15 KiB
15 KiB
tags:: AEVO
-
Verordnung & Rahmenplan
-
Unterweisung IT-Sicherheit
-
Gliederung
-
Thema der Unterweisung
- Gefahren im Umgang mit E-Mails analysieren und geeignet Sicherheitsmaßnahmen auswählen und umsetzen.
-
Angaben zum Betrieb
- Die KRAH-Gruppe ist ein Elektronikunternehmen, welches mit ihren ca. 2.000 Mitarbeitern weltweit auf eine 50-jährige Erfolgsgeschichte zurückblicken kann. Am Standort in Drolshagen sind ca. 190 Mitarbeiter beschäftigt. Im Unternehmen werden verschiedene Berufe ausgebildet.
- Die Digitalisierung und Unterstützung der Fachbereiche mit IT-Services schreiten stetig voran, weshalb künftig auch im Bereich Informationstechnologie ausgebildet werden soll. Das Unterweisungsthema „TODO“, ist ein wichtiger Bestandteil der Dienstleistungen, die der IT-Bereich unseren internen Kunden anbietet.
-
Adressatenanalyse
- Der 17-jährige Philip Mustermann befindet sich seit 01.08.2022 in einem Ausbildungsverhältnis zum Fachinformatiker (Fachrichtung: Anwendungsentwicklung) bei der Firma KRAH Elektrotechnische Fabrik GmbH & Co. KG in Drolshagen.
- Zuvor besuchte er das Gymnasium bis zur 10. Klasse und erlangte die Mittlere Reife / Sekundarabschluss I. Philip ist ein ruhiger und besonnener, sehr interessierter und engagierter Jugendlicher, der stets mit großem Interesse arbeitet und über eine schnelle Auffassungsgabe verfügt.
-
Richtlernziel
- Lfd. Nr. 6: Umsetzen, Integrieren und Prüfen von Maßnahmen zur IT-Sicherheit und zum Datenschutz (§4 Abs 2 Nummer 6)
-
Groblernziel
- b) Sicherheitsanforderungen von IT-Systemen analysieren und Maßnahmen zur IT-Sicherheit ableiten, abstimmen, umsetzen und evaluieren
-
Geplanter Ablauf der praktischen Durchführung mit einem Lehrgespräch
- Sicherheitsmaßnahmen
- Eingehende E-Mails
- E-Mail und Anlagen löschen
- Anlagen und Links in sicherer Umgebung öffnen
- Sensibilisierung und Information an Mitarbeiter (interne Kunden)
- automatische Filter (nach Inhalt, Analgentyp)
- Ausgehende E-Mails
- Vertrauliche und sensibile Informationen verschlüsseln
- Auf E-Mail verzichten
- Eingehende E-Mails
-
Abschluss
- Azubi fasst das Gelernte nochmal zusammen
- Ausblick auf die nächste Unterweisung
- Dank für die Mitarbeit
- Hinweis, die Unterweisung ins Berichtsheft einzutragen
- Sicherheitsmaßnahmen
-
-
Ideen
- Motivation:
- das nächsten Onboarding begleiten, und bei der Einführung zur IT-Sicherheit unterstützen
- eigenständig Helpdesk-Tickets zur Sicherheitsgragen bearbeiten
- dafür sorgen, dass unsere Firma auch künftig nicht gehackt wird
-
Ablauf
- 3 Schätzfragen stellen - Antwort des Azubis eintrage, richtigen Wert daneben schreiben
- Merkmale anhand eines Beispiel erarbeiten lassen
- SPAM
- Sandbox (Maßnahme)
- Fake-E-Mails
- sollen ähnlich den bekannten e-mail aussehen
- Lieferverfolgung und Rechnungen nur an einen automatischen Account
- Absender prüfen:
- auf ähnliche Domains achten
- 0 und O nicht verwechseln
- Macros nicht aktivieren
- E-Mail ist das größte Einfallstor
- Social Engineering = Manipulation von Personen
- Phishing = Fischen nach Passwörtern
- gefälschte Website und E-Mail
- Anrede (Persönlich unpersönlich -> Indiz)
- Absenderadresse (Service, Info, ähnliche)
- dringer Handlungsbedarf, Druck Konsequenzen
- Link auf andere Website -> Maus-Over Link prüfen
- seriöse Dienst fordern niemals zur Eingabe von Passwörtern auf
-
Spearfishing
- Warum ist das Thema so wichtig?
