:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
4 Erkenntnisse für IT-Security-Exprten Lehren aus der Corona-Krise
In all seine Schrecken und den sich daraus ergebenden Auswirkung hat SARS-CoV2 (Coronavirus) doch auch das Potential, als Lehrstunde für viele unterschiedliche Bereiche zu dienen. Denn die erste große Pandemie der Neuzeit zeigt die Stärken, Schwächen und auch die Ohnmacht der Betroffenen auf.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Nicht nur Wissenschaftler und Forscher können vom Coronavirus lernen, sondern auch der Beauftragte für Security Awareness, der hier durchaus Parallelen zu seiner Arbeit ziehen kann. Denn das Coronavirus ist für den Großteil unserer Bevölkerung ebenso imaginär wie ein Cyberkrimineller und dessen Aktivitäten.
Beide Bedrohungen sind mehrheitlich weit weg, betreffen nur andere und gehen an einem selbst vorbei (meistens). Das einzige was man erfährt sind Regeln, Vorschriften und sich daraus ggf. ergebende Einschränkungen beziehungsweise Belastungen.
Erkenntnis 1: Alle Menschen haben ein individuelles Sicherheitsbewusstsein
Der Wunschtraum aller Beauftragen für Security Awareness (Security Awareness) ist es, Maßnahmen und Regeln zu etablieren, die von allen umgesetzt werden, um das Security-Bollwerk zu verstärken. Nur in der Praxis funktioniert das leider nicht.
Bestes Beispiel ist die (überholte) Anforderung, regelmäßig sein Passwort zu wechseln. Je kürzer die vorgegebene Zeit, desto mehr wird diese Maßnahme umgesetzt. Die wenigsten spielen mit und erzeugen alles sechs Wochen ein Passwort nach diversen Regeln. Meistens wird das Passwort, welches den Ansprüchen genügt nur minimal modifiziert. So wird aus „Sepp123HALLO###“ einfach ein „Sepp123HALLO##:“ oder ein „Sepp123Hallo##+“.
Anderseits gibt es aber auch das andere Extrem, Mitarbeiter, die dieser Vorschrift Folge leisten und dann regelmäßig beim internen Service-Desk aufschlagen, da sie sich an das komplexe Passwort nicht mehr erinnern können (Aufschreiben soll man es ja nicht!). Ungeachtet der diversen Lösungsansätze aus diesem Dilemma (2FA, Passwort-Safe etc.) ist dies in vielen Firmen ein Problem.
Eine Analogie zu Corona ist hier die vorgeschriebene Schutzmaske. Von einem legeren anlegen, bei dem nur der Mundbereich bedeckt ist (falsch), bis hin zur korrekten Anwendung (bedecken Nase und Mund) kann man alles im täglichen Leben beobachten. Auch PKW-Fahrer die allein im Auto sitzen und auch während der Fahrt die Maske anlegen (Je Bundesland spezifisch). Selbst Spaziergänger, die allein auf wenig genutzten Waldwegen spazieren gehen, tragen eine Maske. Pollenschutz oder falsch verstandene Vorsorge?
Generell kann man nur jedem Security Awareness-Beauftragten raten, sich einmal eine halbe Stunde Zeit zu nehmen und Leute beim Einkaufen zu beobachten. Das Erlebte kann Denkanstöße für die eigene Arbeit vermitteln!
- Manche mache zu viel (Maske beim Autofahren, Spazierengehen)
- Manche machen es falsch (Maske nur über Mund)
- Manche machen gar nichts (schicken Partner einkaufen)
- Man nutzt individuelle Interpretationen
Erkenntnis 2: Man kann ein Thema auch totreden und die Akzeptanz verlieren
Security Awareness ist nicht einfach zu vermitteln – eine der zahlreichen Herausforderungen besteht darin, die richtige Informationsmenge und Dosierung zu finden! Erleidet eine große Firma beispielsweise einen Datenverlust, ist die ein guter Aufhänger, um auf den Umgang mit Daten zu verweisen und Angriffsarten wie Spear-Phishing. Präsentiert man diese Informationseinheit mehrmals, wird sie am Ende die Konsistenz eines ausgelutschten Kaugummis haben -niemand hat Interesse daran. Auch Informationen, die zwangsweise zurechtgebogen werden, um zu einem Thema zu passen, bringen wenig, denn die Mitarbeiter sind durchaus fähig diesen (ungeschickten) Kunstgriff zu erkennen. Und ein Experte in einer TV-Talkrunde, dessen Erfahrungen mit Corona, quasi nicht Existenz sind, bringt ebenso wenig. Wer sich um hört, wird sicher im Bekanntenkreis auf Leute treffen, die sagen „Ich kann es nicht mehr hören“ – die konsequent jede Information verweigern, da sie das Thema leid sind.
