Organisation ein fortlaufendes ausgereiftes Awareness-Programm anbieten kann. Stufe III umfasst mehrere preisgekrönte Videoserien in Streaming-Qualität. Die Inhalte der einzelnen Folgen beziehen sich auf die wichtigsten Best Practices zum Thema Cybersicherheit undvermitteln auf ansprechende Weise anhand praxisrelevanter Beispiele, wie die richtigen Sicherheitsentscheidungen getroffen werden. Mit einer breiten Palette an Themen, Formaten, Längen und Stilen von unterschiedlichen Content-Publishern haben Sie mehr Optionen, mit Content auf die spezifischen Bedürfnisse Ihrer Nutzer:innen einzugehen und den Content auf Ihre Organisationskultur abzustimmen. Stufe III bietet Ihnen die Möglichkeit, mit unterschiedlichen Stilen und Formaten für verschiedene Zielgruppen zu experimentieren, um das Engagement der Nutzer:innen zu maximieren. Diese Stufe bietet zusätzlich die Flexibilität, Content selbst passend zu den verschiedenen Abteilungen und regionalen Standorten Ihres Unternehmens zusammenzustellen. Sie können kürzere und häufigere Trainingskampagnen erstellen, sodass sich das Awareness-Programm einfach über das ganze Jahr verteilen lässt. Regelmäßige Kampagnen mit unterschiedlichem Content zu Best Practices im Bereich Sicherheit gewährleisten, dass die Teilnehmer wachsam bleiben. Dieser Mix mit neuem Content sorgt dafür, dass die Teilnehmer die richtigen Handlungsweisen verinnerlichen, ohne immer wieder dasselbe Training absolvieren zu müssen.

Funktionen

Phishing Email Vorlagen

Unsere Bibliothek mit mehrsprachigen Vorlagen umfasst über 30 E-Mail-Kategorien, darunter: Banken und Finanzen, Social Media, IT, Behörden, Online-Services, aktuelle Phishing-Scams, Gesundheitswesen und viele mehr. Außerdem erhalten Sie Zugriff auf einen Community-Bereich, in dem Sie Vorlagen mit Tausenden anderer KnowBe4-Kunden
austauschen können.

Landingpage Vorlagen

Jede Phishing-E-Mail-Vorlage kann auf eine zugehörige Landingpage verweisen, die eine Aufklärung über Points of Failure ermöglicht oder speziell auf das Phishing sensibler Informationen ausgelegt ist. Sie können aus über 200 Landingpages wählen und damit die Reaktion Ihrer Nutzer:innen auf einen Phishing-Test beeinflussen. Ihnen stehen drei Optionen zur Wahl, welche Landingpage Ihren Nutzer:innen angezeigt wird, wenn sie Phishing-Tests nicht bestehen. Sie können

1) eine Standard-Landingpage gestalten

2) eine kampagnenspezifische Landingpage wählen oder

3) eine vorlagenspezifische Landingpage festlegen. Zudem profitieren Sie von Unterstützung für mobilgeräteoptimierte Seiten.

Newsletter

Unter den Kategorien der Phishing-Vorlagen von KnowBe4 finden Sie auch die Newsletter „Scam der Woche“ und „Security Tipps & Tricks“. Mit diesen können Sie Ihre Nutzer:innen über die neuesten Phishing-Scams informieren und grundlegende Sicherheitstipps wiederholen. Nutzen Sie diese Newsletter im Rahmen einer wöchentlichen,
zweiwöchentlichen oder monatlichen Kampagne, wenn Sie eine Phishing-Kampagne in der  KnowBe4-Konsole einrichten.

Assessments

Finden Sie heraus, wo Ihre Nutzer:innen in Bezug auf Sicherheitswissen und Sicherheitskultur stehen. Damit können Sie grundlegende Sicherheitsmetriken festlegen, die sich im Laufe der Zeit verbessern lassen.

