In diesem Artikel werden die Schritte erläutert, mit denen Sie Security Awareness Trainings und simulierte Phishing-Tests in der KSAT-Konsole implementieren. Weitere Informationen hierzu finden Sie in den nachstehenden Abschnitten.
Schritt 1: Nutzer:innen hinzufügen
Sie können Nutzer:innen zu Ihrer KSAT-Konsole hinzufügen, damit Sie simulierte Phishing-E-Mails versenden und sie für Trainingskampagnen registrieren können. Es gibt mehrere Optionen zum Hinzufügen von Nutzer:innen zur KSAT-Konsole. Die verfügbaren Optionen finden Sie in folgenden dazugehörigen Artikeln:
- Nutzerbereitstellung: Hierbei handelt es sich um die bevorzugte Methode, um Nutzer:innen mit der KSAT-Konsole zu synchronisieren und Ihre Nutzerliste im Zeitverlauf zu pflegen. Mithilfe der Active Directory-Integration (ADI) oder SCIM können Sie Nutzer:innen automatisch in der KSAT-Konsole bereitstellen. Weitere Informationen finden Sie im Leitfaden für die Konfiguration der Active Directory-Integration (ADI) oder im Leitfaden für die SCIM-Konfiguration.
- Schnellimport: Diese Methode ist geeignet, wenn Sie weniger als 100 Nutzer:innen importieren möchten. Weitere Informationen finden Sie im Abschnitt Schnellimport im Artikel Nutzer:innen und Gruppen.
- CSV-Import: Wählen Sie diese Methode, wenn Sie eine größere Anzahl von Nutzer:innen importieren und weitere Nutzerdaten wie Name, Telefonnummer, Gruppenmitgliedschaften und mehr einbeziehen möchten. Weitere Informationen finden Sie im Artikel So importieren Sie Nutzer:innen mit einer CSV-Datei.
- Sonstiges: Es gibt weitere Möglichkeiten zum Importieren von Nutzer:innen für Ihre Organisation. Bei Fragen diesbezüglich können Sie sich an unser Kundensupport-Team wenden oder die nachfolgenden Artikel in unserer Wissensdatenbank lesen:
Schritt 2: Baseline Phishing-Test durchführen
Wir empfehlen, allen Nutzer:innen vor dem Start des Security-Awareness-Trainingsprogramms einen Baseline Phishing-Test zu senden. Verwenden Sie diesen Test als Ausgangspunkt für Ihr Security-Awareness-Trainingsprogramm.
Weitere Empfehlungen zum Baseline Phishing-Prozess finden Sie in den nachfolgenden Unterabschnitten sowie im Video Baseline Phishing-Kampagne in einer Minute (Klicks).
Vorläufige Testkampagne
Wir empfehlen, vor dem Erstellen der Baseline Phishing-Kampagne mindestens eine Testkampagne mit einer kleinen Gruppe von Nutzer:innen durchzuführen, z. B. Ihrem IT-Team.
Mit dieser vorläufigen Testkampagne kann sichergestellt werden, dass die Whitelist korrekt funktioniert und die E-Mails durch Ihre Spamfilter und Ihre Firewall gelangen.
Außerdem können Sie mit dieser vorläufigen Kampagne sicherstellen, dass Klicks und andere Phishing-Test-Fehler in Ihrem Konto getrackt werden. Klicken Sie auf den simulierten Phishing-Link in der Test-E-Mail, um sicherzustellen, dass solche Fehler in Ihrem Konto getrackt werden. Weitere Informationen erhalten Sie im Artikel Erstellen und Verwalten von Phishing-Kampagnen oder im Artikel So überwachen und prüfen Sie Phishing-Kampagnen.
Ermitteln der Baseline
Nachdem Sie anhand der vorläufigen Phishing-Testkampagne die korrekte Funktionsweise geprüft haben, können Sie eine Baseline Phishing-Testkampagne für alle Nutzer:innen erstellen. Dieser Test gibt Aufschluss über den anfänglichen Phish-prone Percentage Ihrer Organisation. Der anfängliche Phish-prone Percentage ist Ihr Ausgangspunkt. Durch einen Vergleich mit späteren Werten können Sie den Erfolg Ihres Security Awareness Training-Plans ermitteln.
Empfehlungen zum Einrichten der Baseline Phishing-Kampagne finden Sie in den folgenden Artikeln: Wie richte ich den Baseline-Phishing-Test am besten ein? oder Welche E-Mail-Vorlage sollte ich für den ersten Baseline-Phishing-Test verwenden?
Senden eines Baseline-Phishing-Tests an Ihr IT-Team
Wir empfehlen außerdem, zwei Baseline-Phishing-Tests durchzuführen: einen für Ihr IT-Team bzw. den Helpdesk und zu einem späteren Zeitpunkt einen für die übrigen Mitarbeitenden. Auf diese Weise sind die Mitarbeitenden des IT-Teams und Helpdesks über den Test informiert, wenn die Meldungen der anderen Mitarbeitenden zu verdächtigen E-Mails eingehen. Außerdem können IT-Team/Helpdesk so ebenfalls am Baseline-Assessment teilnehmen. Außerdem überprüfen Sie so, ob unsere E-Mail-Server ordnungsgemäß der Whitelist hinzugefügt werden, sodass die E-Mails des Baseline-Phishing-Tests fehlerfrei versendet werden können.
