2023 / Awareness

Escape Awareness: Warum sie zwingend erforderlich ist

Escape Awareness ist ein Teil der bekannten Security Awareness. Bei den Begriffen handelt es sich um Maßnahmen, die dafür sorgen sollen, dass Mitarbeiter:innen ein Bewusstsein für entsprechende Angriffe von Cyberkriminellen erhalten. Dieses Bewusstsein wiederum erhöht automatisch auch die IT-Sicherheit im eigenen Unternehmen, weil die Angestellten deutlich achtsamer mit bestimmten Dingen umgehen.

Dazu gehört es auch, dass E-Mails stets als Phishing hinterfragt werden und sensible Informationen nicht, ohne darüber nachgedacht zu haben, gedankenlos weitergereicht werden. Escape Awareness behandelt außerdem einen Punkt, an dem die Flucht noch möglich ist, da es bislang zu keinem ernsthaften Angriff kam. Sie erzeugt gewissermaßen ein Bewusstsein dafür, was getan und was nicht getan werden kann, um die entsprechende Sicherheit dauerhaft gewährleisten zu können.

Was bedeutet Escape Awareness?

Wörtlich übersetzt würde Escape Awareness so etwas wie Fluchtbewusstsein bedeuten. Tatsächlich wird im Bereich der Cybersicherheit aber eher von einem Gefahrenbewusstsein gesprochen. Escape Awareness meint im weiteren Verlauf also, dass Mitarbeitende darüber Bescheid wissen, welche Gefahren auf sie zukommen können.

Dies wird über Schulungen vermittelt, ebenso wie in entsprechenden Seminaren. Wir selbst bieten ebenfalls Security Awareness Trainings an, bei denen wir in Unternehmen genau dieses Bewusstsein für Gefahren hervorrufen wollen. Denn nur wer weiß, wie die Kriminellen im Zweifelsfall vorgehen werden, kann auch bestmöglich darauf vorbereitet sein und dann gezielt reagieren.

Escape Awareness meint somit nichts anderes, als ein Bewusstsein dafür zu schaffen, welche Gefahren in der IT-Welt lauern und in welchen Fallen eine Flucht die sinnvollere Entscheidung ist. Beispielsweise im Falle von Phishing E-Mails, wo ein Klick bereits ausreicht, um potenziell weitergeleitet zu werden. Escape Awareness meint nun die Gewissheit des Mitarbeitenden, dass er hier besser flüchtet, also nicht klickt.

Warum ist ein Bewusstsein für Gefahren wichtig?

Am Ende geht es bei der Aufklärung immer auch darum, dass Ihre Mitarbeitende im Unternehmen verstehen, welche Gefahren lauern. Cyberkriminelle agieren mitunter sehr erfinderisch und clever, weshalb entsprechende Attacken nicht immer sofort ersichtlich sind. Gerade das Phishing ist zum Teil so gut getarnt und angepasst, dass es nur noch dann auffällt, wenn vorab für eine gewisse Escape Awareness gesorgt wurde.

In den entsprechenden Schulungen wird Ihren Mitarbeitenden dann gezeigt, was im Alltag so alles passieren kann. Und das ist eine ganze Menge, wobei das Meiste eben wenig offensichtlich passiert. Um potenzielle Gefahren und Schwachstellen bzw. Sicherheitsrisiken zu vermitteln, setzen wir unter anderem auf ein Story Based Learning. Dabei handelt es sich um ein Modell, bei dem wir echte Fälle aufrollen und auf diese Weise sehr bildlich präsentieren, wie es überhaupt zu dem Angriff gekommen ist.

Dieses Prinzip führt nicht nur zu einem schnelleren und logischeren Verständnis von Schwachstellen, sondern zeigt auch, wo Gefahrenstellen bereits entsprechend ausgenutzt wurden. Allgemein erkennen Mitarbeitende bei solchen Schulungen also, wann der richtige Zeitpunkt gekommen ist, um zu fliehen. Im Falle eines Phishing-Versuchs ist das etwa der Punkt, an dem sensible Informationen weitergereicht werden sollen. Ein absolutes No-Go für jeden, der ein entsprechendes Escape Awareness Training absolviert hat.

Wie kann Escape Awareness im Unternehmen helfen?

Für Ihr Unternehmen ist die Informationssicherheit von entscheidender Bedeutung, weshalb diese auch von Ihren Mitarbeitenden verstanden und verinnerlicht werden sollte. Durch Trainings passiert genau das. Viel effektiver kann aber eine Live Hacking Show sein, bei der die sogenannten Ethical Hacker zeigen, wie bösartige Angreifende tatsächlich vorgehen würden.

Diese Live Hacking Shows bieten wir am liebsten an, wenn bislang noch wenig Maßnahmen bezüglich Escape Awareness und Security Awareness stattgefunden haben. Denn im Gegensatz zu einer Schulung, bei der es etwas zielgerichteter vonstattengeht, sind die Live Hacking Shows immer ein großes Event, welches auf reges Interesse stößt. Es wird einfach sehr bildlich vorgestellt, wie sich Hacker im Ernstfall verhalten und was typische Einfallstore im Unternehmen sind.

Ihr Unternehmen wird von Escape Awareness Maßnahmen in jedem Fall profitieren. Bei solchen Trainings geht es immer darum, dass Mitarbeitende verstehen und verinnerlichen, worauf es im Bereich der Informationssicherheit ankommt und wie schnell diese in ernsthafter Gefahr ist. Schlussendlich erhöht sich die Sicherheit bei Ihnen also zwangsläufig, weil Mitarbeitende sensibilisierter auftreten und auf typische Angriffe gar nicht mehr reagieren, geschweige denn auf Phishing hereinfallen.

Unser Fazit zum Gefahrenbewusstsein

Nur wer weiß, was ein Phishing-Angriff überhaupt ist, kann diesen erkennen. Nur wer versteht, wie Cyberkriminelle Unternehmen angreifen, ausspionieren und Daten erlangen, erkennt solche Machenschaften im eigenen Betrieb. Wissen ist Macht und das gilt insbesondere bei der Cybersicherheit. Leider wird solch ein Wissen nur selten vermittelt.

Als AWARE7 GmbH haben wir natürlich ebenfalls solche Trainings und Live Hacking Shows mit in unserem Repertoire. Als Dienstleister im Bereich der Cybersicherheit wissen wir nämlich ebenfalls, dass derartige Maßnahmen helfen können, vor allem aber auch eine Sensibilisierung im eigenen Unternehmen stattfinden muss, um Schwachstellen direkt bei den Menschen selbst zu schließen. Und darauf kommt es am Ende oft an, wie die Erfahrung zeigt.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.