:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security Awareness-Experten sind gefragt! Das menschliche Risiko managen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Jedes Jahr befragt das SANS Institute Tausende von Sicherheitsexperten auf der ganzen Welt, um zu vergleichen und besser zu verstehen, wie Unternehmen das Risiko des menschlichen Faktors managen. Anhand der Umfragedaten wird ein kostenloser Bericht erstellt, der Erkenntnisse und datengestützte Maßnahmen enthält, die wiederum Unternehmen für sich nutzen können.
Als Best Practices sollte jede Organisation einmal im Jahr eine Übung mit dem Security Awareness Maturity-Modell durchführen, um den Reifegrad ihres Security Awareness- bzw. Security Culture-Programms zu messen. Die Ergebnisse dieser Übung dienen dazu, die Faktoren zu identifizieren, die den größten Einfluss auf die Reife und den Erfolg Ihres Programms haben. Dreh- und Angelpunkt für den Reifegrad des Programms ist die Anzahl der Vollzeitbeschäftigten im Cybersecurity-Team, die sich mit Security Awareness beschäftigen.
Das Management menschlicher Risiken ist letztlich ein menschliches Problem, dass sich auch nur mit Menschen lösen lässt. IT-Security Verantwortliche können dieses Thema nicht einfach mit mehr Technologie bekämpfen und erwarten, dass diese die Risiken schon in den Griff bekommen. Je mehr Menschen in der IT-Sicherheitsabteilung arbeiten, desto effektiver können sie ihre Mitarbeiter einbinden, ihr Verhalten ändern und letztendlich eine starke Sicherheitskultur schaffen und diese bemessen.
Um ein Security Awareness-Team zu vergrößern, muss in der Führungsebene zunächst der Mehrwert vermittelt werden, den ein größeres Team tagtäglich für das Unternehmen erbringt. Der häufigste Fehler, den diese Teams aber machen, besteht darin, dass sie nur über die von ihnen durchgeführten Schulungsmaßnahmen sprechen. Stattdessen müssen Security Awareness-Teams kommunizieren, wie sie mit menschlichen Risiken umgehen und wie das Programm die strategischen Prioritäten der Unternehmensleitung unterstützt und darauf abgestimmt ist. Im Folgenden werden Maßnahmen beschrieben, wie dies gelingt.
Die vier größten menschlichen Risiken
1. Phishing/Smishing/Vishing
Diese Kategorie bezieht sich auf die drei häufigsten Social-Engineering-Angriffe: E-Mail-basiertes Phishing, SMS-basiertes Smishing und sprachbasiertes Vishing. Diese Risiken wurden von den Befragten bei weitem am häufigsten als menschliches Risiko eingestuft. Mit den Möglichkeiten der künstlichen Intelligenz wird es für Cyber-Bedrohungsakteure noch einfacher, maßgeschneiderte Phishing-Angriffe mit weniger Rechtschreib- oder Grammatikfehlern und in jeder beliebigen Sprache zu erstellen. Es sollte bedacht werden, dass dies nicht nur für E-Mails oder Messaging gilt: KI kann jetzt ebenso leicht jede menschliche Stimme synthetisieren, die ein Angreifer gebrauchen könnte. Sprachfetzen eines mitgeschnittenen Telefonats eines CEOs oder eines Familienangehörigen reichen in Zukunft wahrscheinlich schon aus. In vielerlei Hinsicht ist die KI damit der neue Treibstoff für Cyber-Bedrohungsakteure, so dass Unternehmen mit einer Zunahme sowohl der Raffinesse als auch des Umfangs dieser Arten von Angriffen rechnen können.
2. Passwörter & Authentifizierung
Überraschend war dieses Top-Risiko nicht, jedoch wäre zu erwarten gewesen, dass dieses Risiko viel höher eingestuft wird, gleichwertig mit Phishing. Ein Grund dafür, dass Passwörter vergleichsweise als ein viel geringeres Risiko wahrgenommen werden, ist der aktive Einsatz von Passwort-Managern, die starke Passwörter einfacher machen und die Einführung von stärkeren Authentifizierungskontrollen wie der Multi-Faktor-Authentifizierung (MFA).
