Implementieren der Security Awareness Training Platform von KnowBe4 (KMSAT) in vier Schritten
In diesem Artikel werden die Schritte erläutert, mit denen Sie Security Awareness Trainings und simulierte Phishing-Tests in Ihrem Konto implementieren. Klicken Sie auf die einzelnen Schritte unten, um mehr zu erfahren.
Schritt 1: Nutzer:innen hinzufügen
Fügen Sie Nutzer:innen zu Ihrer KnowBe4-Konsole hinzu, damit Sie simulierte Phishing-E-Mails versenden und sie für Trainingskampagnen registrieren können.
Schritt 2: Baseline Phishing-Test durchführen
Führen Sie einen Baseline Phishing-Test durch, um herauszufinden, welche Nutzer:innen besonders anfällig für Phishing-Angriffe sind.
Schritt 3: Nutzer:innen schulen
Registrieren Sie alle Nutzer:innen für die 45-minütige Schulung zum Sicherheitsbewusstsein von Kevin Mitnick oder ein ähnliches, umfassendes Security Awareness-Trainingsmodul.
Schritt 4: Kontinuierliche Phishing- und Trainingskampagnen durchführen
Führen Sie zufällige Phishing-Tests und unterstützende Kampagnen durch, um Ihre menschliche Firewall zu stärken.
Tipp:
Weitere Informationen zur Implementierung der Security Awareness Training Platform von KnowBe4 finden Sie in unserem Automated Security Awareness Program (ASAP) oder in unserer Anleitung mit bewährten Methoden.Schritt 1: Nutzer:innen hinzufügen
Sie haben mehrere Optionen, um Ihre Nutzer:innen zur Security Awareness Training Platform von KnowBe4 hinzuzufügen. Die verfügbaren Optionen finden Sie in folgenden dazugehörigen Artikeln:
-
Nutzerbereitstellung: Hierbei handelt es sich um die bevorzugte Methode, um Nutzer:innen mit Ihrem KnowBe4-Konto zu synchronisieren und Ihre Nutzerliste im Zeitverlauf zu pflegen.
Mithilfe der Active Directory-Integration (ADI) oder SCIM können Sie Nutzer:innen automatisch in der KnowBe4-Konsole bereitstellen. Weitere Informationen finden Sie im Leitfaden für die Konfiguration der Active Directory-Integration (ADI) oder im Artikel Leitfaden für die SCIM-Konfiguration. -
Schnellimport: Diese Methode ist geeignet, wenn Sie weniger als 100 Nutzer:innen importieren möchten.
- Weitere Informationen finden Sie im Abschnitt Schnellimport im Artikel Nutzer:innen und Gruppen.
-
CSV-Import: Wählen Sie diese Methode, wenn Sie eine größere Anzahl von Nutzern importieren und weitere Nutzerdaten wie Name, Telefonnummer, Gruppenmitgliedschaften und mehr einbeziehen möchten.
- Weitere Informationen finden Sie hier: Wie importiere ich Nutzer:innen mit einer CSV-Datei?
Ressourcen für das Nutzermanagement
Die unten verlinkten Artikel helfen Ihnen beim Hinzufügen von Nutzern zu Ihrer Plattform.
- Video: Hinzufügen/Importieren von Nutzern
- Handbuch Nutzer:innen und Gruppen
- Wie importiere ich Nutzer:innen mit einer CSV-Datei?
- Leitfaden für die Konfiguration der Active Directory-Integration (ADI)
- Leitfaden für die SCIM-Konfiguration
- So rufen Sie E-Mails aus dem Active Directory mithilfe von PowerShell ab
- Verwalten mehrerer E-Mail-Domains
Schritt 2: Baseline Phishing-Test durchführen
Wir empfehlen, allen Nutzern vor dem Start des Security Awareness-Trainingsprogramms einen unangekündigten Baseline Phishing-Test zu senden. Verwenden Sie diesen Test als Ausgangspunkt für Ihr Security Awareness-Trainingsprogramm. Weitere Informationen finden Sie in den folgenden Abschnitten.
Wichtig!