Wer also wöchentlich oder gar täglich Informationen präsentiert, kann sein Publikum auch totreden und einen höchst gefährlichen Contra Effekt etablieren. Die sarkastische Aussage „In Deutschland haben wir mehr Corona-Experten als Opfer“ mag dies unterstreichen.
Der Security Awareness-Spezialist sollte daher die nachfolgenden Punkte in seiner Arbeit ausmerzen.
- Es gibt keine neuen Informationen, man wärmt nur bekanntes wieder auf
- Man verliert sich in Details, die keinen relevanten Mehrwert bieten
- Unterschiedliche Aussagen zu einem Thema (Management / Experten)
- Die Themen sind für andere Zielgruppen gedacht und verpuffen wirkungslos
Erkenntnis 3: Vertrauensverlust ist eine stetige Bedrohung!
Corona ist ein komplexes Thema, dass sich nachweislich vielen Bemühungen der Bekämpfung wiedersetzt. Politiker, die bei einer Thematik heute GO sagen, um in einer Woche laut STOP zu verkünden, verlieren in der Bevölkerung an Vertrauen.
Dies konnte man auch in den entsprechenden Presse-Veröffentlichungen nachverfolgen. Wobei man letztendlich sagen muss, auch Politiker sind Menschen und wir machen alle Fehler.
Aber Fehler muss man reduzieren – vor allem dann, wenn andere Personen von den Auswirkungen betroffen sein können. Wenn beispielsweise der Security Awareness-Beauftragte einen Token-Generator fordern, der einen temporären Zugangscode liefert, ist das eine großartige Sache. Falls aber das Gerät schon nach 6 Wochen die ersten Ausfälle erleidet, die Ziffern aufgrund der Display-Qualität nicht gut abgelesen werden können und man nie ganz sicher ist, ob es nun eine Ziffer 2 oder eine Ziffer 5 ist (Der Generator steht auf dem Kopf) wird die Gerätequalität dem Initiator der Aktion zugeschrieben. Dies wird dann dazu führen, dass jedwede Aktion des Betroffenen in der Zukunft mit Skepsis oder einem Lächeln begegnet wird, um dann hinter vorgehaltener Hand eine Bemerkung wie „Security Awareness hat schon wieder einen neuen Generator ausgegraben“. Oder wie schon Bismarck bemerkte: „Vertrauen ist eine zarte Pflanze; ist es zerstört, so kommt es sobald nicht wieder.“
Für den Security Awareness-Beauftragten bedeutet dies, das er a) Fehler vermeiden soll und auch b) stets ein Auge darauf werfen muss wie die Klientel seine Aktivitäten empfindet, um nicht einen Vertrauensverlust zu erleiden.
- Entscheidungen über den Kopf hinweg! Der Anwender fühlt sich: Ausgegrenzt, beschnitten, gegängelt und nicht wertgeschätzt
- Die Zuständigen haben keine Fachkompetenz! Bedingt durch widersprüchliche Handlungen/Aussagen
- Langfristige Ziele werden nicht kommuniziert. Wo soll es überhaupt hingehen?
- Es gibt keine qualifizierten Informationen von zentraler Stelle. Nur Indianer agieren, keine Häuptlinge
- Offensichtlich existierende, alternative Lösungen werden nicht eingesetzt? Keine Erklärung, weshalb dies z.B. nicht im aktuellen Kontext praktizierbar ist
Erkenntnis 4: Außenwirkung verifizieren
Wie eingangs erwähnt, man kämpft bei Security Awareness in der Regel gegen einen unsichtbaren Feind und das Ziel ist es, einen Kontakt/Angriff vorab zu verhindern. Dies erfordert auch die Miteinbeziehung der Endanwender in die Sicherheitsmaßnahmen, deshalb gibt es ja Security Awareness. Denn die etablierte Meinung „Die IT wird es schon richten“ – trifft leider nicht immer zu (Gute Zauberer und Magier sind schwer zu bekommen!)
