SECURITY-STRATEGIE20. August 2021

Bitte deutlich mehr Security-Awareness! LTI-Schnitt­stelle für Learning-Management-Systeme hilft

Plädoyer für die LTI-Schnittstelle: Nikolas Schran, Product Owner Cyber Defense Academy, G-DATA CyberDefense
Nikolas Schran, Product Owner Cyber Defense Academy, G-DATA CyberDefenseG-DATA CyberDefense

Im ständigen Wettlauf gegen Cyberattacken reicht der alleinige Einsatz von technologischen Schutzmaßnahmen nicht mehr aus. Den Mitarbeiterinnen und Mitarbeitern kommt eine entscheidende Rolle zu, um Angriffe frühzeitig zu erkennen. Das notwendige Bewusstsein für Cybergefahren und das Wissen erhalten sie durch Awareness-Schulungen. Dank LTI-Schnittstelle (Learning Tools Interoperability) können Banken, Sparkassen und Versicherungen die umfangreichen Inhalte in bestehende Learning-Management-Systeme integrieren.

von Nikolas Schran, Product Owner Cyber Defense Academy, G-DATA CyberDefense

Der aktuelle „State of the Internet“-Sicherheitsbericht von Akamai (Website) bringt es auf den Punkt: Der Finanzsektor ist (und bleibt) ein beliebtes Ziel von Cyberkriminellen. Und das wird bestimmt nicht weniger. So nahm beispielsweise die Zahl der Credential-Stuffing-Angriffe um 45 Prozent innerhalb eines Jahres zu und die Zahl der DDoS-Attacken stieg laut Angaben der Sicherheitsfachleute um 93 Prozent. Für ihre Angriffe nutzen die Täter nicht nur immer wieder neue Technologien, sondern auch raffinierte Tricks, um in Netzwerke einzudringen.

Immer wieder belegen Studien, dass der Faktor Mensch weiterhin das größte Einfallstor für Cyberattacken ist.“

Wie das aktuelle „Lagebild Wirtschaftsschutz NRW“ aus dem Innenministerium des Landes Nordrhein-Westfalen. Demnach hängt die Sicherheit in Unternehmen entscheidend von den Mitarbeitenden und deren Umgang mit technischem Equipment sowie sensiblen Daten und Informationen ab. Auch die Verantwortlichkeit für Sicherheitsthemen ist ein wichtiger Faktor. Das Ergebnis der Studie ist:

Besonders die Sensibilisierung und Schulung der Mitarbeiter ist wichtig, um wirtschaftlich wettbewerbsfähig zu sein. Leider wird an dieser Stelle viel zu wenig getan.“

Sicherheitsfaktor Mensch

Autor Nikolas Schran, G DATA CyberDefense
Nikolas Schran ist verantwortlich für die Dienstleistungen der Cyber Defense Academy  bei der G DATA CyberDefense AG (Website). Nach seinem Studium der Betriebswirtschaft & Wirtschaftspsychologie baute er erfolgreich den Vertrieb eines Internet-Startups auf, das innerhalb von vier Jahren an ein führendes Medienhaus in Deutschland verkauft wurde. Hauptsächlich verantwortet er die Produktsparte der Security Awareness Trainings und entwickelt diese fortlaufend an den Marktbedürfnissen weiter. Darüber hinaus referiert er auf Kongressen und Konferenzen zu Themen rund um IT-Sicherheit und damit verbundenen Dienstleistungen.
Klar ist: Nur mit der Installation einer Endpoint-Protection-Lösung oder der Definition einer Passwort-Regelung lassen sich Netzwerke und kritische Daten nicht ausreichend schützen.

Letztendlich müssen Banken, Sparkassen und Versicherungen sowie FinTechs dafür sorgen, dass sich die Mitarbeitenden nicht nur der aktuellen Gefahrenlage bewusst sind, sondern in der Lage sind, Angriffsmuster frühzeitig zu erkennen und entsprechend zu handeln.

Hier reicht es nicht, Angestellte über die drei größten Gefahren für Cyberattacken – Mails mit infizierten Datei-Anhängen, USB-Sticks mit Schadsoftware oder bösartige Downloads – aufzuklären.“

IT-Sicherheit ist viel umfangreicher. Um das Thema vollständig abzudecken, braucht es einen umfassenden und langfristig ausgelegten Lehrplan. der nach neuesten Lernmethoden Wissen bedarfsgerecht vermittelt. Eine Untergliederung in verschiedene Themenblöcke ist ebenso ein Muss wie ein Einstiegstest zur Standortbestimmung. Denn der Wissensstand bei der IT-Sicherheit geht bei der Belegschaft weit auseinander. Auf Basis dieses Einstiegstest lassen sich die Inhalte für jeden Angestellte*n individuell steuern und priorisieren.

