:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cyberattacken im Keim ersticken Mit Security Awareness Trainings die IT-Sicherheit steigern
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Unternehmen stehen klar im Visier von Cyberkriminellen. Für ihre Angriffe nutzen die Täter innovative Technologien und gerissene Methoden, um Netzwerke zu infiltrieren. Um verteidigungsfähig zu bleiben, reichen Schutztechnologien alleine nicht aus. Aufmerksame IT-Security-affine Mitarbeiter sind nötig, um Cyberattacken zu verhindern. Das nötige Wissen lernen sie in zeitgemäßen Trainings.
Die Digitalisierung der Wirtschaft schreitet stetig voran. Industrie 4.0 und Internet of Things versprechen eine Zukunft, in der alles miteinander vernetzt ist. Die Kehrseite der Medaille: Das Risiko für Cyberangriffe steigt beinahe exponentiell. Kriminelle suchen mit professionellen Methoden nach Lücken im Netzwerk oder ungeschützten Systemen, um die IT von Firmen zu kompromittieren. Oft greifen sie über das schwächste Glied in der Kette an: die Mitarbeiter.
:quality(80)/images.vogel.de/vogelonline/bdb/1628400/1628434/original.jpg "In unserer neuen Folge des Security-Insider Podcast fragen wir: Was ist eigentlich Security Awareness und warum brauchen Unternehmen das? (Vogel IT-Medien)")
Security-Insider Podcast – Folge 5
Warum brauchen wir Security Awareness?
Zwei Entwicklungen prägen aktuell das Geschehen. Erstens: Cyberkriminelle arbeiten immer schneller und nutzen automatisierte Programme, um den Schadcode vor Virenscannern zu verstecken. Diese verpackte Malware erproben Cyberkriminelle so lange an Antivirenlösungen, bis diese das verhüllte Schadprogramm nicht mehr erkennen.
Zweitens: Cyberkriminelle suchen sich ihre Opfer gezielt aus. Sie planen ihre Angriffe von langer Hand und sammeln im Vorfeld wichtige Informationen. Die Schadenssummen sind dabei so vielfältig, wie die Unternehmen selbst. Lösegeldforderungen von mehreren hunderttausend Euro bis hin zu siebenstelligen Summen sind nicht unüblich.
Immer mehr macht sich die Erkenntnis breit, dass technologische IT-Sicherheitsmaßnahmen alleine nicht ausreichen. Der aktuelle Mittelstandsreport von G DATA CyberDefense belegt, dass acht von zehn Unternehmen im deutschen Mittelstand glauben, dass ihre Mitarbeiter eine Cyberattacke auslösen können. Dabei zeigt sich immer wieder, dass schon ein falscher Klick auf den Anhang einer vermeintlichen Bewerbung oder einer Rechnung ausreicht, um eine Schadcode-Infektion der IT-Systeme auszulösen.
:quality(80)/images.vogel.de/vogelonline/bdb/1707500/1707533/original.jpg "Das eBook „Security Awareness“ erklärt, warum der Mensch das erste Angriffsziel und die erste Verteidigungslinie für Unternehmen ist. (vchalup - stock.adobe.com)")
Neues eBook „Security-Awareness“
Der Mensch im Mittelpunkt der Cybersecurity
Der Mitarbeiter: Risiko- oder Sicherheitsfaktor?
IT-Sicherheit ist Management-Aufgabe. Es liegt in der Hand der Führungskräfte, die Strategie der IT-Sicherheit festzulegen und die Bedeutung dieses Themas auch bei allen Mitarbeitern zu verankern. Dafür müssen sie auch entsprechendes Budget bereitstellen. Aber bei den IT-Budgets zögern viele Verantwortliche. Ihr Argument: „IT-Sicherheit generiert keinen Profit“. Dabei sollten sich Führungskräfte vielmehr die Frage stellen, wie lange ihr Unternehmen im Schadensfall wirtschaftlich lebensfähig ist. Richtig ist: Funktionierende IT-Sicherheitsmaßnahmen verhindern Verluste. Aber: Alleine mit der Installation einer Antiviren-Software oder der Definition einer Passwort-Regelung lassen sich wertvolle Netzwerke und kritische Daten nicht schützen. Es braucht vielmehr einen ganzheitlichen Ansatz, der Mitarbeiter zum Teil der IT-Sicherheit macht. Die Sache hat aber einen kleinen Haken: Mitarbeiter nutzen etwa aus Bequemlichkeit einfach zu merkende Passwörter und unterschätzen, welche Folgen dieses Verhalten haben kann. Daher müssen Unternehmen dafür sorgen, dass sich die Mitarbeiter nicht nur der aktuellen Gefahrenlage bewusst sind, sondern auch in die Lage versetzt werden, Angriffsmuster frühzeitig zu erkennen und entsprechend zu handeln. Es reicht aber nicht, Angestellte über die drei größten Gefahren für Cyberattacken – Mails mit infizierten Datei-Anhängen, USB-Sticks mit Schadsoftware oder bösartige Downloads – aufzuklären. Das Themenspektrum ist viel umfangreicher. Zwar haben viele Unternehmen die Zeichen der Zeit erkannt und wollen das Sicherheitsbewusstsein steigern, allerdings fehlt es gerade kleinen und mittelständischen Unternehmen an Personal, Zeit und Know-how. Daher entschließen sich viele Firmen, eine bestehende EMS-Plattform zu nutzen. Die haben nicht nur den notwenigen Content, sondern lassen sich als Cloud-Lösung unkompliziert in das Unternehmensnetzwerk integrieren. Ein weiterer Vorteil: Das System ist ortsunabhängig einsetzbar.
