:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cyberattacken im Keim ersticken Mit Security Awareness Trainings die IT-Sicherheit steigern
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
Unternehmen stehen klar im Visier von Cyberkriminellen. Für ihre Angriffe nutzen die Täter innovative Technologien und gerissene Methoden, um Netzwerke zu infiltrieren. Um verteidigungsfähig zu bleiben, reichen Schutztechnologien alleine nicht aus. Aufmerksame IT-Security-affine Mitarbeiter sind nötig, um Cyberattacken zu verhindern. Das nötige Wissen lernen sie in zeitgemäßen Trainings.
Die Digitalisierung der Wirtschaft schreitet stetig voran. Industrie 4.0 und Internet of Things versprechen eine Zukunft, in der alles miteinander vernetzt ist. Die Kehrseite der Medaille: Das Risiko für Cyberangriffe steigt beinahe exponentiell. Kriminelle suchen mit professionellen Methoden nach Lücken im Netzwerk oder ungeschützten Systemen, um die IT von Firmen zu kompromittieren. Oft greifen sie über das schwächste Glied in der Kette an: die Mitarbeiter.
:quality(80)/images.vogel.de/vogelonline/bdb/1628400/1628434/original.jpg "In unserer neuen Folge des Security-Insider Podcast fragen wir: Was ist eigentlich Security Awareness und warum brauchen Unternehmen das? (Vogel IT-Medien)")
Security-Insider Podcast – Folge 5
Warum brauchen wir Security Awareness?
Zwei Entwicklungen prägen aktuell das Geschehen. Erstens: Cyberkriminelle arbeiten immer schneller und nutzen automatisierte Programme, um den Schadcode vor Virenscannern zu verstecken. Diese verpackte Malware erproben Cyberkriminelle so lange an Antivirenlösungen, bis diese das verhüllte Schadprogramm nicht mehr erkennen.
Zweitens: Cyberkriminelle suchen sich ihre Opfer gezielt aus. Sie planen ihre Angriffe von langer Hand und sammeln im Vorfeld wichtige Informationen. Die Schadenssummen sind dabei so vielfältig, wie die Unternehmen selbst. Lösegeldforderungen von mehreren hunderttausend Euro bis hin zu siebenstelligen Summen sind nicht unüblich.
Immer mehr macht sich die Erkenntnis breit, dass technologische IT-Sicherheitsmaßnahmen alleine nicht ausreichen. Der aktuelle Mittelstandsreport von G DATA CyberDefense belegt, dass acht von zehn Unternehmen im deutschen Mittelstand glauben, dass ihre Mitarbeiter eine Cyberattacke auslösen können. Dabei zeigt sich immer wieder, dass schon ein falscher Klick auf den Anhang einer vermeintlichen Bewerbung oder einer Rechnung ausreicht, um eine Schadcode-Infektion der IT-Systeme auszulösen.
:quality(80)/images.vogel.de/vogelonline/bdb/1707500/1707533/original.jpg "Das eBook „Security Awareness“ erklärt, warum der Mensch das erste Angriffsziel und die erste Verteidigungslinie für Unternehmen ist. (vchalup - stock.adobe.com)")
Neues eBook „Security-Awareness“
Der Mensch im Mittelpunkt der Cybersecurity
Der Mitarbeiter: Risiko- oder Sicherheitsfaktor?
IT-Sicherheit ist Management-Aufgabe. Es liegt in der Hand der Führungskräfte, die Strategie der IT-Sicherheit festzulegen und die Bedeutung dieses Themas auch bei allen Mitarbeitern zu verankern. Dafür müssen sie auch entsprechendes Budget bereitstellen. Aber bei den IT-Budgets zögern viele Verantwortliche. Ihr Argument: „IT-Sicherheit generiert keinen Profit“. Dabei sollten sich Führungskräfte vielmehr die Frage stellen, wie lange ihr Unternehmen im Schadensfall wirtschaftlich lebensfähig ist. Richtig ist: Funktionierende IT-Sicherheitsmaßnahmen verhindern Verluste. Aber: Alleine mit der Installation einer Antiviren-Software oder der Definition einer Passwort-Regelung lassen sich wertvolle Netzwerke und kritische Daten nicht schützen. Es braucht vielmehr einen ganzheitlichen Ansatz, der Mitarbeiter zum Teil der IT-Sicherheit macht. Die Sache hat aber einen kleinen Haken: Mitarbeiter nutzen etwa aus Bequemlichkeit einfach zu merkende Passwörter und unterschätzen, welche Folgen dieses Verhalten haben kann. Daher müssen Unternehmen dafür sorgen, dass sich die Mitarbeiter nicht nur der aktuellen Gefahrenlage bewusst sind, sondern auch in die Lage versetzt werden, Angriffsmuster frühzeitig zu erkennen und entsprechend zu handeln. Es reicht aber nicht, Angestellte über die drei größten Gefahren für Cyberattacken – Mails mit infizierten Datei-Anhängen, USB-Sticks mit Schadsoftware oder bösartige Downloads – aufzuklären. Das Themenspektrum ist viel umfangreicher. Zwar haben viele Unternehmen die Zeichen der Zeit erkannt und wollen das Sicherheitsbewusstsein steigern, allerdings fehlt es gerade kleinen und mittelständischen Unternehmen an Personal, Zeit und Know-how. Daher entschließen sich viele Firmen, eine bestehende EMS-Plattform zu nutzen. Die haben nicht nur den notwenigen Content, sondern lassen sich als Cloud-Lösung unkompliziert in das Unternehmensnetzwerk integrieren. Ein weiterer Vorteil: Das System ist ortsunabhängig einsetzbar.
