Cyber Monat

Der Pen-Test auf der menschlichen Ebene. 

Im Cyber Monat testen wir die Angriffsvektoren Ihres Unternehmens auf der menschlichen Ebene.

Warum ein Cyber Monat?

8 von 10 Cyberangriffen beginnen beim Menschen. Seien es gefährliche Links, schädliche Anhänge, USB-Sticks oder Social Engineering Angriffe über die B2B Kanäle des Unternehmens: Der Mitarbeiter ist das Ziel Nummer 1 von Cyberattacken. Doch es ist nie klar über welche Kanäle, seien es B2B-Portale, das Bewerberportal, die Email, die SMS oder das Telefon, die Mitarbeiter wirklich anfällig für Cyberangriffe sind. Ebenso kann keine Aussage getroffen werden über welche Kanäle welche Abteilungen im Unternehmen besonders anfällig sind.

Was ist der Cyber Monat?

Der Cyber Monat ist ein 1-monatiger Penetration-Test auf der menschlichen Ebene. Im Cyber Monat werden individuell auf Ihr Unternehmen Angriffsvektoren auf Ihre Mitarbeiter simuliert.

Durch den Cyber Monat werden die Sicherheitsrisiken auf der menschlichen Ebene sichtbar und bewertbar. Potenzielle Schwachstellen im Verhalten der Mitarbeiter und blinde Flecken in der IT-Sicherheit werden aufgedeckt.

Ergebnis des Cyber Monat ist eine Abschlusspräsentation und ein Abschlussbericht über die identifizierten Risiken und deren Bewertung. Dies ermöglicht es, gezielte Schulungsmaßnahmen zu entwickeln und das Sicherheitsbewusstsein zu stärken.

Bei der Umsetzung der Handlungsempfehlungen helfen wir unseren Kunden. Jedoch können die Maßnahmen auch eigenständig intern bewertet und umgesetzt werden.

Was nützt der Cyber Monat?

Durch den Cyber Monat testen wir das Bewusstsein der Mitarbeiter für IT-Sicherheit auf Herz und Nieren.

Potenzielle Sicherheitslücken und Schwachstellen im Verhalten der Mitarbeiterinnen und Mitarbeiter werden identifiziert und zum ersten Mal sichtbar gemacht.

Sie erhalten wertvolle Erkenntnisse über mögliche Angriffsvektoren und können gezielte Schulungsmaßnahmen einleiten, um das Sicherheitsbewusstsein ihrer Belegschaft zu stärken.

Ein gesteigertes Sicherheitsbewusstsein führt zu einer “Human Firewall”, die das Unternehmen besser gegen Cyberangriffe schützt.

Der Cyber Monat trägt somit wesentlich dazu bei, die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen, Datenschutzverletzungen zu minimieren und das Risiko von Sicherheitsvorfällen deutlich zu reduzieren.

Darüber hinaus verbessert der Cyber Monat das Vertrauen von Kunden, Partnern und Stakeholdern in die Sicherheitspraktiken Ihres Unternehmens und stärkt insgesamt dessen Reputation und Wettbewerbsfähigkeit in einer zunehmend vernetzten und digitalisierten Welt.

Wie läuft ein Cyber Monat ab?

Der Cyber Monat ist ein strukturierter und intensiver 4-Schritte-Prozess, der darauf abzielt, die Sicherheitsresilienz Ihres Unternehmens auf menschlicher Ebene zu stärken. Zunächst erfolgt eine sorgfältige Identifizierung der Angriffsvektoren auf Ihre Mitarbeiter. Während des darauf folgenden Monats der Datenerhebung werden gezielt Angriffsvektoren auf Mitarbeiter simuliert und Daten gesammelt. In der anschließenden Analysephase werden Schwachstellen und Risikomuster identifiziert, um ein umfassendes Verständnis der Sicherheitslage zu gewinnen. Schließlich erfolgt die Abschlusspräsentation, in der die gewonnenen Erkenntnisse im Abschlussbericht präsentiert werden. Dieser beinhaltet nicht nur eine Zusammenfassung der identifizierten Schwachstellen und Risiken, sondern auch konkrete Handlungsempfehlungen, um diese zu beheben und die Sicherheit zu stärken. Der Cyber Monat bietet somit eine umfassende Sicherheitsbewertung auf menschlicher Ebene und ermöglicht die gezielte Schulung und Sensibilisierung Ihrer Mitarbeiter, um die Widerstandsfähigkeit Ihres Unternehmens gegenüber Cyberangriffen zu erhöhen.

FAQs

Der Cyber Monat simuliert IT-Sicherheitsvektoren an Ihrem Unternehmen. Dadurch können Risiken und Sicherheitslücken erkannt und behoben werden. Der Cyber Monat schafft eine fundierte Sicherheitsanalyse innerhalb eines Monat.

Ziel ist es die Sicherheitslücken und Risikopotentiale auf der menschlichen Ebene (bspw. Phishing, Social Engineering, B2B-Portale, Social, CEO Fraud). Basierend auf den Handlungsempfehlungen aus dem Cyber Monat können Mitarbeiter individuell und zielgerichtet auf ihr Risikoniveau trainiert und sensibilisiert werden.

