Home | english  | Impressum | Datenschutz | Sitemap | KIT
Kontakt

KIT Campus Süd
Kollegiengebäude am Kronenplatz (Geb. 05.20)
Kaiserstr. 89
76133 Karlsruhe

  

Newsletter abbonieren
YouTube abonnieren

Externe Veranstaltungen
Montag, 11. Nov 2019
CCS 2019
Freitag, 15. Nov 2019
WPES
Montag, 09. Dez 2019
ACSAC 2019

Weitere Veranstaltungen...

KASTEL

Karlsruher IT-Sicherheitsinitiative

Schulungs- und Trainingskonzept zur Erkennung von betrügerischen Nachrichten inklusive Phishing-Nachrichten

Internetbetrüger nutzen verschiedene Strategien, um Ihnen und/oder Ihrem Unternehmen zu schaden. Eine beliebte und weit verbreitete Methode ist es, Ihnen Nachrichten mit betrügerischen Inhalten zu schicken. Dabei können die Nachrichten auf unterschiedliche Art und Weise gefährlich sein. Die Nachricht kann Sie auffordern Überweisungen zu tätigen, (kostenpflichtige) Anrufe zu tätigen oder die Nachricht enthält gefährliche Links und/oder gefährliche Anhänge. Dabei können die Nachrichten in Form von E-Mails oder aber auch über jegliche andere Nachrichtenform verschickt werden. Im Fall von gefährlichen Links in E-Mails spricht man oft von Phishing-E-Mails.

 

Worum geht es in unserem Konzept?

Um die Angriffsform 'betrügerische Nachrichten' besser zu verstehen und zu lernen, wie man sich schützen kann, haben wir Schulungs-und Trainingsunterlagen entwickelt. Diese bestehen aus vier Modulen:

  1. Einführung in das Thema
  2. Erkennung von unplausiblen, betrügerischen Nachrichten
  3. Erkennung von Nachrichten mit gefährlichen Links (inkl. Finden der URL hinter dem Link, Aufbau der URL und Tricks der Angreifer)
  4. Erkennung von Nachrichten mit gefährlichen Anhängen (inkl. Finden des Formats der Datei, Liste von besonders gefährlichen Dateiformaten und Tricks der Angreifer)

 

Das Schulungs-und Trainingskonzept ist innerhalb des vom Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der Wirtschaft geförderten Projekts KMU Aware entwickelt worden, wobei Teile des Kozepts eine Weiterentwicklung von NoPhish darstellen. 

 

Wie wurde das Konzept umgesetzt?

Das Konzept wurde auf unterschiedliche Art und Weise sowie unterschiedlich detailliert umgesetzt. 

  • Infokarte - mit den wichtigsten Regeln zur Erkennung von betrügerischen Nachrichten im Hosentaschen-Format
  • Poster - mit den wichtigsten Regeln zur Erkennung von betrügerischen Nachrichten zum Aufhängen im Büro oder zentralen Orten
  • Challenge Poster - mit verschiedenen Formen von (betrügerischen) Nachrichten und der Frage: Ist diese Nachricht vertrauenswürdig? Mit Hilfe eines QR-Codes kann man diese Frage beantworten und landet dann auf einer Seite mit der Auflösung und weiteren Tipps zum Erkennen von betrügerischen Nachrichten.
  • Video - mit einer allgemeinen Einführung ins Thema und den wichtigsten Regeln und anschaulichen Beispielen in 5 Minuten. Das Video wurde gemeinsam mit Alexander Lehmann entwickelt. Derzeit gibt es 3 verschiedene Versionen dieses Videos auf YouTube. Sowohl auf dem SECUSO Kanal wie auch bei Alexander Lehmann finden Sie alte Versionen des Videos. Die neue Version, die auf Basis von Evaluationsergebnissen verbessert wurden, ist auf dem YouTube Kanal des KIT zu finden. Das Video existiert auch auf Englisch: Video. 
  • Flyer - mit einer allgemeinen Einführung ins Thema und den wichtigsten Regeln und anschaulichen Beispielen 
  • Schulungs-und Trainingsunterlagen - alles rund ums Thema betrügerische Nachrichten mit vielen Beispielen und weiterführenden Informationen zum Selbststudium oder als Ausgangspunkt für eine Verbreitung des Wissens z.B. durch Vorträge im eigenen Unternehmen. Hierfür bieten unsere Schulungs- und Trainingsunterlagen die ideale Grundlage. Diese Unterlagen enthalten auch Übungsaufgaben. Teile dieser Unterlagen und Übungen sind in eine Android App eingeflossen. 
  • Quiz - Selbsttest zum Erkennen von betrügerischen Nachrichten. 

Hinweise:

  • Die Unterlagen können kostenlos verwendet werden, stehen aber nur zur kostenlosen Verwendung, d.h. im nicht gewerblichen Bereich zur Verfügung.
  • Die meisten Empfehlungen sind nicht absolut, da das Internet sehr komplex ist. Daher werden Sie in dieser Einheit häufig Begriffe wie ‘wahrscheinlich’, ‘sehr wahrscheinlich’, ‘potentiell möglich’ lesen. Die Empfehlungen sollen als solide Entscheidungshilfe dienen, betrügerische Nachrichten zu erkennen. 
  • Die verwendeten (potentiell) betrügerischen Nachrichten sind entweder direkt aus betrügerischen Nachrichten, die im Umlauf waren, entnommen oder an diese Nachrichten angelehnt.
  • Die verwendeten gefährlichen Webadressen sollen lediglich als Beispiele dienen. Im Einzelfall kann es jedoch sein, dass die verwendeten Wer-Bereiche direkt von dem imitierten Unternehmen selbst registriert worden sind, um Betrugsversuche zu unterbinden, oder aber von Einzelpersonen oder Unternehmen registriert worden sind, die damit jedoch keinerlei Betrug beabsichtigen.

 

Veröffentlichung

 

Pressespiegel

<kes>, Android-News, ZwischenSeiten, lex-blog, Funkkolleg-Sicherheit, TURN ON, Polizei Hessen, <kes>, Deutschlandfunk, TÜV Rheinlandpfalz, Lehrerrundmail, mimikama.at (Österreich), App der Woche, Facebook Links des BSI, Facebook Links des Fraunhofer SIT, Online PC (Schweiz), Darmstädter Echo, Learnabit, BSI für Bürger, Sparkasse Darmstadt, Netzwerke der LOEWE-Forschung

Ergänzende Tools

Es gibt Tools, die Sie dabei unterstützen, Links mit Hilfe des Erlernten einfacher zu beurteilen:

  • TORPEDO - Erweiterung für das E-Mail-Programm Thunderbird, die Sie dabei unterstützt, gefährliche Links in E-Mails zu erkennen.
  • QR-Code Scanner App - Android-App, die es ermöglicht, mit dem Smartphone QR-Codes zu scannen. Wenn in dem QR Code eine URL enthalten ist, wird die Webseite nicht direkt geöffnet, sondern die URL wird Ihnen zunächst zur Prüfung angezeigt.

Aktuelle oder frühere Referenzanwender

  • Berliner Verkehrsbetriebe
  • Amt für Gemeindedienst in der Evang.-Luth. Kirche in Bayern
  • ASAP Holding GmbH
  • Hessisches Ministerium für Umwelt, Klimaschutz,Landwirtschaft und Verbraucherschutz
  • HEAG
  • Bundesverwaltungsamt
  • MARKANT Deutschland
  • eligo
  • Könitz Porzellan GmbH
  • Lemo Maschinenbau GmbH
  • AVW Unternehmensgruppe