Implementieren der Security Awareness Training Platform von KnowBe4 (KMSAT) in vier Schritten

In diesem Artikel werden die Schritte erläutert, mit denen Sie Security Awareness Trainings und simulierte Phishing-Tests in Ihrem Konto implementieren. Klicken Sie auf die einzelnen Schritte unten, um mehr zu erfahren.

Schritt 1: Nutzer:innen hinzufügen

Fügen Sie Nutzer:innen zu Ihrer KnowBe4-Konsole hinzu, damit Sie simulierte Phishing-E-Mails versenden und sie für Trainingskampagnen registrieren können. 

Schritt 2: Baseline Phishing-Test durchführen

Führen Sie einen Baseline Phishing-Test durch, um herauszufinden, welche Nutzer:innen besonders anfällig für Phishing-Angriffe sind.

Schritt 3: Nutzer:innen schulen

Registrieren Sie alle Nutzer:innen für die 45-minütige Schulung zum Sicherheitsbewusstsein von Kevin Mitnick oder ein ähnliches, umfassendes Security Awareness-Trainingsmodul.

Schritt 4: Kontinuierliche Phishing- und Trainingskampagnen durchführen

Führen Sie zufällige Phishing-Tests und unterstützende Kampagnen durch, um Ihre menschliche Firewall zu stärken.

Schritt 1:  Nutzer:innen hinzufügen

Sie haben mehrere Optionen, um Ihre Nutzer:innen zur Security Awareness Training Platform von KnowBe4 hinzuzufügen. Die verfügbaren Optionen finden Sie in folgenden dazugehörigen Artikeln:

1. Nutzerbereitstellung: Hierbei handelt es sich um die bevorzugte Methode, um Nutzer:innen mit Ihrem KnowBe4-Konto zu synchronisieren und Ihre Nutzerliste im Zeitverlauf zu pflegen.
   Mithilfe der Active Directory-Integration (ADI) oder SCIM können Sie Nutzer:innen automatisch in der KnowBe4-Konsole bereitstellen. Weitere Informationen finden Sie im Leitfaden für die Konfiguration der Active Directory-Integration (ADI) oder im Artikel Leitfaden für die SCIM-Konfiguration.
2. Schnellimport: Diese Methode ist geeignet, wenn Sie weniger als 100 Nutzer:innen importieren möchten.
   • Weitere Informationen finden Sie im Abschnitt Schnellimport im Artikel Nutzer:innen und Gruppen.
3. CSV-Import: Wählen Sie diese Methode, wenn Sie eine größere Anzahl von Nutzern importieren und weitere Nutzerdaten wie Name, Telefonnummer, Gruppenmitgliedschaften und mehr einbeziehen möchten.
   • Weitere Informationen finden Sie hier: Wie importiere ich Nutzer:innen mit einer CSV-Datei?

Ressourcen für das Nutzermanagement

Die unten verlinkten Artikel helfen Ihnen beim Hinzufügen von Nutzern zu Ihrer Plattform.

• Video: Hinzufügen/Importieren von Nutzern
• Handbuch Nutzer:innen und Gruppen
  • Schnellimport
• Wie importiere ich Nutzer:innen mit einer CSV-Datei?
• Leitfaden für die Konfiguration der Active Directory-Integration (ADI)
• Leitfaden für die SCIM-Konfiguration
• So rufen Sie E-Mails aus dem Active Directory mithilfe von PowerShell ab
• Verwalten mehrerer E-Mail-Domains

Zurück zum Seitenanfang

Schritt 2: Baseline Phishing-Test durchführen

Wir empfehlen, allen Nutzern vor dem Start des Security Awareness-Trainingsprogramms einen unangekündigten Baseline Phishing-Test zu senden. Verwenden Sie diesen Test als Ausgangspunkt für Ihr Security Awareness-Trainingsprogramm. Weitere Informationen finden Sie in den folgenden Abschnitten. 

Vorläufige Testkampagne

Wir empfehlen, vor dem Erstellen der Baseline Phishing-Kampagne mindestens eine Testkampagne mit einer kleinen Gruppe von Nutzern durchzuführen, z. B. Ihrem IT-Team.

