:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wirtschaftliche Gründe für IT-Sicherheit Investitionen in die IT-Sicherheit lohnen sich!
Wenn ein Unternehmen und seine IT-Abteilung beim Thema Sicherheit nicht an einem Strang ziehen, besteht ein hohes Risiko für Datenschutzverstöße. Alle IT-Experten sollten deshalb wissen, wie sie ihren Geschäftsführern Sicherheitserfordernisse so vermitteln können, dass sie verstanden und ernst genommen werden.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Im Jahr 2017 gab es insgesamt 5.207 Datenschutzverletzungen – 20 Prozent mehr als im Jahr 2015 – und 7,8 Milliarden Datensätze waren weltweit ungeschützt, 24 Prozent mehr als im Jahr 2016. Ein starker Sicherheitsstatus sollte für Unternehmen oberste Priorität haben. Natürlich spielen IT-Experten eine entscheidende Rolle beim Vermitteln und Implementieren von Sicherheitsprozessen, aber das Thema Sicherheit beschränkt sich nicht auf die IT-Ebene, sondern muss auch aus Unternehmensperspektive mehr in den Vordergrund rücken.
Wie ist der aktuelle Stand?
Aktuelle Sicherheitsvorgaben werden von den meisten Unternehmen unterschiedlich gehandhabt, aber oft fehlt es an Orientierung. Alle IT-Experten – unabhängig von der Größe des Unternehmens, für das sie arbeiten – sollten wissen, wie sie ihren Geschäftsführern Sicherheitserfordernisse so vermitteln können, dass sie verstanden und ernst genommen werden.
Potenzielle wirtschaftliche Risiken aufzuzeigen ist eine Möglichkeit, Vorgesetzten die Bedeutung von Sicherheitsvorkehrungen klarzumachen. Viele Unternehmen können nicht einschätzen, welche Kosten im Falle eines Datenschutzverstoßes auf sie zukommen. Jedes Unternehmen sollte eine Rechnung für eine jährliche Schadenserwartung (die Summe aus jährlicher Häufigkeitsrate und Einzelschadenerwartung) aufstellen. Diese trägt dazu bei, das Risiko einer ungenügenden Sicherheitsstrategie in Zahlen auszudrücken. Mithilfe der Formel kann man auch die Kosten für die Sicherheit eines bestimmten Produkts, z. B. Mitarbeiter-Laptop, darstellen und somit aufzeigen, wie wichtig Investitionen in Sicherheit und Benutzerschulungen sind, anstatt den Verlust oder Diebstahl dieses Geräts abzudecken.
Nicht nur die Führungsebene braucht ein neues Bewusstsein, auch Mitarbeiter müssen mit Sicherheitsrichtlinien und praktiken in einer für sie verständlichen Form vertraut gemacht werden. Zum Beispiel sollten IT-Experten die Verwendung zu technischer Begriffe vermeiden, da diese von den meisten Endbenutzern nicht verstanden werden. Außerdem sollten sie Mitarbeitern praktische Beispiele zeigen, worauf sie achten sollen, z. B. echte Phishing- oder Malware-E-Mails. Sicherheitsschulungen sollten im Rahmen von Neuanstellungen und Eingliederungsprozessen sowie mehrfach übers Jahr für alle Mitarbeiter zur Auffrischung durchgeführt werden. Mitarbeiter müssen die Sicherheit als wichtiges Unternehmensziel begreifen, da sie sonst selbst zur Schwachstelle werden könnten.
Gleichzeitig sollte jeder Mitarbeiter im Unternehmen zum Verfechter von Sicherheit werden und im Falle eines Hackerangriffs umfassend über den Aktionsplan informiert sein. Mitarbeiter müssen die nötigen Schritte kennen, wenn sie einen vermeintlichen Datenschutzverstoß oder Virus auf ihrem Mobiltelefon oder Laptop entdecken. IT-Experten sollten Mitarbeiter loben, die mit potenziellen Problemen zu ihnen kommen, und ihnen einen Ersatz-Laptop oder ein Ersatzgerät zur Verfügung stellen, damit sie weiterhin ihrer Arbeit nachkommen können, wenn ihr Gerät kompromittiert wurde.
Best Practices für eine Sicherheitsstrategie auf Geschäftsebene
Folgende Praktiken haben sich bei der Implementierung einer Sicherheitsstrategie bewährt:
Verhindern von Datenverlust: Zunächst einmal sollten Sie ermitteln, mit welchen Verlusten Sie zu rechnen haben, sollte Ihr Unternehmen anfällig für Hackerangriffe oder Datenschutzverstöße sein. Setzen Sie Risk-Intelligence-Strategien ein, um festzustellen, welche potenziellen Bedrohungen und Schwachstellen innerhalb und außerhalb Ihres Unternehmens bestehen. Unmittelbar danach sollten Strategien zur Verhinderung von Datenverlusten wie das Löschen oder Verschlüsseln bestimmter Dateien oder Daten zum Einsatz kommen.