Die Assessments von KnowBe4 sind in die KnowBe4-Plattform integriert. Ihnen entstehen keine zusätzlichen Kosten. Mit den Assessments bringen Sie in Erfahrung, welche Nutzer:innen die sichersten Verhaltensweisen in Risikosituationen kennen und wissen, wie sie diese anwenden. Mit diesem Wissen schaffen Sie ein Fundament für die gewünschte Sicherheitskultur in Ihrer Organisation und können den Erfolg Ihrer Trainingsmaßnahmen verfolgen.

Mehrere Sprachen

Lokalisierte Oberfläche und vollständig übersetzte Inhalte für Phishing- und Trainingskampagnen in 35 Sprachen. Administratorkonsole in 10 Sprachen.

Phishing Kampagnen

Mit der KnowBe4-Plattform können Sie ermitteln, für welche Arten von Angriffen Ihre Nutzer:innen anfällig sind, sowie die Nutzer:innen schulen, auf Warnsignale zu achten. Außerdem lässt sich der Phish-prone Percentage Ihrer Organisation berechnen. Erstellen Sie zum Testen Ihrer Nutzer:innen zunächst Phishing-Kampagnen. Durch diese erfahren Sie, welche Trainings Ihre Nutzer:innen benötigen. Sie können dann ein entsprechendes Trainingsprogramm
zusammenstellen.

Phishing Vorlagen anpassen

Sie können sämtliche Systemvorlagen anpassen und auch Anhänge und Makros mit simulierten Inhalten einfügen. Sie haben die Möglichkeit, eigene Phishing-E-Mail-Vorlagen von Grund auf neu zu erstellen oder vorhandenen Vorlagen anzupassen und an Ihre Nutzer:innen zu senden. Sie können sogar noch einen Schritt weiter gehen und Szenarien mithilfe öffentlich zugänglicher und/oder vertraulicher Informationen gestalten sowie gezielte Spear- Phishing-Kampagnen mit Feldern für personalisierte Daten erstellen.

Phishing-E-Mails lassen sich auf unserer Plattform mit Logos versehen und wirken damit authentisch. Die eingebetteten Links verweisen auf die ursprüngliche URL-Adresse des Logos. Damit wird das Bild ausschließlich
beim Eigentümer des Logos gehostet. Folglich gibt es keine Probleme mit den Urheberrechten.

Phish Alert Button

Der KnowBe4 Phish Alert Button erlaubt es Nutzer:innen, E-Mails zur Analyse direkt an das IT-Security-Team weiterzuleiten. Gleichzeitig wird die E-Mail aus dem Postfach gelöscht. Und das alles mit nur einem Klick! Beim Phish Alert Button (PAB) für Microsoft 365 können Sie Ihrer PAB-Instanz Sprachen hinzufügen, sodass die im System der Nutzer:innen festgelegte Sprache verwendet wird.

• Wenn Nutzer:innen in einem simulierten Phishing Security Test auf den Phish Alert Button klicken, wird diese korrekte Reaktion gemeldet.
• Wenn Nutzer:innen den Phish Alert Button für eine nicht simulierte Phishing-E-Mail verwenden, wird die E-Mail direkt an Ihr Incident-Response-Team weitergeleitet.
• Schaltflächentext und Benutzerdialogfelder sind vollständig anpassbar.
• Unterstützte Clients: Outlook 2010, 2013, 2016 sowie Outlook für Microsoft 365, Exchange 2013 und 2016, Outlook im Web (Outlook.com), die Outlook Mobile App (iOS und Android), Chrome 54 und höher (Linux, OS X und Windows), Gmail-Konten mit Google Workspace-Anbindung; Gmail-Add-on mit Gmail im Browser und mobilen Clients kompatibel.