Stellen Sie zuvor bitte sicher, dass die IP-Adressen oder Domains von KnowBe4 in Ihrer E-Mail-Umgebung auf einer Whitelist stehen. Verwenden Sie unseren Whitelisting-Assistenten oder lesen Sie unsere Whitelisting-Anleitung, um sich darüber zu informieren, wie Sie Ihren E-Mail-Client und Spamfilter entsprechend einstellen.
Vorläufige Testkampagne
Wir empfehlen, vor dem Erstellen der Baseline Phishing-Kampagne mindestens eine Testkampagne mit einer kleinen Gruppe von Nutzern durchzuführen, z. B. Ihrem IT-Team.
Mit dieser vorläufigen Testkampagne soll Folgendes geprüft werden:
- Ihre Whitelist wurde korrekt erstellt und die E-Mails gelangen durch Ihre Spamfilter und Ihre Firewall.
- Klicks und andere Phishing-Test-Fehler werden in Ihrem Konto getrackt. Klicken Sie auf den simulierten Phishing-Link in Ihrer Test-E-Mail, um sicherzustellen, dass solche Fehler in Ihrem Konto getrackt werden. Weitere Informationen finden Sie hier: Überwachen und Prüfen von individuellen Phishing-Kampagnen
Tipp:
Wenn der vorläufige Test durchgeführt wurde, löschen Sie die Kampagne oder blenden Sie die Kampagne aus, damit sie keine Auswirkungen auf Ihre Reports oder Ihren Risk Score hat.Ermitteln der Baseline
Nachdem Sie anhand der vorläufigen Phishing-Testkampagne die korrekte Funktionsweise geprüft haben, können Sie eine Baseline Phishing-Testkampagne für alle Nutzer:innen erstellen. Das Ergebnis gibt Aufschluss über den anfänglichen Phish-prone Percentage Ihrer Organisation. Der anfängliche Phish-prone Percentage ist Ihr Ausgangspunkt. Durch einen Vergleich mit späteren Werten können Sie den Erfolg Ihres Security Awareness Training-Plans ermitteln.
Die empfohlenen Einstellungen beim Einrichten einer Baseline Phishing-Kampagne finden Sie hier: Wie richte ich den Baseline Phishing-Test am besten ein?
Vermeiden Sie überhöhtes Arbeitsaufkommen: Führen Sie den Phishing-Test zuerst mit Ihrem IT-Team durch
Wir empfehlen außerdem, zwei Baseline Phishing-Tests durchzuführen: einen für Ihr IT-Team bzw. den Helpdesk und zu einem späteren Zeitpunkt einen für die übrigen Mitarbeitenden. Auf diese Weise sind die Mitarbeitenden des Helpdesks über den Test informiert, wenn die Meldungen der anderen Mitarbeitenden zu verdächtigen E-Mails eingehen. Außerdem können IT-Team/Helpdesk so ebenfalls am Baseline-Assessment teilnehmen. Außerdem überprüfen Sie so, ob unsere E-Mail-Server ordnungsgemäß der Whitelist hinzugefügt werden, sodass die E-Mails des Baseline Phishing-Tests fehlerfrei versendet werden können.
Phishing-Ressourcen
Die unten verlinkten Artikel helfen Ihnen beim Einrichten eines Baseline Phishing-Tests.
- Wie richte ich den Baseline Phishing-Test am besten ein?
- Welche E-Mail-Vorlage sollte ich für den ersten Baseline Phishing-Test verwenden?
- Video: Baseline in einer Minute: Passwort ändern (Klicks)
- Erstellen von Phishing-Kampagnen
Schritt 3: Nutzer:innen schulen
Für Ihre erste Security Awareness Training-Kampagne empfehlen wir Ihnen, zunächst alle Nutzer:innen für das 45-minütige Security Awareness Training von Kevin Mitnick oder einen ähnlichen umfassenden Kurs zu registrieren. Weitere Informationen zum verfügbaren Training Content finden Sie hier: Welche Art von ModStore-Content kann ich zu Trainingskampagnen hinzufügen?
Die empfohlenen Einstellungen beim Einrichten Ihrer ersten Trainingskampagne finden Sie hier: Registrieren von Mitarbeitenden für das Security Awareness Training
Trainingsressourcen
Die unten verlinkten Artikel helfen Ihnen beim Durchführen von Trainingskampagnen.