Mit dieser vorläufigen Testkampagne soll Folgendes geprüft werden:

• Ihre Whitelist wurde korrekt erstellt und die E-Mails gelangen durch Ihre Spamfilter und Ihre Firewall.
• Klicks und andere Phishing-Test-Fehler werden in Ihrem Konto getrackt. Klicken Sie auf den simulierten Phishing-Link in Ihrer Test-E-Mail, um sicherzustellen, dass solche Fehler in Ihrem Konto getrackt werden. Weitere Informationen finden Sie hier: Überwachen und Prüfen von individuellen Phishing-Kampagnen

Ermitteln der Baseline

Nachdem Sie anhand der vorläufigen Phishing-Testkampagne die korrekte Funktionsweise geprüft haben, können Sie eine Baseline Phishing-Testkampagne für alle Nutzer:innen erstellen. Das Ergebnis gibt Aufschluss über den anfänglichen Phish-prone Percentage Ihrer Organisation. Der anfängliche Phish-prone Percentage ist Ihr Ausgangspunkt. Durch einen Vergleich mit späteren Werten können Sie den Erfolg Ihres Security Awareness Training-Plans ermitteln.

Die empfohlenen Einstellungen beim Einrichten einer Baseline Phishing-Kampagne finden Sie hier: Wie richte ich den Baseline Phishing-Test am besten ein?

Vermeiden Sie überhöhtes Arbeitsaufkommen: Führen Sie den Phishing-Test zuerst mit Ihrem IT-Team durch

Wir empfehlen außerdem, zwei Baseline Phishing-Tests durchzuführen: einen für Ihr IT-Team bzw. den Helpdesk und zu einem späteren Zeitpunkt einen für die übrigen Mitarbeitenden. Auf diese Weise sind die Mitarbeitenden des Helpdesks über den Test informiert, wenn die Meldungen der anderen Mitarbeitenden zu verdächtigen E-Mails eingehen. Außerdem können IT-Team/Helpdesk so ebenfalls am Baseline-Assessment teilnehmen. Außerdem überprüfen Sie so, ob unsere E-Mail-Server ordnungsgemäß der Whitelist hinzugefügt werden, sodass die E-Mails des Baseline Phishing-Tests fehlerfrei versendet werden können.

Phishing-Ressourcen

Die unten verlinkten Artikel helfen Ihnen beim Einrichten eines Baseline Phishing-Tests. 

• Wie richte ich den Baseline Phishing-Test am besten ein?
• Welche E-Mail-Vorlage sollte ich für den ersten Baseline Phishing-Test verwenden?
• Video: Baseline in einer Minute: Passwort ändern (Klicks)
• Erstellen von Phishing-Kampagnen

Zurück zum Seitenanfang

Schritt 3: Nutzer:innen schulen

Für Ihre erste Security Awareness Training-Kampagne empfehlen wir Ihnen, zunächst alle Nutzer:innen für das 45-minütige Security Awareness Training von Kevin Mitnick oder einen ähnlichen umfassenden Kurs zu registrieren. Weitere Informationen zum verfügbaren Training Content finden Sie hier: Welche Art von ModStore-Content kann ich zu Trainingskampagnen hinzufügen? 

Die empfohlenen Einstellungen beim Einrichten Ihrer ersten Trainingskampagne finden Sie hier: Registrieren von Mitarbeitenden für das Security Awareness Training 

Trainingsressourcen

Die unten verlinkten Artikel helfen Ihnen beim Durchführen von Trainingskampagnen. 

• ModStore
  • Welche Art von ModStore-Content kann ich zu Trainingskampagnen hinzufügen?
• Registrieren von Mitarbeitenden für das Security Awareness Training
• Erstellen und Verwalten von Trainingskampagnen
• Einrichten von unterstützenden Trainingskampagnen
• Video: So richten Sie Trainingskampagnen ein
• Video: So überwachen Sie Trainingskampagnen
• Video: Erste Schritte mit Ihrem KnowBe4-Training

Zurück zum Seitenanfang

Schritt 4: Kontinuierliche Phishing- und Trainingskampagnen durchführen

Die Durchführung kontinuierlicher Phishing- und Trainingskampagnen ist ein wesentlicher Faktor, um das Problem von Phishing und Social Engineering in Ihrer Organisation in den Griff zu bekommen.