Benutzerschulung: Die Schulung von Endbenutzern ist eine erschreckend wenig genutzte Methode zur Optimierung der Datensicherheit in Unternehmen. Die Zahlen zeigen immer wieder, dass die meisten Angriffe ihren Ursprung innerhalb des Unternehmens haben. Sie sind oft darauf zurückzuführen, dass ein Mitarbeiter Opfer eines Phishing-Angriffs wurde, der Malware ins Netzwerk einschleust, oder auf DDoS-Angriffe sowie versehentliche Endbenutzerfehler, die auf ein unzureichendes Verständnis potenzieller Sicherheitsbedrohungen zurückzuführen sind. Auf Sicherheitsschwachstellen, die durch Aktivitäten der Endbenutzer verschärft werden können, sollten IT-Abteilungen von Unternehmen proaktiv und transparent aufmerksam machen. Beispielsweise wenn Benutzer Unternehmens-E-Mail-Adressen auf einem Smartphone nutzen, dessen Betriebssystem ein Sicherheitspatch erfordert, oder soziale Netzwerke mit einem Kennwort verwenden, das möglicherweise bei einem größeren Datendiebstahl kompromittiert wurde.
Kontinuierliche und umfassende Überwachung: Wenn ein Unternehmen nichts überwacht, wird ihm auch keine Anomalie auffallen. IT-Experten können zwar nach einem entdeckten Verstoß oder Angriff eingreifen und eine Überwachungslösung einrichten. Es kann dann aber passieren, dass bestimmte von Hackern implementierte Dinge im Nachhinein nicht mehr ausfindig gemacht werden. Alle Unternehmen sollten proaktiv überwachen, um für eine Grundabsicherung zu sorgen. So ist es für sie zukünftig einfacher zu erkennen, was außerhalb der Norm liegt. IT-Experten sollten auch darauf achten, Compliance-Software wie eine Sicherheitsinformations- und Ereignisverwaltung (SIEM) in Ihrer Umgebung zu integrieren. Somit können Sie sicherstellen, dass Schwachstellen behoben werden, indem Sie beispielsweise Patches sowie Protokolle und Ereignisse über eine benutzerfreundliche Schnittstelle verwalten.
Anpassen der Sicherheitsrichtlinien: Unternehmen müssen in der Lage sein, ihre Sicherheitsrichtlinien problemlos zu überarbeiten. Denken Sie daran, dass sich die Bedrohungslandschaft ständig verändert. Man sollte sich nicht auf eine Strategie festlegen und diese einfach immer weiter fortführen. Stattdessen sollten die Sicherheitsrichtlinien alle sechs bis neun Monate neu überprüft werden, um sicherzustellen, dass alles auf dem neuesten Stand und so effektiv wie möglich ist. Ich bin bei der Analyse der Sicherheitsprozesse von Unternehmen schon häufiger auf Richtlinien gestoßen, die ganze zwei Jahre zuvor eingerichtet worden waren, ohne dass irgendjemand sie jemals aktualisiert hätte. Es sollte zwei verschiedene Sicherheitsrichtlinien geben: eine für Mitarbeiter und eine, die als Rahmen für die Netzwerk-, System- und Sicherheitsteams des Unternehmens dienen kann.
Richtlinie bei Verstößen: Für jedes Unternehmen ist es von entscheidender Bedeutung, eine Richtlinie zu haben, aus der hervorgeht, was nach einem Verstoß zu tun ist und wie daraus resultierende Probleme anzugehen sind. Die Richtlinie sollte Präventionsmaßnahmen, Schwachstellen des Unternehmens, durchgeführte Tests und einen Reaktionsplan nach Vorfällen berücksichtigen, einschließlich einer Kommunikationsstrategie. Schließlich sollten alle Unternehmen die Vorfälle auswerten, um Einblicke in die gewonnenen Erfahrungen zu erhalten sowie neue Prozesse und Technologien zu benennen, die nach einem Vorfall zum Einsatz kommen.
Sicherheit muss eine hohe Priorität für das gesamte Unternehmen haben – nicht nur für die IT – und Benutzerschulungen sind der erste wichtige Schritt dahin. Nur wenn Mitarbeiter verstehen, wie sie selbst sicher handeln sowie ihr Unternehmen und die Unternehmensdaten sicher behandeln, vermeiden sie unbeabsichtigte Gefährdungen ihres Geschäftsbetriebs.
Über die Autorin: Destiny Bertucci ist Head Geek bei SolarWinds.
(ID:45460345)
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904578/original.jpg "„Policy-as-Code kann viele Nacharbeiten vermeiden, die entstehen, wenn sich Entwickler der Sicherheitsrichtlinien nicht bewusst sind.“ (sarayut_sy - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940917/original.jpg "Beim Eisfischen wird ein Loch in ein gefrorenes Gewässer geschnitten, um Fische zu fangen, beim Ice-Phishing stehlen Cyberkriminelle durch Social Engineering Blockchain-Token. (Leonid Ikan - stock.adobe.com)")