- ModStore
- Registrieren von Mitarbeitenden für das Security Awareness Training
- Erstellen und Verwalten von Trainingskampagnen
- Einrichten von unterstützenden Trainingskampagnen
- Video: So richten Sie Trainingskampagnen ein
- Video: So überwachen Sie Trainingskampagnen
- Video: Erste Schritte mit Ihrem KnowBe4-Training
Schritt 4: Kontinuierliche Phishing- und Trainingskampagnen durchführen
Die Durchführung kontinuierlicher Phishing- und Trainingskampagnen ist ein wesentlicher Faktor, um das Problem von Phishing und Social Engineering in Ihrer Organisation in den Griff zu bekommen.
In unserer Anleitung mit bewährten Methoden finden Sie drei Beispielpläne für die Integration von KnowBe4. Die Pläne richten sich nach dem Awareness-Level. Das Awareness-Level Ihrer Organisation basiert auf den gewünschten Ergebnissen, die Sie mit Ihrem Security Awareness-Trainingsprogramm erreichen möchten. Klicken Sie auf die folgenden Einstufungen, um mehr zu erfahren:
Wenn Sie sich nicht sicher sind, welchen Plan Sie auswählen sollen, lesen Sie unsere allgemeinen Empfehlungen für Security Awareness Training in den folgenden Abschnitten.
Empfehlungen für kontinuierliche Phishing-Kampagnen
Sie sollten mindestens einmal im Monat einen Phishing-Test an alle Nutzer:innen versenden. Sie können beispielsweise eine monatliche Phishing-Kampagne mit folgenden Kriterien erstellen:
- Nehmen Sie mehrere E-Mail-Kategorien und unterschiedliche Phishing-Tests auf.
- Versenden Sie die E-Mails über einen längeren Zeitraum, z. B. eine Woche. Dann wissen Nutzer:innen nicht, wann sie einen Phishing-Test erhalten.
- Fügen Sie Nutzer:innen, die den Phishing-Test nicht bestehen, einer Gruppe zu, die unterstützendes Training erhalten soll.
Neben den monatlichen Phishing-Tests für alle Nutzer:innen sollten Sie zusätzliche Tests für Abteilungen oder Mitarbeitende mit hohem Risiko einrichten, d. h. für alle, die mit höherer Wahrscheinlichkeit einem Phishing-Angriff ausgesetzt sind.
- Wenn Sie erfahren möchten, welche Abteilungen oder Mitarbeitenden dem höchsten Risiko ausgesetzt sind, lesen Sie unsere Leitfäden Virtual Risk Officer (VRO) und Risk Score.
Weitere Informationen zum Erstellen und Anpassen von Phishing-Kampagnen finden Sie in den folgenden Artikeln:
- Erstellen und Verwalten von Phishing-Kampagnen
- Anpassen von E-Mails und Landingpages
- So verwenden Sie Platzhalter
- So verwenden Sie Platzhalter: Anwendungsbeispiele
Empfehlungen zu kontinuierlichem Training
Im Folgenden finden Sie unsere Empfehlungen für die Durchführung von kontinuierlichem Security Awareness Training in Organisationen:
- Erstellen Sie eine Gruppe für unterstützendes Training und eine unterstützende Trainingskampagne.
- Weitere Informationen zu unterstützendem Training finden Sie in diesem Artikel: So richten Sie ein unterstützendes Training ein. Und in diesem Video: Unterstützende Trainingskampagnen.
- Schulen Sie bestimmte Gruppen oder Mitarbeitende mithilfe von rollenbasierten Trainings und anderen Spezialkursen.
- Durchsuchen Sie den ModStore nach den gewünschten Kursen. Weitere Informationen finden Sie hier: ModStore.
- Richten Sie eine monatliche Kampagne ein, bei der „Tipps und Tricks für Ihre Sicherheit“-E-Mail an Ihre Nutzer:innen gesendet werden.
- Weitere Informationen finden Sie hier: So richten Sie einen „Tipps und Tricks für Ihre Sicherheit“-Newsletter ein.
- Um Nutzer:innen auf dem Laufenden zu halten und vor den neuesten Phishing- und Social-Engineering-Betrügereien zu schützen, können Sie „Scam der Woche“-E-Mails an Ihre Nutzer:innen versenden.
- Weitere Informationen finden Sie hier: So richten Sie einen „Scam der Woche“-Newsletter ein.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.