Folgende Themengebiete sollten abgedeckt sein:

  • Die neue Art zu arbeiten – Arbeiten außerhalb des Büros und an öffentlichen Orten
  • Risikomanagement und Passwörter – Sichere Passwörter erstellen und richtig einsetzen
  • Phishing und Malware – Wie Mitarbeiter Malware und Phishing-Versuche erkennen
  • Klassifizierung der zu bearbeitenden und zu speichernden Informationen – Um welche Daten handelt es sich? Wie werden Informationen klassifiziert und warum?
  • Arbeiten in der Cloud – Social Media und sicheres Arbeiten in der Cloud
  • Sicherheitsvorfälle und Reports – Cyber-Security-Vorfälle und Zugangskontrollen
  • Social Engineering – Wie Hacker Mitarbeiter für ihre Angriffe manipulieren
  • Mobile Geräte – Smartphones, Tablets und Co. in der Arbeitswelt sicher einsetzen
  • Umgang mit Informationen – EU-DSGVO, Datenschutz und Privatsphäre

Wissen schafft Sicherheit

Es sprechen einige Gründe dafür, die unternehmenskritischen Inhalte von IT-Sicherheitsschulungen in Vor-Ort-Schulungen mit Anwesenheitspflicht durchzuführen Jedoch lassen sich ab einer bestimmten Unternehmensgröße verpflichtende Präsenzschulungen kaum noch realisieren. Mitarbeitende sind krank, im Urlaub oder dienstlich unterwegs. Die Terminfindung wird so schwierig. Gerade für Banken, Sparkassen und Versicherungen mit verteilten Standorten gerät die Terminkoordination zu einem logistischen Mammutakt.

Awareness-Training per LTI-Schnittstelle würde helfen solche Fehler zu vermeiden ...
G DATA CyberDefense AG

Die Lösung: E-Learnings.

Damit muss keine Rücksicht auf diese Rahmenbedingungen genommen werden. Ein weiterer Vorteil: Lerninhalte etwa zu aktuellen Sicherheitsvorfällen lassen sich kurzfristig für alle Angestellten bereitstellen. So erreichen Informationen zu neuen Angriffsmethoden, wie beispielsweise als Bewerbungsunterlagen getarnte Trojaner, schnell die relevanten Abteilungen.

Hinzu kommt: Wer das Thema grundlegend angeht und nachhaltig bei seinen Mitarbeitern verankern will, muss zwei Dinge beachten: Einerseits ist deutlich mehr Zeit als für ein ein- oder zweitägiges Seminar einzuplanen und andererseits ist dafür Sorge zu tragen, Lerninhalte etwa zu aktuellen Sicherheitsvorfällen kurzfristig für alle Angestellten bereit zu stellen. Gerade Unternehmen mit verteilten Standorten profitieren hiervon. Hinzu kommt: Alle Mitarbeiter erhalten die gleichen Informationen in derselben Form und dozentenunabhängig. Gleichzeitig lassen sich die Trainings auf die persönlichen Vorkenntnisse der einzelnen Mitarbeiter anpassen. Neue beziehungsweise aktuelle Lerninhalte lassen sich schnell integrieren und stehen allen Teilnehmern sofort zur Verfügung. Und nicht zuletzt können Vorgesetzte und Personalverantwortliche dank integrierter Testmodule den Lernfortschritt ihrer Mitarbeiter prüfen.

Per LTI (Learning Tools Interoperability) kann Jeder die IT unterstützen

Im Finanzsektor haben Banken, Sparkassen und Versicherungen die Vorteile von E-Learning erkannt und entsprechende Lernplattformen, sogenannte Learning-Management-Systeme, etabliert. Mitarbeitende erhalten zu den unterschiedlichsten Themen aktuelle Informationen und bleiben so bei Themen wie oder neuen Produkten auf dem aktuellen Stand. Daher bietet es sich an, auch Awareness-Schulungen in diese Plattform zu integrieren. Allerdings fehlt vielen Unternehmen dazu das notwendige Fachwissen, um das Thema in seiner Gänze abzudecken, und auch das entsprechende Personal. Abhilfe können aber externe Dienstleister mit einem entsprechenden Angebot schaffen. Eine Hürde dabei:

Meistens bieten Dienstleister die Schulungen mit einem eigenen LMS an.“

Dies bedeutet auf der einen Seite einen erhöhten Administrationsaufwand, auf der anderen Seite müssen sich die Mitarbeitenden in ein neues System einarbeiten. Die Lösung des Problems? Die heißt LTI – Learning Tools Interoperability (LTI) ist der Standard zur Integration von Lernanwendungen in Lernplattformen. In wenigen Schritten können Verantwortliche externe Schulungsinhalte in ein bereits existierendes LMS einbinden. So reduzieren sie den Aufwand, eine neue Lern-Plattform zu integrieren und sparen auch Lizenzkosten ein. Gleichzeitig können sie neue Lerninhalte allen Beschäftigten schnell zur Verfügung stellen. Weitere Vorteile:

Mitarbeitende lernen in einer ihnen vertrauten Oberfläche im Corporate Design des Unternehmens und benötigen keine zusätzliche Einführung in ein zweites System.“

Um die Web Based Trainings in das System einzubetten, erhalten die Administratoren einmalig einen Consumer Key, sowie für jeden Kurs die URL sowie ein geteiltes Geheimnis. Die Mitarbeitenden können direkt mit dem Training beginnen.

Fazit

Angesichts des weiterhin hohen Bedrohungspotenzials setzen immer mehr Unternehmen auf Awareness Trainings und befähigen so ihre Mitarbeitenden, frühzeitig auf Gefahren wie Phishing-Mails zu reagieren. Daher handeln auch Banken, Sparkassen und Versicherungen weitsichtig, wenn sie ihre Mitarbeiter in das IT-Sicherheitskonzept einbeziehen und IT-Sicherheitsbewusstsein schaffen. Eine Investition in das IT-Sicherheitswissen der Mitarbeiter ist gleichzeitig auch eine Investition in die Zukunft des Unternehmens. Und dank LTI lassen sich Awareness-Schulungen schnell integrieren, sodass Banken, Sparkassen und Versicherungen kurzfristig starten können. Nikolas Schran, G-DATA CyberDefense

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/123672 
 
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Stimmen, Durchschnitt: 5,00 von maximal 5)
Loading...

 

(Visited 254 times, 1 visits today)

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.