:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Personenzentrierte Sicherheit: Schützen Sie Ihr Unternehmen durch gut geschulte Mitarbeiter
2020 war für Cyberkriminelle in jeder Hinsicht ein aufregendes Jahr. Pandemiebedingte Umbrüche und immer raffiniertere Bedrohungen waren Gründe dafür, dass immer mehr Unternehmen Opfer weit verbreiteter Cyberangriffe wurden.
Gesponsert von
Der „State of the Phish“-Bericht 2021 von Proofpoint hat gezeigt, dass 57 % der Unternehmen im letzten Jahr erfolgreiche Phishing-Angriffe zu beklagen hatten – mit weitreichenden Konsequenzen. Fast zwei Drittel mussten einen Datenverlust melden und die Hälfte der Unternehmen verzeichnete kompromittierte Konten und Anmeldedaten.
Im Jahr 2020 wurde auch Ransomware wieder häufig gegen Unternehmen eingesetzt. Die Zahl der Angriffe war dabei ähnlich hoch wie in den vergangenen Jahren, allerdings waren 2020 deutlich mehr Unternehmen bereit, das Lösegeld zu zahlen – leider nicht immer mit gutem Ausgang.
Von den zwei Dritteln der Unternehmen, die Opfer eines Ransomware-Angriffs wurden, entschied sich die Hälfte dafür, das Lösegeld zu bezahlen. Nur 60 % bekamen nach der ersten Zahlung wieder Zugriff auf ihre Daten, während andere zusätzliche Lösegeldforderungen oder überhaupt keine Antwort erhielten. Regional betrachtet lehnten es 14 % der deutschen Unternehmen ab, weiteres Lösegeld zu zahlen, nachdem sie mit der ersten Zahlung nicht die Rückgabe ihrer Daten erreichen konnten – die höchste Quote unter allen befragten Ländern.
Dass altbekannte Taktiken wie Phishing und Ransomware immer noch ihren Zweck erfüllen, sollte Cybersicherheitsteams Anlass zur Sorge geben. Zwar hatte die Pandemie im letzten Jahr ganz gewiss Auswirkungen auf die Erfolge von Cyberangriffen, doch das stellt nur ein Teil des Problems dar.
Besorgniserregender ist, dass moderne Bedrohungen zunehmend gezielter angreifen und damit für den Adressaten immer überzeugender werden. Cyberkriminelle haben es weiterhin zunehmend auf Ihre Mitarbeiter und weniger auf Ihre Netzwerke oder Infrastrukturen abgesehen.
Die technischen Schutzmaßnahmen entwickeln sich zwar zügig weiter, doch gibt es immer noch Defizite bei der Sensibilisierung der Anwender. So lange dies so bleibt, verriegeln Unternehmen praktisch die Vordertür, aber lassen die Terrassentüre weit offen.
Mehr Sicherheit durch Sensibilisierung
Die Sensibilisierung der Anwender – das Security Awareness Training - ist für die Cyberabwehr von fundamentaler Bedeutung und genauso wichtig wie technische Schutzmaßnahmen und Kontrollen. Dennoch investieren nur die wenigsten Unternehmen genauso viel Ressourcen und Energie in diese Aufgabe.
Laut Statistik schult beinahe jedes Unternehmen seine Anwender. Sobald wir uns die Zahlen genauer anschauen, ergibt sich jedoch ein anderes Bild:
Fast die Hälfte der Unternehmen führt Schulungen zur Steigerung des Sicherheitsbewusstseins nur vier Mal im Jahr durch – und selbst dann wird das Thema meistens nicht länger als zwei Stunden behandelt. Erschwerend kommt hinzu, dass nur die Hälfte unternehmensweite Schulungen und lediglich 60 % formelle Präsenz- oder virtuelle Schulungen durchführt.
Zudem wünschten oder forderten im Jahr 2020 in den USA 68 % der Unternehmen von ihren Angestellten, im Home Office zu arbeiten. Dabei schulen jedoch nur 14 % ihre Anwender in empfohlenen Vorgehensweisen zur Arbeit im Home Office.
Dieser Mangel an umfassenden Schulungen schlägt sich klar im fehlenden Sicherheitsbewusstsein der Anwender nieder. Obwohl es immer wieder Berichte über große Angriffe gibt, wird es viele überraschen, dass lediglich ein Drittel (33 %) der Anwender die korrekte Definition von Ransomware kennt und nur knapp zwei Drittel verstehen, was Malware (65 %) bzw. Phishing (63 %) ist.
Für Cybersicherheitsexperten mag das unglaublich klingen, es verdeutlicht jedoch, dass es eine Kluft zwischen Wissen und Bewusstsein gibt.
Möglicherweise wissen Ihre Anwender, welche bekannten Marken Opfer von Phishing- oder Ransomware-Angriffen wurden, doch das heißt nicht, dass sie auch die Mechanismen einer Bedrohung verstehen oder sich der eigenen Rolle bei der Abwehr von Angriffen bewusst sind.
Um diese Wissenslücke zu schließen, müssen Programme zur Steigerung des Sicherheitsbewusstseins nicht nur über die Grundlagen häufig auftretender Bedrohungen aufklären, sondern Anwender auch ihre Verantwortung bei der Cybersicherheit bewusst machen.
Wer sind Ihre am häufigsten angegriffenen Personen (Very Attacked People™)?
Um Ihr Unternehmen besser zu schützen, müssen Sie zuerst verstehen, wer angegriffen wird. So können Sie den richtigen Personen zum richtigen Zeitpunkt die richtige Schulung zukommen lassen – je nachdem, wer die am stärksten gefährdeten Anwender sind. Bei Proofpoint nennen wir diese Anwender Ihre Very Attacked People (VAPs), also die besonders häufig angegriffenen Personen.