In unserer Anleitung mit bewährten Methoden finden Sie drei Beispielpläne für die Integration von KnowBe4. Die Pläne richten sich nach dem Awareness-Level. Das Awareness-Level Ihrer Organisation basiert auf den gewünschten Ergebnissen, die Sie mit Ihrem Security Awareness-Trainingsprogramm erreichen möchten. Klicken Sie auf die folgenden Einstufungen, um mehr zu erfahren: 

• Hohes Bewusstsein
• Mittleres Bewusstsein
• Niedriges Bewusstsein

Wenn Sie sich nicht sicher sind, welchen Plan Sie auswählen sollen, lesen Sie unsere allgemeinen Empfehlungen für Security Awareness Training in den folgenden Abschnitten. 

Empfehlungen für kontinuierliche Phishing-Kampagnen

Sie sollten mindestens einmal im Monat einen Phishing-Test an alle Nutzer:innen versenden. Sie können beispielsweise eine monatliche Phishing-Kampagne mit folgenden Kriterien erstellen:

• Nehmen Sie mehrere E-Mail-Kategorien und unterschiedliche Phishing-Tests auf.
• Versenden Sie die E-Mails über einen längeren Zeitraum, z. B. eine Woche. Dann wissen Nutzer:innen nicht, wann sie einen Phishing-Test erhalten.
• Fügen Sie Nutzer:innen, die den Phishing-Test nicht bestehen, einer Gruppe zu, die unterstützendes Training erhalten soll. 

Neben den monatlichen Phishing-Tests für alle Nutzer:innen sollten Sie zusätzliche Tests für Abteilungen oder Mitarbeitende mit hohem Risiko einrichten, d. h. für alle, die mit höherer Wahrscheinlichkeit einem Phishing-Angriff ausgesetzt sind.

• Wenn Sie erfahren möchten, welche Abteilungen oder Mitarbeitenden dem höchsten Risiko ausgesetzt sind, lesen Sie unsere Leitfäden Virtual Risk Officer (VRO) und Risk Score.

Weitere Informationen zum Erstellen und Anpassen von Phishing-Kampagnen finden Sie in den folgenden Artikeln:

• Erstellen und Verwalten von Phishing-Kampagnen
• Anpassen von E-Mails und Landingpages
• So verwenden Sie Platzhalter
• So verwenden Sie Platzhalter: Anwendungsbeispiele

Empfehlungen zu kontinuierlichem Training

Im Folgenden finden Sie unsere Empfehlungen für die Durchführung von kontinuierlichem Security Awareness Training in Organisationen:

• Erstellen Sie eine Gruppe für unterstützendes Training und eine unterstützende Trainingskampagne.
  • Weitere Informationen zu unterstützendem Training finden Sie in diesem Artikel: So richten Sie ein unterstützendes Training ein. Und in diesem Video: Unterstützende Trainingskampagnen.
• Schulen Sie bestimmte Gruppen oder Mitarbeitende mithilfe von rollenbasierten Trainings und anderen Spezialkursen.
  • Durchsuchen Sie den ModStore nach den gewünschten Kursen. Weitere Informationen finden Sie hier: ModStore.
• Richten Sie eine monatliche Kampagne ein, bei der „Tipps und Tricks für Ihre Sicherheit“-E-Mail an Ihre Nutzer:innen gesendet werden.
  • Weitere Informationen finden Sie hier: So richten Sie einen „Tipps und Tricks für Ihre Sicherheit“-Newsletter ein.
• Um Nutzer:innen auf dem Laufenden zu halten und vor den neuesten Phishing- und Social-Engineering-Betrügereien zu schützen, können Sie „Scam der Woche“-E-Mails an Ihre Nutzer:innen versenden.
  • Weitere Informationen finden Sie hier: So richten Sie einen „Scam der Woche“-Newsletter ein.

 Zurück zum Seitenanfang