Die simulierten Angriffsvektoren sind individuell auf Ihre Geschäftsprozesse und Kommunikationskanäle abgestimmt. Die häufigsten Angriffsszenarien sind dabei:

  • Email-Phishing mit gefährlichen Links und Anhängen
  • Social Enginnering
  • CEO Fraud
  • Physische Sicherheit (USB-Sticks)
  • B2B-Portale (Lieferantenportal, LinkedIn, Xing, Wer-liefert-Was)
  • Bewerberportal
  • Zahlungsaufforderung

Während des Cyber Monat werden annonymisiert die simulierten Angriffszenarien ausgewertet. Wichtige Kennzahlen hierbei sind:

  • Wie häufig wurden welche Angriffszenarien simuliert?
  • Klickrate auf gefälschte Links
  • Download-Quote von gefährlichen Anhängen
  • Preisgegebene sicherheitsrelevante Daten
  • Erfolgsquote bei Social Engineering Angriffen
  • Nutzungsrate von gefährlichen externen USB-Sticks

Zur bestmöglichen Individualisierung der simulierten Angriffsszenarien ist es wichtig zu verstehen mit welchen Infrastruktur Ihre Mitarbeiter arbeiten. Im Rahmen des Kick-Off Termin gehen wir hier einen gemeinsamen Fragenbogen durch.

Wir testen jedoch im Cyber Monat nicht Ihre Systeme, lediglich Ihre Mitarbeiter.

Wir benötigen 2 Wochen zur Vorbereitung des Cyber Monat Assessment. Innerhalb des Vorbereitungszeitraum benötigen wir einen 90-minütigen Kick Off Termin mit 1-2 erfahreneren System-Administratoren von Ihnen.

Die Kosten des Cyber Monat richten sich nach den zu testenden Mitarbeitern und den zu testenden IT-Sicherheitsangriffs-Vektoren.

Gerne können wir nach einem ersten Gespräch eine Kostenabschätzung abgeben.

Ja! Alle Daten werden verschlüsselt und anonymisiert gesichert. Compliance-Anforderungen im Bereich der IT-Sicherheit, insbesondere in Bezug auf die geltenden Datenschutzstandards in Deutschland und international werden erfüllt.

Während des Cyber Monat stehen die Mitarbeiter im Mittelpunkt. Die interne Kommunikation im Vorfeld kann in etwa wie folgt lautet: „Liebe Mitarbeiter, wir haben eine externe Firma beauftragt unsere IT-Sicherheit von außen zu überprüfen. Lasst uns gemeinsam auf mögliche Angriffe achten.“ Dies schafft den psychologischen Effekt, dass wir

  1. die IT-Abteilung aus der Schussbahn nahmen. Als Mitarbeiter habe ich nicht den Eindruck, dass mir die IT-Abteilung wieder etwas zusätzlich aufdrücken möchte
  2. die gesamte Belegschaft verbündet sich gegen den vermeintlichen Angreifer von außerhalb.

 

So gelingt uns ein gemeinsames Verständnis für IT-Sicherheit. Manche unserer Kunden bieten eine kleine Belohnung für die Mitarbeiter nach Abschluss des erfolgreichen Cyber Monat an.

In den Handlungsempfehlungen unterscheiden wir zwischen Technischen und Awareness Maßnahmen. Technische Maßnahmen umfassen alle Vorkehrungen die technisch vorgenommen werden können, um Angriffe auf Mitarbeiter vorzubeugen oder ganz zu eliminieren.

Awareness Maßnahmen umfassen alle die Handlungen, die den Mitarbeiter sensibilisieren, ausbilden und zu einem geschulten Mitarbeiter entwickeln. Dies können der Einsatz eine digitalen Awareness Plattform, Gamification, Live-Schulungen und viele weitere Maßnahmen sein.

Wir messen den Wirkungsgrad der simulierten Angriffsszenarien. Wichtige Kennzahlen können unter anderem sein:

  • Wie häufig wurden welche Angriffszenarien simuliert?
  • Klickrate auf gefälschte Links
  • Download-Quote von gefährlichen Anhängen
  • Preisgegebene sicherheitsrelevante Daten
  • Erfolgsquote bei Social Engineering Angriffen
  • Nutzungsrate von gefährlichen externen USB-Sticks

 

Ein Cyber Monat ist dann erfolgreich, wenn eine detailierten Datengrundlage der bestehenden IT-Sicherheitsrisiken auf der menschlichen Ebene geschaffen wurde und Handlungsempfehlungen für die individuellen Angriffspotentiale aufgestellt werden.

Der Cyber Monat ist der Startpunkt Ihres Cyber Security Awareness Konzeptes

Nach der erfolgreichen Durchführung des Cyber Monat geht es an die Umsetzung der Handlungsmaßnahmen. Hier unterstützen wir unsere Kunden vollumfänglich mit der LEVEL8 Awareness Plattform, Social Engineering Kampagnen und Live Schulungen.