- nicht alle Mitarbeiter sind der IT
- hohes Risiko im Schadensfall
- Maßnahmen
- manueller Aufruf der website
- telefonisch Nachfragen, aber nicht die Nummer aus der E-Mail verwenden
- Internet-Browser
- Social Engeneering
- Manipulationstricks:
{:width 200}
- Falsche Identitäten + schützenswerte Informationen
- Welche Unternehmensinformationen sind schützenswert?
- Interne Strukturen und Verantwortlichkeiten
- Kunden- und Mitarbeiterdaten
- Zugangsdaten, Passwörter
- Projekt- oder Produktdaten
- Interne Prozesse oder genutzte Software
- Partner / Kooperationen
- Verifizieren Sie den Anrufer - „Wo sitzen Sie eigentlich bei uns im Haus?“
- Bewahren Sie Ruhe und Selbstbewusstsein.
- Führen Sie niemals auf Aufforderung Dateien oder Programme aus und geben Sie keine Zugangsdaten weiter.
- Informieren Sie Ihren Vorgesetzten oder die IT.
- Vergessen Sie nie: Sie sind der wichtigste Teil der Sicherheit in Ihrem Unternehmen!
- Manipulationstricks:
- Vishing:
- Wie nennt man Angriffsversuche via Telefon?
- Phishing
- Hijacking
- Phreaking
- Vishing (X)
-
- Opfer ausfindig machen Cyberkriminelle machen die Durchwahl eines Mitarbeiters im Unternehmen ausfindig (z. B. über die Firmenwebseite oder soziale Medien) oder lassen sich unter einem Vorwand an einen Mitarbeitenden vermitteln.
-
- Rolle vorspielen Sie geben sich als vertrauenswürdige Personen aus, z. B. als neuer Kollege, Praktikant oder Mitarbeiter einer Behörde.
-
- Hintergrundgeschichte erzählen Die Cyberkriminellen erfinden eine möglichst glaubhafte Geschichte, warum gerade Sie bestimmte Informationen weitergeben müssen (eine betriebsinterne Umfrage, die Vorbereitung einer organisatorischen Maßnahme o. ä.).
-
- Psychologische Tricks anwenden Sie setzen dabei Social Engineering ein, geschickte psychologische Tricks (z. B. Zeitdruck, Angst, Ausnutzen von Hilfsbereitschaft), um Ihr Bauchgefühl zu überlisten. Sie versuchen Sie zu schnellem und unüberlegtem Handeln und zur Herausgabe der gewünschten Informationen zu bewegen.
-
- Informationen erbeuten Sie nutzen die Informationen entweder direkt oder als Baustein, um weitergehende Angriffe noch glaubhafter gestalten zu können.
- Wie können Sie sich vor Vishing schützen?
- Vor Vishing-Angriffen sollte Sie zuallererst Ihr gesundes Bauchgefühl schützen. Was können Sie bei einem Anruf aber noch tun bzw. was sollten Sie unterlassen, wenn Sie Zweifel an der Rechtmäßigkeit hegen?
- Ich gebe niemals Zugangsdaten oder Kontoverbindungen telefonisch weiter.
- Ich stelle dem Anrufer eine Kontrollfrage, die nur legitime Personen beantworten können.
- Ich recherchiere die Telefonnummer des Anrufenden über offizielle Telefonverzeichnisse und rufe zurück.
- Ich bewahre Ruhe und lasse mich nicht zu schnellen, ungeprüften Aktionen verleiten.
- Was Sie bei Anrufen beachten sollten.
- Hören Sie auf Ihr Bauchgefühl Seien Sie besonders aufmerksam und vorsichtig, wenn Sie einen Telefonanruf erhalten, der Ihnen ungewöhnlich erscheint, den Sie nicht erwartet haben oder der von einer Ihnen unbekannten Person kommt.
- Vertrauen Sie nicht der Telefonnummer Vertrauen Sie nicht der Telefonnummer, die in Ihrem Telefondisplay angezeigt wird. Sie kann leicht von Cyberkriminellen gefälscht werden.
- Identifizieren Sie den Anrufer Nutzen Sie alle Möglichkeiten, um den Anrufer zweifelsfrei zu identifizieren, bevor Sie Informationen weitergeben.