Bei der Suche nach den VAPs sollten Sie jegliche Vorurteile ablegen, denn diese können sich in der Tat in jeder Rolle und auf allen Entscheidungsebenen befinden. VIPs wie Vorstandsmitglieder mögen ein attraktiveres Ziel sein, doch konzentrieren sich Angriffe oft auf Mitarbeiter, die sich in der Hierarchie weiter unten befinden. Wer Ihre VAPs sind, unterscheidet sich auch von Unternehmen zu Unternehmen und von Branche zu Branche.
Erst kürzlich stellte Proofpoint fest, dass die 20 wichtigsten VAPs eines großen Gesundheitsdienstleisters auch VIPs waren. Im selben 3-Monats-Zeitraum wurde im Gegensatz dazu in einem Finanzinstitut nur ein VIP angegriffen.
Dabei handelt es sich bei der Identifizierung der VAPs nur um eine Momentaufnahme, denn genau wie Tests und Schulungen ist auch die Ermittlung der VAPs keine einmalige Angelegenheit. Die Liste Ihrer besonders häufig angegriffenen Personen ändert sich ständig und muss von Monat zu Monat aktualisiert werden.
Haben Sie Ihre VAPs einmal identifiziert, können Sie überprüfen, wie gut diese sensibilisiert sind. Mit dieser Information lassen sich maßgeschneiderte Schulungen erstellen, die Anwender abhängig vom individuellen Risikoprofil schulen und den Schwerpunkt auf kritische Wissenslücken legen.
So sieht personenzentrierte Cybersicherheit aus – oft das Einzige, das zwischen Cyberkriminellen und Ihren Daten, Netzwerken und Systemen steht.
Personenzentrierte Cybersicherheit
Cyberkriminelle versuchen hartnäckig, Ihr Unternehmen anzugreifen. Sofern Sie bei der Abwehr von Angriffen nicht die gleiche Beharrlichkeit zeigen, steht das Ergebnis im Prinzip schon fest.
Technische Kontrollen, Prozesse und bewährte Methoden allein reichen dabei nicht aus. Anwenderverhalten ist der wichtigste Risikofaktor für das moderne Unternehmen – es zu verändern, bildet die Grundlage einer robusten Cyberabwehr.
Das ist nur möglich, wenn Sie eine Kultur schaffen, in der nicht nur die IT-Abteilung für die Cybersicherheit verantwortlich ist, sondern die gesamte Belegschaft. Diese Kultur wird durch regelmäßige kontextbezogene Schulungen gefördert, die speziell auf Ihre Anwender zugeschnitten sind sowie auf aktuellen Bedrohungsdaten und der sich ständig entwickelnden Bedrohungslandschaft basieren. Je mehr Sie über die Angriffe auf Ihr Unternehmen wissen, desto besser können Sie Ihre Schulungen daran anpassen.
Ihre Anwender sollen nicht einfach Tests bestehen, sondern für die Verteidigung Ihres Unternehmens geschult werden. Genau das muss Ihr Programm für Awareness-Schulungen widerspiegeln. Die Schulungen sollten nicht nur Definitionen der wichtigsten Begriffe und Simulationen von Angriffen umfassen, sondern auch auf Verhaltensweisen eingehen und darauf, wie dieses Verhalten zu einem höheren Risiko führt – oder aber das Risiko minimiert. Die Einbeziehung Ihrer Anwender auf einer technischen Ebene kann auch dazu beitragen, deren Motivation zu erhöhen.
Wenn Anwender verstehen, dass es einen Zusammenhang zwischen der Mehrfachnutzung eines Kennworts und einer Datenschutzverletzung oder dem Klick auf den Link eines unbekannten Absenders und Ransomware gibt, ändern sie ihr Verhalten: 80 % der Unternehmen geben an, dass Awareness-Schulungen die Anfälligkeit für Cyberangriffe reduziert haben.
Cybersicherheit ist kein rein technisches Fachgebiet mehr. Angesichts personenzentrierter Angriffe sind Wissen und Sensibilisierung entscheidend. Je besser sich Ihre Anwender auskennen, desto sicherer ist Ihr Unternehmen.
Die Autorin
Adenike Cosgrove ist Cybersecurity Strategist für internationale Märkte bei Proofpoint, wo sie die Produktmarketingstrategie für die europäischen und asiatisch-pazifischen Märkte vorantreibt. Sie bietet Expertise zu wichtigen regionalen Cybersecurity-Strategien wie personenzentrierte Sicherheit, Risikomanagement, Datenschutz und Compliance.
Kürzlich wurde Frau Cosgrove als eine der "UK’s Most Inspiring Women in Cyber 2020“ in Großbritannien ausgezeichnet und war außerdem Finalistin bei den Computing Security Excellence Awards 2020 in der Kategorie "Security Woman of the Year".
(ID:47413558)
:quality(80)/p7i.vogel.de/wcms/5e/f4/5ef42dd611e13c634e6d04aac4d08075/0108873096.jpeg "0108873096 (Bild: GettyImages-482550126)")
:quality(80)/p7i.vogel.de/wcms/ec/bd/ecbdc129c5aaf6aeebcf06f0a9948183/0109633518.jpeg "Deep-Fake-Attacken werden zunehmend zu einer Gefahr für IT-Administration und Service Desks. Specops Software bietet die passenden Tools an, um derartige Angriffe abzuwehren. (Bild: B_A)")