:quality(80)/images.vogel.de/vogelonline/bdb/1707700/1707795/original.jpg "Der KnowBe4-Benchmarking Report 2020 zeigt: 38 Prozent der ungeschulten Mitarbeiter fallen auf Phishing herein. (gemeinfrei)")
KnowBe4-Benchmarking Report 2020
Security Awareness bringt messbar mehr Sicherheit
Gleiches Wissen für alle
Es sprechen einige Gründe dafür, die unternehmenskritischen Inhalte von IT-Sicherheitsschulungen in Vor-Ort-Schulungen mit Anwesenheitspflicht zu präsentieren. Aber ab einer bestimmten Unternehmensgröße lassen sich verpflichtende Präsenzschulungen kaum noch realisieren. E-Learnings müssen keine Rücksicht auf diese Rahmenbedingungen nehmen. Gerade Unternehmen mit verteilten Standorten profitieren hiervon. Aber noch weitere Gründe sprechen für E-Learnings: Die Einheiten lassen sich auf diese Weise gut in den Arbeitsalltag integrieren – immer dann, wenn Zeit dafür ist. Dies spart Zeit sowie vor allem auch Geld und vermeidet, dass die Mitarbeiter einen oder mehrere Tage schulungsbedingt nicht produktiv arbeiten können. Gleichzeitig sollten Lerninhalte zu aktuellen Sicherheitsvorfällen kurzfristig für alle Angestellten zur Verfügung stehen.
Lebenslanges Lernen
Um das Thema vollständig abzudecken, ist ein umfassender und langfristig ausgelegter Lehrplan zielführend. Das Wissen sollte zudem nach den neuesten Lernmethoden und bedarfsgerecht vermittelt werden. Im besten Fall kommen sowohl Videos, als auch Texte und interaktive Multiple-Choice-Tests zum Einsatz. Weil der Wissensstand innerhalb der Belegschaft bei der IT-Sicherheit sehr heterogen ist, bedarf es eines Einstiegstests für jeden Teilnehmer. Dieser dient als Grundlage, um die die Inhalte für jeden Angestellten individuell anzupassen. So lassen sich größere Wissenslücken zuerst schließen.
:quality(80)/images.vogel.de/vogelonline/bdb/1513500/1513589/original.jpg "Damit Mitarbeiter lernen, dass leichtsinniges Verhalten mit persönlichen Daten oder Unternehmensdaten schwerwiegende Folgen haben kann, muss man unter Umständen den üblichen „Kuschelkurs“ verlassen. (dianabartl - stock.adobe.com)")
Paradigmenwechsel bei SecAware
Kein Kuschelkurs mehr bei Security Awareness
Regelmäßige, kurze Trainingsabschnitte lassen sich gut in den Arbeitsalltag integrieren, sodass Mitarbeiter kontinuierlich lernen. Lerninhalte bleiben besser im Gedächtnis, wenn die gezeigten Situationen einen deutlichen Bezug zum eigenen Arbeitsalltag haben. Gleichzeitig sollten die Einheiten verständlich formuliert sein und auch auf die Bedürfnisse von Angestellten ohne technische Vorkenntnisse zugeschnitten sein.
Ein weiteres wichtiges Element von Security Awareness Trainings: das Feedback. Ein erhobener Zeigefinger ist dabei nicht zielführend und trägt nicht zu einer Änderung des Verhaltens bei. Besser sind im Falle eines Fehlers detaillierte Erklärungen, was richtig gewesen wäre. Eine derartige Rückmeldung sorgt für einen guten Lernerfolg. Der Lernzuwachs ist somit auch für den Mitarbeiter, sowie für Personal- und IT-Verantwortliche messbar.
Wenn sich Unternehmen dem Thema IT-Sicherheit verweigern, riskieren sie damit möglicherweise ihre Existenz. Dabei können sie das Risiko von Cyberattacken auch durch den Einsatz von Security Awareness Trainings reduzieren. Gleichzeitig signalisieren Firmen ihren eigenen Kunden, dass sie sich ganzheitlich mit dem Thema beschäftigen. Eine Investition in das IT-Sicherheitswissen der Mitarbeiter zahlt sich langfristig immer aus.
Über den Autor: Nikolas Schran ist International Business Development Manager bei G DATA CyberDefense.
:quality(80)/images.vogel.de/vogelonline/bdb/1639000/1639019/original.jpg "Die Awareness-Trainings von G Data sollen sich leicht in den Arbeitsalltag integrieren lassen. (vladwel - stock.adobe.com)")
E-Learning-Portal
G Data trainiert Security-Awareness
(ID:46696343)
:quality(80)/images.vogel.de/vogelonline/bdb/1947700/1947715/original.jpg "Gamification ist weitaus mehr als eine Spielerei. Richtig eingesetzt absolvieren die Beschäftigten gerne Schulungen und senken spielerisch und effektiv ihr Cyberrisiko. (dusanpetkovic1 - adobe.stock.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904519/original.jpg "Laut Sailpoint stellen vor allem hybride Arbeitsweisen die IT-Sicherheit von Unternehmen auf die Probe. Deshalb sollten diese ihre Mitarbeiter schulen. (NDABCREATIVITY - stock.adobe.com)")