PhishER

PhishER ist als Add-on zu jeder Abonnementstufe erhältlich. Es handelt sich um eine einfache und benutzerfreundliche webbasierte Plattform, die Ihrem InfoSec- und Security Operations-Team hilft, das Spamaufkommen zu überblicken und auf die gefährlichsten Bedrohungen zu reagieren. Diese schlanke SOAR-Plattform (Security Orchestration, Automation and Response) unterstützt Sie beim Orchestrieren von Maßnahmen im Fall von Bedrohungen und beim Umgang mit den zahlreichen potenziell schädlichen E-Mail-Nachrichten, die
Nutzer:innen melden. Wenn Sie KnowBe4 und PhishER gemeinsam in Ihren E-Mail-Sicherheitsworkstream integrieren, entlasten Sie nicht nur Infosec- und IR-Teams und identifizieren echte Bedrohungen, sondern erhöhen auch deutlich die Effektivität Ihres Security-Awareness-Training-Programms. Die Produkte ergänzen sich gegenseitig und helfen nicht nur, E-Mail-Bedrohungen aus den Postfächern Ihrer Nutzer:innen zu entfernen, sondern machen diese echten Bedrohungen zugleich unmittelbar für das Training Ihrer Nutzer:innen verfügbar.

Trainingskampagne

In der KnowBe4-Konsole lassen sich schnell kontinuierliche oder befristete Kampagnen erstellen, Trainingsmodule nach Nutzergruppen auswählen, neue Nutzer:innen automatisch anmelden und Erinnerungs-E-Mails an Nutzer:innen, die ein Training nicht abgeschlossen haben, automatisieren. Es stehen anpassbare Vorlagen für Trainingsbenachrichtigungen zur Verfügung und Sie können Richtlinien für die Nutzerbestätigung vorbereiten sowie Trainingsreports anzeigen. Mithilfe von Trainingskampagnen können Sie den Training Content für Ihre Nutzer:innen im Nutzerbereich anpassen und verwalten.

Nutzerbereich

Der Nutzerbereich von KnowBe4 ermöglicht die Anpassung des Security-Awareness-Training-Plans und bietet ansprechende Gamification-Optionen. Nutzer:innen können ihre Leistungen anhand von Bestenlisten vergleichen und Abzeichen verdienen – während sie zugleich lernen, wie sie die Organisation vor Cyberangriffen schützen. Eine informative, optionale Einführung macht Ihre Nutzer:innen mit der neuen Lernumgebung vertraut. Der Nutzerbereich enthält auch das Nutzer-Dashboard. Hier finden Nutzer:innen eine Übersicht über absolvierte Trainings, einschließlich des Trainingsstatus und der Fälligkeitstermine. Optional können Sie die Phishing-Testergebnisse, den persönlichen Risk Score und Gamification-Statistiken Ihrer Nutzer:innen anzeigen.

KnowBe4 Learner App

Mit der KnowBe4 Learner App können Nutzer:innen die ihnen zugewiesenen Trainingsinhalte bequem über ein Tablet, ein Smartphone oder andere Mobilgeräte absolvieren. Verstärken Sie den Schutz Ihrer größten Angriffsfläche. Denken Sie auch an Mitarbeitende, die während der Arbeit in der Regel keinen Desktop-PC oder Laptop verwenden. Wir haben eine App entwickelt, die sich gleichermaßen an Nutzer:innen und Administrator:innen richtet.

Die KnowBe4 Learner App ist ohne Zusatzkosten in Ihrem Abonnement enthalten und bietet Ihren Nutzer:innen die Möglichkeit, flexibel und rund um die Uhr zu lernen. Die App ist für iOS- und Android-Geräte verfügbar. Sie können Push-Benachrichtigungen für eigene Ankündigungen, Updates bei zugewiesenem Training sowie KnowBe4-Newsletter aktivieren.