Die Außenwirkung von Security Awareness ist daher entscheidend über den Erfolg aller getroffenen Maßnahmen. Auch wenn Mitarbeiter darüber lächeln, Witze machen, sofern Sie die Maßnahmen leben ist alles in Ordnung.
Ein aktueller Corona-Witz, bei dem der Polizeibeamte den Bankangestellten fragt, „Wie sah denn der Täter aus?“ und dieser antwortet „Kein Ahnung er trug eine Maske!“ – mag dafür ein Beispiel sein. Man macht Witze, trägt aber eine Maske! Ziel erreicht!
Manchmal wird man aber auch von einer gegenteiligen Wirkung überrascht. Denn die Maßnahmen, zur Einschränkung der Corona-Pandemie werden von vielen als zu massive Einschränkung Ihrer Grundrechte empfunden und bringen die in Demonstrationen zum Ausdruck. Verwunderlich, aber gelebte Realität in deutschen Städten.
Oftmals ist eine solche Reaktion aber auch erklärbar. Um bei der Corona-Thematik zu bleiben, der britische Premierminister Boris Johnson erkrankt an Corona, ist einige Tage auf der Intensivstation eines Krankenhauses und nach einer Erholungsphase, betritt er dann wieder gesund die politische Bühne. Also, kann das alles mit Corona doch nicht so schlimm sein – oder?
Eine naheliegende Annahme – aber diese basiert auf keinerlei Informationen, sagt nichts über das Glück des Betroffenen aus, die Infektion zu überleben, nicht über die ärztlichen Entscheidungen und auch nichts über die lebensbedrohlichen Details.
Gibt man Menschen keine Fakten/Daten, suchen Sie selbst nach Antworten – das diese nicht immer zutreffend sind ist verständlich. Von daher sollte jeder Security Awareness-Beauftrage darauf achten, Fakten zu liefern, die seine Entscheidung bzw. die getroffenen Maßnahmen verständlich machen. Denn bei IT-Sicherheit ist kein Platz für Spekulation – IT-Sicherheit braucht Fakten und gemeinsame Anstrengungen – ebenso wie auch der Kampf gegen Corona.
Der Security-Awareness-Beauftragte sollte daher immer verifizieren, wie es um die Akzeptanz seines Themas bei den Anwendern bestellt ist. Zu überprüfen ist:
- Verursachen getroffenen Maßnahmen Ärger und Unwillen bei den Anwender?
- Zieht die Anwender das Thema ins lächerliche?
- Werden die Aktivitäten verstanden – und akzeptiert?
- Gibt es Gegenströmungen, mit denen man in den Dialog treten kann?
- Verstehen die Anwender ihre wichtige Rolle, oder vertrauen sie blind darauf, das andere alles machen?
- Werden die plakativen Beispiele zur Visualisierung vernünftig gewählt und nicht übertrieben dargestellt?
Aktuell, da die Mehrzahl der Computer-Anwender sich im Home Office befindet ist Security Awareness kein leichtes Geschäft. Auch wenn man sich über die verfügbaren Kommunikationsmethoden hervorragend austauschen kann, ist mitunter doch der Dialog bei einer Tasse Kaffee erfolgreicher. Momentan sollte man daher ruhig einmal wieder die Schulbank drücken und die Corona-Erkenntnisse reflektieren und die eigenen Maßnahmen auf Effektivität überprüfen. Denn wenn es wieder heißt „Business as usual“, muss Security Awareness funktionieren!
In diesem Sinn – Bleiben Sie gesund!
(ID:46752192)
:quality(80)/p7i.vogel.de/wcms/75/f6/75f6764b0db6aeedf060f9e7d819391d/0109123605.jpeg "ChatGPT ist der Prototyp eines hoch entwickelten, dialogorientierten KI-Chatbots, der seit Ende November 2022 für die Öffentlichkeit kostenlos zugänglich ist. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a2/ba/a2ba314c03872ff061eb7a82ab849e02/0108025867.jpeg "Auch die verstärkten Aufklärungsmaßnahmen in Sachen IT-Sicherheit konnten die Wiederverwendung gleicher oder ähnlicher Kennwörter 2022 nicht eindämmen. (Bild: adam121 - stock.adobe.com)")