Suchen

Security Awareness

IT-Sicherheit mit Mensch und Maschine

Seite: 2/2

Firmen zum Thema

Sensibilisierung der Mitarbeiter

Aktuelle Sicherheitsvorfälle zeigen, dass Cyber-Kriminelle immer wieder versuchen, über Mitarbeiter in die IT-Systeme einzudringen. Laut dem „IBM 2015 Cyber Security Intelligence Index“ gehen 55 Prozent aller Sicherheitsvorfälle auf eigene Mitarbeiter zurück, die entweder böswillig oder unvorsichtig handeln.

Wichtig ist, dass die Beschäftigten das IT-Sicherheitskonzept nicht nur kennen, sondern auch im täglichen Arbeitsleben umsetzen. Um Mitarbeitern die hohe Relevanz der Maßnahmen zur Sicherstellung einer höheren IT-Sicherheit näher zu bringen, haben sich regelmäßige Awareness-Kampagnen für die Belegschaft bewährt. Die Teilnahme an den Veranstaltungen ist für alle verpflichtend.

Ziel der Schulungsmaßnahmen ist, die Aufmerksamkeit aller Mitarbeiterinnen und Mitarbeiter schärfen, damit sie etwa mit E-Mail Anhängen vorsichtiger umgehen. Wenn Mitarbeiter Auffälligkeiten auch in Bezug auf eigenes Fehlverhalten umgehend melden, kann die interne IT-Sicherheit schneller reagieren und prüfen, ob ein sicherheitsrelevanter Vorfall vorliegt.

Persönliche Schulungen eignen sich dabei besser als E-Learning-Angebote. Denn die Erfahrungen haben gezeigt, dass die Aufmerksamkeit durch die persönliche Anwesenheit deutlich höher ist. Gleichzeitig beteiligen sich die Mitarbeiter stärker und nutzen die Möglichkeit für den direkten Austausch untereinander.

Ein möglicher Themenkreis sind etwa Verschlüsselungstechniken im Zusammenhang mit hochsensiblen Kundendaten. Hier können beispielsweise Maßnahmen für einen sicheren Versand von Kundendaten via E-Mail thematisiert werden. Da auch das Thema Cybercrime immer mehr an Bedeutung gewinnt, sind die Gefahren durch Social Engineering oder Advanced Persistent Threats (APTs) ebenfalls für eine Awareness-Kampagnen geeignet. Zu diesem Themenkreis gehören auch Risiken durch öffentliche Netze, Spam oder Phishing werden vorgestellt.

Die Einbindung der Beschäftigten muss ein zentraler Baustein des IT-Sicherheitskonzepts eines jeden Unternehmens sein. Maßnahmen für die Überwachung der zentralen Themen sorgen für eine 360-Grad-Sicherheit.

Monitoring

Das rasante Datenwachstum sowie der berechtigungsgesteuerte Zugriff auf die IT machen den Einsatz von innovativen Überwachungslösungen erforderlich, um einen weitreichenden Schutz zu gewährleisten. Diese Monitoring-Tools müssen in Echtzeit Daten analysieren und Auffälligkeiten umgehend melden. Dabei müssen sie die Möglichkeit für nachträgliche Überprüfungen auf identifizierte Angriffsmuster bieten.

Alle Maßnahmen werden im Rahmen der betrieblichen Mitbestimmung mit dem Betriebsrat abgesprochen. Dabei ist großer Wert darauf zu legen, dass personenbezogene Daten nur im absolut notwendigen Maß und nach festgelegten Regeln erfasst werden.

Auf technischer Ebene sorgen sowohl eine Identity und Access-Management (IAM)-Lösung zur nachhaltigen Steuerung von Berechtigungen ein als auch ein Security Information and Event Management (SIEM)-System für eine permanente Überwachung der Systeme. Um Netzwerk-Attacken frühzeitig aufzudecken, haben sich moderne Intrusion Detection-Systeme bewährt. Denn angesichts der steigenden Qualität von Cyber-Attacken bieten insbesondere Virenscanner keinen umfassenden Schutz mehr.

Ganzheitliche Sicherheitskultur gegen Cyber-Kriminelle

Dirk Emminger
Dirk Emminger
(Bild: FI-TS)

Der Schutz und die Sicherheit sensibler Finanzdaten hat bei Banken und Versicherungen oberste Priorität. Gerade in diesem sensiblen Bereich sollten Unternehmen eine ganzheitliche Sicherheitskultur für die Sicherheit der IT-Systeme etablieren. Um diese stets aktuell zu halten, empfiehlt es sich, regelmäßig in technische und organisatorische Maßnahmen zu investieren.

* Über den Autor

Dirk Emminger ist Sales Manager bei Finanz Informatik Technologie Service (FI-TS).

(ID:43718191)