Benutzermanagement

Nutzerbereitstellung über Active Directory- oder SCIM-Integration KnowBe4 erleichtert das Benutzermanagement mithilfe der Active Directory Integration (ADI) oder SCIM-Integration für Identitätsanbieter wie Azure, Okta oder OneLogin. Active Directory- und SCIM-Integration ermöglichen den Upload und die Synchronisierung der Daten von Nutzer:innen Ihrer KnowBe4-Konsole. Sie sparen Zeit, da Änderungen an den Daten von Nutzer:innen nicht mehr manuell vorgenommen werden müssen.

Smart Groups

Mit Smart Groups automatisieren Sie Phishing, Training und Reports. Sorgen Sie dafür, dass Ihre Mitarbeitenden automatisch die richtigen Entscheidungen treffen, wenn es um IT-Sicherheit geht. Unsere für Platinum- und Diamond-Kunden verfügbare Funktion „Smart Groups“ ermöglicht dynamische Phishing-Kampagnen, indem Sie Gruppen auf Basis selbstgewählter Kriterien erstellen. Nutzer:innen werden anhand dieser Kriterien dynamisch zu Smart Groups hinzugefügt bzw. aus ihnen entfernt. Bei als dynamisch bezeichneten Kampagnen basiert die Häufigkeit, mit der Nutzer:innen getestet werden, auf deren bei Phishing-Kampagnen erzielten Ergebnissen. Die Funktion eignet sich bestens für Phishing-Tests, Trainingskampagnen und die Generierung einzigartiger Reports. Mit der leistungsstarken Funktion „Smart Groups“ lassen sich Verhalten und Nutzerattribute aller Mitarbeitenden für die individuelle Gestaltung von Phishing-Kampagnen, Trainingsaufgaben, Wiederholungen und Reports verwenden.

Sie können Phishing- und Trainingskampagnen erstellen, die nach der Konfiguration vollständig automatisiert durchgeführt werden. Mitarbeitenden, die auf Phishing-Versuche hereinfallen, lässt sich so beispielsweise unmittelbar ein zusätzliches Training zuweisen, neue Mitarbeitende können automatisch zu einem Onboarding-Training eingeladen werden u. v. m. Sie haben bei jeder Smart Group die Wahl zwischen fünf Hauptkriterien und können dann Trigger, Bedingungen und Aktionen hinzufügen, damit die richtigen Mitarbeitende zur richtigen Zeit die richtigen Phishing-E-Mails oder Trainings erhalten. Das Beste daran ist, dass Sie Reports auf Basis der verfügbaren Kriterien filtern und aufrufen können, die Sie in Ihren „Smart Group“-Regeln verwenden. So können Sie beispielsweise nach bestimmten Kriterien eines Phishing-Ereignisses filtern und einen Report erstellen, aus dem hervorgeht, welche Nutzer:innen sich durch die von Ihnen durchgeführten Phishing-Tests verbessert bzw. nicht verbessert haben, damit Sie dieser Smart Group unterstützende Trainingskampagnen oder fortgeschritten Phishing-Tests zuweisen können.

Beleg für die Funktion des Systems von KnowBe4

Eine Investition in Security Awareness Training und Phishing Security Tests zahlt sich schnell aus. Die Ergebnisse des Benchmarking-Reports Phishing-Risiko nach Branchen von KnowBe4 für das Jahr 2022 zeigen den Phish-prone Percentage vor und nach mindestens 12 Monaten fortlaufendem Security Awareness Training. Branchenübergreifend beträgt der Phish-prone Percentage in Unternehmen beunruhigende 33,2 %. Jedoch kann die Häufigkeit des Fehlverhaltens in nur 90 Tagen um fast die Hälfte – auf nur 18,5 % – reduziert werden. Und zwar durch den Einsatz des „New-School Security Awareness Training“ von KnowBe4. Bei konsequenter Umsetzung dieses Trainings sinkt der Wert für den Phish-prone Percentage nach 365 Tagen auf durchschnittlich nur noch 5,4 %.

Kontaktieren Sie uns!