Schritt 3: Nutzer:innen schulen
Für Ihre erste Security-Awareness-Trainingskampagne empfehlen wir Ihnen, zunächst alle Nutzer:innen für die 45-minütige Schulung zum Sicherheitsbewusstsein von KnowBe4 oder einen ähnlichen umfassenden Kurs zu registrieren. Weitere Informationen zum verfügbaren Training Content finden Sie im Leitfaden zu ModStore und Bibliothek.
Empfehlungen zum Einrichten der ersten Trainingskampagne finden Sie im Artikel So erstellen Sie Ihre erste Security-Awareness-Trainingskampagne.
Unter den nachfolgenden Links erhalten Sie weitere Informationen zum Durchführen von Trainingskampagnen:
- Erstellen und Verwalten von Phishing-Kampagnen
- So richten Sie eine unterstützende Trainingskampagne ein
- Video: Trainingskampagne einrichten
- Video: Trainingskampagnen überwachen
- Video: Erste Schritte mit KnowBe4 Security Awareness Training
Schritt 4: Kontinuierliche Phishing- und Trainingskampagnen durchführen
Die Durchführung kontinuierlicher Phishing- und Trainingskampagnen ist wichtig, um das Problem von Phishing und Social Engineering in Ihrer Organisation in den Griff zu bekommen.
Es stehen drei Beispielpläne für die Integration von KnowBe4 in Ihre Organisation zur Auswahl: hohes Bewusstsein, mittleres Bewusstsein und niedriges Bewusstsein. Die Pläne richten sich nach dem Awareness-Level. Das Awareness-Level Ihrer Organisation basiert auf den gewünschten Ergebnissen, die Sie mit Ihrem Security-Awareness-Trainingsprogramm erreichen möchten. Weitere Informationen zur den verschiedenen Awareness-Leveln finden Sie in folgendem Artikel: Anleitung mit bewährten Methoden: Wie integriere ich KnowBe4 effektiv in meine Organisation?
Wenn Sie sich nicht sicher sind, welchen Plan Sie auswählen sollen, lesen Sie unsere allgemeinen Empfehlungen für Security Awareness Training in den folgenden Unterabschnitten.
Empfehlungen für kontinuierliche Phishing-Kampagnen
Sie sollten mindestens einmal im Monat einen Phishing-Test an alle Nutzer:innen versenden. Sie können beispielsweise eine monatliche Phishing-Kampagne mit folgenden Kriterien erstellen:
- Nehmen Sie mehrere E-Mail-Kategorien und unterschiedliche Phishing-Tests auf.
- Versenden Sie die E-Mails über einen längeren Zeitraum, z. B. eine Woche. Dann wissen Nutzer:innen nicht, wann sie einen Phishing-Test erhalten.
- Fügen Sie Nutzer:innen, die den Phishing-Test nicht bestehen, einer Gruppe zu, die unterstützendes Training erhalten soll.
Neben den monatlichen Phishing-Tests für alle Nutzer:innen sollten Sie zusätzliche Tests für Abteilungen oder Mitarbeitende mit hohem Risiko einrichten, d. h. für alle, die mit höherer Wahrscheinlichkeit einem Phishing-Angriff ausgesetzt sind.
Wenn Sie erfahren möchten, welche Abteilungen oder Mitarbeitenden dem höchsten Risiko ausgesetzt sind, lesen Sie unsere Leitfäden Virtual Risk Officer (VRO) und Risk Score.
Weitere Informationen zum Erstellen und Anpassen von Phishing-Kampagnen finden Sie in den folgenden Artikeln:
- Erstellen und Verwalten von Phishing-Kampagnen
- Anpassen von E-Mails und Landingpages
- So verwenden Sie Platzhalter
- So verwenden Sie Platzhalter: Anwendungsbeispiele
Empfehlungen zu kontinuierlichem Training
Im Folgenden finden Sie unsere Empfehlungen für die Durchführung von kontinuierlichem Security Awareness Training in Organisationen:
- Erstellen Sie eine Gruppe für unterstützendes Training und eine unterstützende Trainingskampagne. Weitere Informationen zu unterstützendem Training finden Sie im Artikel So richten Sie eine unterstützende Trainingskampagne ein oder im Video Unterstützende Trainingskampagnen.
- Schulen Sie bestimmte Gruppen oder Mitarbeitende mithilfe von rollenbasierten Trainings und anderen Spezialkursen. Durchsuchen Sie den ModStore nach den gewünschten Kursen. Weitere Informationen hierzu finden Sie im Leitfaden zu ModStore und Bibliothek.
- Richten Sie eine monatliche Kampagne ein, bei der „Tipps und Tricks für Ihre Sicherheit“-E-Mail an Ihre Nutzer:innen gesendet werden. Weitere Informationen finden Sie in folgendem Artikel: Was ist der Newsletter „Tipps und Tricks für Ihre Sicherheit“?
- Um Nutzer:innen auf dem Laufenden zu halten und vor den neuesten Phishing- und Social-Engineering-Betrügereien zu schützen, können Sie „Scam der Woche“-E-Mails an Ihre Nutzer:innen versenden. Weitere Informationen finden Sie in folgendem Artikel: Was ist der Newsletter „Scam der Woche“?