- Geben Sie keine sensiblen Informationen heraus Nennen Sie niemals Passwörter, Zugangs- oder Bankdaten am Telefon.
- Motivation:
-
-
Trainingsmaterial
-
E-MAIL-SICHERHEIT
- Die meisten Cyberangriffe werden über E-Mails initiiert. In Phishing-E-Mails geben sich Kriminelle als Kollegen, Vorgesetzte oder andere vertrauenswürdige Quellen aus und versuchen, Dich zur Übermittlung sensibler Unternehmensinformationen oder zur Installation von Schadsoftware zu bewegen. Lerne im E-Learning die Methoden der Cyberkriminellen kennen. Erfahre, wie Du Phishing-E-Mails, bösartige Anhänge oder Links sicher identifizieren kannst.
-
Inhalt:
- Was ist Phishing? Erklärung anhand prominenter Beispiele
- Wie erkenne ich das Ziel eines Links?
- Welche Dateianhänge sind gefährlich?
- Tipps:
- IT UND ICH: EINFÜHRUNG
- Die Absenderadresse einer E-Mail lässt sich fälschen und ist nicht vertrauenswürdig.
- Lassen Sie sich das Ziel eines Links anzeigen, indem Sie mit der Maus darüber fahren.
- Prüfen Sie den Wer-Bereich, indem Sie vom „https Doppelpunkt Doppel-Schrägstrich“ zum nächsten Schrägstrich gehen. Achten Sie auf Buchstabendreher.
- Prüfen Sie den Wer-Bereich: https://www.paypal.security-scanned.com/myaccount/transaction/details/8S716676K58992
- Prüfen Sie auch auf Login-Seiten stets den Wer-Bereich in der Adresszeile, bevor Sie Ihre Zugangsdaten eingeben.
- Öffnen Sie nie Dateianhänge, die Sie nicht explizit erwarten – insbesondere keine .exe, .zip oder Office-Dateien mit Makros.
-
SOCIAL ENGINEERING
Die Angriffsversuche der Cyberkriminellen werden immer gewiefter - und Du bist das primäre Angriffsziel! Durch Social Engineering und gezielte psychologische Tricks versuchen zwielichtige Personen über Dich an Informationen zu gelangen. Wie Social Egineering-Angriffe funktionieren, mit welchen Tricks Cyberkriminelle dabei vorgehen und wie Du Dich dagegen schützen kannst, erfährst Du hier im E-Learning.- Wie funktioniert ein Social Engineering-Angriff?
- Welche Tricks nutzen die Angreifer, um Mitarbeiter zu überlisten?
- Wie kann ich mich vor Social Engineering schützen?
- Tipps:
-
- Nehmen Sie sich Zeit
-
- Seien Sie skeptisch
-
- Fragen Sie nach
-
-
GEFÄHRLICHE WEBSEITEN – SYSTEME GEGEN ANGRIFFE SCHÜTZEN
- Viren, die sich in Downloads und hinter bösartigen Links verstecken, Formulare, die Deine Passwörter abfangen: Cyberkriminelle kennen viele Wege, um über Webseiten an Deine vertraulichen Daten und Informationen zu gelangen. Wie Du Dein System gegen derartige Angriffe schützen kannst, erfährst Du hier.
-
Inhalt:
- Warum solltest Du Deinen Browser und Dein Betriebssystem schützen?
- Welche Möglichkeiten nutzen Cyberkriminelle, um über Webseiten auf Dein System zuzugreifen?
- Wie machst Du Dein System fit gegen gefährliche Webseiten?
-
SICHERHEIT BEIM MOBILEN ARBEITEN
- Informationssicherheit in öffentlichen Netzen
{:width 200}
{:width 200}- Noch ein Sicherheitstipp: Endgeräte verbinden sich i. d. R. automatisch mit Netzwerken, auf die Sie einmal zugegriffen haben. Cyberkriminelle können diese Netzwerke nachahmen und Ihr Endgerät in unsichere Verbindungen locken. Löschen Sie gespeicherte Zugänge zu öffentlichen Netzwerken direkt nach der Nutzung von Ihrem Endgerät.
- Schützen Sie sensible Informationen auf dem Monitor oder in Unterlagen vor unberechtigten Blicken. Verhindern Sie das Mithören von sensiblen Telefongesprächen. Informationssicherheit startet mit Ihnen!