3. Erkennung & Reporting
Überraschend ist, dass der Bereich Erkennung und Reporting in der Risikoeinstufung gleichauf mit Passwörtern und Authentifizierung liegt. Dass die Befragten die Erkennung und Berichterstattung als wichtigstes Anliegen identifiziert haben, ist eine positive Entwicklung. Sie bedeutet, dass die Unternehmen bei ihren Security Awareness-Programmen über die reine Prävention einer menschlichen Firewall hinausgehen. Sie setzen auf die Entwicklung eines menschlichen Sensors als Detection-Mechanismus, der den Unternehmen hilft, die Verweildauer der Angreifer im Netzwerk bzw. auf den kompromittierten Geräten zu reduzieren. Der Schlüssel zur Entwicklung eines menschlichen Sensornetzwerks liegt nicht nur darin, Mitarbeiter darin zu schulen, worauf sie achten müssen, sondern auch darum, die Meldung eines vermuteten Vorfalls so einfach wie möglich zu gestalten. Außerdem ist es wichtig, die bisherige Sicherheitskultur zu verstehen. Wie wahrscheinlich ist es, dass die Mitarbeiter einen Vorfall melden, selbst wenn sie wissen, dass sie ihn verursacht haben? In einer Sicherheitskultur, in der großes Vertrauen herrscht, ist die Wahrscheinlichkeit, dass die Mitarbeiter einen Vorfall melden, sehr viel größer. In einer toxischen Sicherheitskultur in der Fehlverhalten bestraft wird, ist eher das Gegenteil der Fall und es kommt eher dazu, dass Mitarbeiter einen Vorfall nicht melden oder sogar versuchen, ihn zu vertuschen.
4. Fehlkonfiguration in der IT-Administration
Diese Risikokategorie taucht immer häufiger als Problem auf. IT-Administratoren verwalten sensible Systeme und Daten immer häufiger in der Cloud. Das Problem ist, dass die Cloud eine sehr verwirrende Umgebung sein kann. In dem Moment, in dem sich die Administratoren endlich einen Überblick verschafft haben, entwickelt sich die Technologie weiter, die Funktionen ändern sich oder neue werden hinzugefügt. Mit anderen Worten: Es ist sehr leicht, einen Fehler zu machen. Sind IT-Administratoren verwirrt, sind die Auswirkungen eines Vorfalls weitaus größer zum Beispiel durch eine versehentliche Veröffentlichung eines hochsensiblen Datensatzes. Daraus leitet sich eine große Nachfrage nach speziellen Schulungen für IT-Administratoren und Entwicklern ab, um ihnen zu vermitteln, wie sie die Cloud sicher verwalten und nutzen können.
Überraschend ist nicht, dass Social Engineering die Liste der größten Risiken anführt, sondern dass es als viel größeres Risiko als alle anderen menschlichen Risiken wahrgenommen wird. Unabhängig von der Identität des Cyberangreifers, seinen Fähigkeiten, technischen Möglichkeiten oder seiner Motivation ist Social Engineering für die meisten Cyberangreifer der einfachste und effektivste Weg, um in einem Unternehmen Fuß zu fassen.
Gehalt & Karriere
Eine häufig gestellte Frage von angehenden Security Awareness-Beauftragten dreht sich um die Frage, wie viel Gehalt er verdienen wird. In den USA und Kanada verdienen Security Awareness-Manager das meiste, nämlich im Durschnitt 116.000 US-Dollar und in Ozeanien (Australien und Neuseeland) am zweitmeisten mit 112.000 US-Dollar Jahresgehalt. In Europe liegt das durchschnittliche Salär bei 79.000 US-Dollar.
Ein weiteres interessantes Ergebnis der diesjährigen Umfrage ist, dass Security Awareness-Experten, die sich auf menschliche Risiken spezialisieren (wie in ihrer Berufsbezeichnung definiert), zum ersten Mal mehr verdienen als diejenigen, deren Berufsbezeichnung nicht auf menschliche Risiken ausgerichtet ist. Weltweit liegt das Gehalt von Awareness-Experten, deren Titel einen Fokus auf menschliche Risiken widerspiegelt, bei durchschnittlich 104.000 US-Dollar, verglichen mit 97.000 US-Dollar für Experten mit allen anderen Rollen.
Fazit
Der Mensch ist zum Hauptangriffsvektor geworden. Für Cyber-Bedrohungsakteure auf der ganzen Welt ist der Mensch und nicht die Technologie der größte Schwach- und damit der erste Ansatzpunkt in den Unternehmen. Programme zur Förderung der Security Awareness und die Fachleute, die sie verwalten, sind der Schlüssel zur Abschwächung des Risikos des menschlichen Faktors. Der Reifegrad der Profession des Security Awareness-Beauftragten ist daher eine der wichtigsten Entwicklungen in der gesamte IT-Sicherheits-Community.
Über den Report: Die 8. Ausgabe des SANS Security Awareness Report 2023 enthält Daten von fast 2.000 Sicherheitsexperten aus über 80 Ländern.
Über den Autor: Lance Spitzner ist Senior Instructor und Security Awareness-Experte beim SANS Institute.
(ID:49651143)
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/a3/14/a31460b6052f2751b443116933d067a1/0113369864.jpeg "Das Hauptziel von Phishing-Angriffen ist immer der Mensch, der dazu verleitet werden soll, schädliche Aktionen auszuführen. (Bild: Canva)")