:quality(80)/images.vogel.de/vogelonline/bdb/1707700/1707795/original.jpg "Der KnowBe4-Benchmarking Report 2020 zeigt: 38 Prozent der ungeschulten Mitarbeiter fallen auf Phishing herein. (gemeinfrei)")
KnowBe4-Benchmarking Report 2020
Security Awareness bringt messbar mehr Sicherheit
Gleiches Wissen für alle
Es sprechen einige Gründe dafür, die unternehmenskritischen Inhalte von IT-Sicherheitsschulungen in Vor-Ort-Schulungen mit Anwesenheitspflicht zu präsentieren. Aber ab einer bestimmten Unternehmensgröße lassen sich verpflichtende Präsenzschulungen kaum noch realisieren. E-Learnings müssen keine Rücksicht auf diese Rahmenbedingungen nehmen. Gerade Unternehmen mit verteilten Standorten profitieren hiervon. Aber noch weitere Gründe sprechen für E-Learnings: Die Einheiten lassen sich auf diese Weise gut in den Arbeitsalltag integrieren – immer dann, wenn Zeit dafür ist. Dies spart Zeit sowie vor allem auch Geld und vermeidet, dass die Mitarbeiter einen oder mehrere Tage schulungsbedingt nicht produktiv arbeiten können. Gleichzeitig sollten Lerninhalte zu aktuellen Sicherheitsvorfällen kurzfristig für alle Angestellten zur Verfügung stehen.
Lebenslanges Lernen
Um das Thema vollständig abzudecken, ist ein umfassender und langfristig ausgelegter Lehrplan zielführend. Das Wissen sollte zudem nach den neuesten Lernmethoden und bedarfsgerecht vermittelt werden. Im besten Fall kommen sowohl Videos, als auch Texte und interaktive Multiple-Choice-Tests zum Einsatz. Weil der Wissensstand innerhalb der Belegschaft bei der IT-Sicherheit sehr heterogen ist, bedarf es eines Einstiegstests für jeden Teilnehmer. Dieser dient als Grundlage, um die die Inhalte für jeden Angestellten individuell anzupassen. So lassen sich größere Wissenslücken zuerst schließen.
:quality(80)/images.vogel.de/vogelonline/bdb/1513500/1513589/original.jpg "Damit Mitarbeiter lernen, dass leichtsinniges Verhalten mit persönlichen Daten oder Unternehmensdaten schwerwiegende Folgen haben kann, muss man unter Umständen den üblichen „Kuschelkurs“ verlassen. (dianabartl - stock.adobe.com)")
Paradigmenwechsel bei SecAware
Kein Kuschelkurs mehr bei Security Awareness
Regelmäßige, kurze Trainingsabschnitte lassen sich gut in den Arbeitsalltag integrieren, sodass Mitarbeiter kontinuierlich lernen. Lerninhalte bleiben besser im Gedächtnis, wenn die gezeigten Situationen einen deutlichen Bezug zum eigenen Arbeitsalltag haben. Gleichzeitig sollten die Einheiten verständlich formuliert sein und auch auf die Bedürfnisse von Angestellten ohne technische Vorkenntnisse zugeschnitten sein.
Ein weiteres wichtiges Element von Security Awareness Trainings: das Feedback. Ein erhobener Zeigefinger ist dabei nicht zielführend und trägt nicht zu einer Änderung des Verhaltens bei. Besser sind im Falle eines Fehlers detaillierte Erklärungen, was richtig gewesen wäre. Eine derartige Rückmeldung sorgt für einen guten Lernerfolg. Der Lernzuwachs ist somit auch für den Mitarbeiter, sowie für Personal- und IT-Verantwortliche messbar.
Wenn sich Unternehmen dem Thema IT-Sicherheit verweigern, riskieren sie damit möglicherweise ihre Existenz. Dabei können sie das Risiko von Cyberattacken auch durch den Einsatz von Security Awareness Trainings reduzieren. Gleichzeitig signalisieren Firmen ihren eigenen Kunden, dass sie sich ganzheitlich mit dem Thema beschäftigen. Eine Investition in das IT-Sicherheitswissen der Mitarbeiter zahlt sich langfristig immer aus.
Über den Autor: Nikolas Schran ist International Business Development Manager bei G DATA CyberDefense.
:quality(80)/images.vogel.de/vogelonline/bdb/1639000/1639019/original.jpg "Die Awareness-Trainings von G Data sollen sich leicht in den Arbeitsalltag integrieren lassen. (vladwel - stock.adobe.com)")
E-Learning-Portal
G Data trainiert Security-Awareness
(ID:46696343)
:quality(80)/images.vogel.de/vogelonline/bdb/1947700/1947715/original.jpg "Gamification ist weitaus mehr als eine Spielerei. Richtig eingesetzt absolvieren die Beschäftigten gerne Schulungen und senken spielerisch und effektiv ihr Cyberrisiko. (dusanpetkovic1 - adobe.stock.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904519/original.jpg "Laut Sailpoint stellen vor allem hybride Arbeitsweisen die IT-Sicherheit von Unternehmen auf die Probe. Deshalb sollten diese ihre Mitarbeiter schulen. (NDABCREATIVITY - stock.adobe.com)")