- Lassen Sie keine Unbefugten vertrauliche Informationen einsehen oder Telefonate mithören.
- Lassen Sie Ihre Endgeräte und Arbeitsmittel nie unbewacht.
- Schützen Sie die Kommunikation in öffentlichen Netzen durch VPN.
- Auf was muss Sarah bei der Verwendung öffentlicher Netzwerke achten?
- Öffentliche WLANs müssen per Gesetz ein Mindestmaß an Schutz für die übermittelten Daten bieten. Sarah kann das Netzwerk also uneingeschränkt nutzen.
- Verbindungen über öffentliche WLANs sind in der Regel offen und können von Hackern oder Datendieben eingesehen werden.
- Sarah kann das öffentliche WLAN nutzen, wenn sie für eine verschlüsselte Datenverbindung sorgt.
-
**VISHING
- Vishing ist ein perfider Versuch von Kriminellen, durch fingierte Telefonanrufe an Deine privaten oder betrieblichen Informationen zu gelangen. Sie verwenden dabei Methoden des Social Engineerings, um Dich durch psychologische Tricks bspw. in Sicherheit zu wiegen, Druck aufzubauen oder Deine Hilfsbereitschaft auszunutzen. Wie Kriminelle dabei genau verfahren, wie Du Vishing-Versuche erkennst und dagegen vorgehen kannst, das alles erfährst Du hier im E-Learning.
-
Inhalt:
- Was ist Vishing?
- Wie gehen Cyberkriminelle in ihren Telefonaten vor?
- Wie kann ich mich vor Vishing-Angriffen schützen?
- Was ist CEO-Fraud?
- Hier wird eine Mail oder ein Anruf von einem Vorgesetzten oder dem Geschäftsführer vorgetäuscht, um bei den betroffenen Mitarbeitern die Chance zu erhöhen, dass diese auf die Kontaktaufnahme eingehen. Meist wird dann massiv Druck aufgebaut, z.B. weil der vermeintliche Chef vorgibt, in einer Notsituation zu sein und schnelles Handeln wie eine Überweisung, die Freischaltung einer Datei oder die Herausgabe von Informationen verlangt.
- Was ist Spear Phishing?
- „Speerfischen“ – eine Unterart des Phishings. Hierbei erfolgt ein fokussierter, gezielter Angriff auf eine Organisation mit dem Ziel, deren Abwehrmechanismen zu durchdringen. Einem Spear-Phishing-Angriff geht eine mehr oder weniger intensive „Observation“ der Zielperson bzw. des Zielunternehmens voraus, so dass die Kontaktaufnahmen mit spezifischen personalisierten Komponenten angereichert werden können. Die Bezugnahme auf ein anstehendes Firmen-Event, einen bestimmten Kollegen oder die persönlichen Interessen des Empfängers helfen dabei, die Reaktionsquote der Empfänger deutlich zu erhöhen – ein großes Risiko für Unternehmen und die betroffenen Nutzer.
- Was ist Phishing?
- Der Versuch, sensible Informationen wie Benutzernamen, Passwörter und Kreditkartendaten zu erhalten, indem man sich als vertrauenswürdige Institution oder Person ausgibt. Zur Kontaktaufname werden Massen-E-Mails verwendet, von denen es immer einige schaffen, die bestehenden SPAM-Filter zu umgehen. E-Mails, die angeblich von beliebten sozialen Netzwerken, Banken oder Auktions-Websites stammen, werden verwendet, um dem Empfänger die o.g. sensiblen Information zu entlocken.
- Was ist Social Engineering?
- Bei Social Engineering geht es darum, Menschen so zu manipulieren, zu beeinflussen oder zu täuschen, dass Kontrolle über deren Computersystem erlangt werden kann. Die Kontaktaufnahme erfolgt in der Regel per E-Mail, Privatnachrichten in sozialen Netzwerken, Telefon oder seltener auch per Briefpost und direkten Kontakt. Ziel bei allen Methoden ist es, illegalen Zugriff auf die Daten des Nutzers oder des zugehörigen Unternehmens zu erhalten. Einige Beispiele für Social Engineering sind Techniken wie Phishing, Spear-Phishing oder der „CEO-Trick“.
-
-
Beispiele Unterweisungen
