:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/f9/2ff9f5fe75125e324259e4c4cb0470b7/0115708231.jpeg "Cyberangriffe sind nicht immer technischer Natur. Wir geben eine Übersicht der gängigsten nicht-technischen Angriffe sowie passende Schutzmaßnahmen für Unternehmen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/f5/03f599e672c719f18dc14be45afbd440/0115706811.jpeg "Digitale Identitäten mit höheren Berechtigungen stehen im Mittelpunkt aktueller Angriffswellen durch Hacker. (Bild: robsonphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/28/8728890c1d5094d564bd8a91bb11a1a0/0115706486.jpeg "Eine besonders effektive Methode zur Erzeugung von DNS-Query-Flood-DDoS-Angriffen sind DNS-Water-Torture-Angriffe. (Bild: kmiragaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/2a/412a1b77c5fcca8d70bdfb5066d48488/0114968713.jpeg "CNP+ nutzt die Stärke von Wi-Fi-6-/7-Access-Points zur Durchführung von Sicherheitsprüfungen, die traditionell von Security-Gateways übernommen werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Best Practices bei der Sicherheitssensibilisierung Security Awareness dank Erfahrung anderer
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
In der IT gibt es viele bewährte Konzepte und Lösungen, der Experte spricht von Best Practices. Diese lassen sich oft für das eigene Umfeld anpassen und übernehmen, was Zeit und Kosten spart. Doch welchen Nutzen hat dieses Vorgehen im Falle von Security-Awareness-Kampagnen?
Die Frage, ob Best Practices bei der Sicherheitssensibilisierung helfen, lässt sich durchaus mit einem „Ja“ beantworten. ABER: Man kann nur wenig eins zu eins übernehmen. Selbst Unternehmen im gleichen Marktsegment arbeiten oft unterschiedlich.
Das wirkt sich auf die Firmenkultur ebenso aus wie auf die Mitarbeiter und deren Umgang mit der IT. Bestes Beispiel dafür ist die private Nutzung von Web und E-Mail. Bei vielen Firmen ist diese verboten, bei einigen mit Auflagen erlaubt und bei anderen gestattet oder in einem undefinierten Graubereich geduldet.
Wendet man vor diesem Hintergrund Security-Awareness-Elemente unangepasst aus einem Baukasten an, so bringt das wenig Erfolg. Ebenso wenig ist es sinnvoll, Teilmengen davon einzuführen – wie zum Beispiel eine „Link-Click-Regel“, die den Zugriff auf gefährliche Webseiten reduzieren soll, wenn die eigentliche Web-Nutzung noch gar nicht geregelt ist.
Wann ist Security Awareness sinnvoll?
Entscheidend für den Erfolg von Security-Awareness-Maßnahmen ist die Bedarfsermittlung. Sicherheitsschulungen ergeben nur dort Sinn, wo auch Handlungsbedarf existiert. Ein Handlungsbedarf wiederum ist dort gegeben, wo ein erhöhtes Risiko existiert, welches technisch nicht befriedigend abgedeckt werden kann! Genau an dieser Stelle soll ja der Mensch (aka Mitarbeiter) mit seinem Wissen und Engagement die Sicherheitslücke schließen.
Eine Aktion zur Aufklärung über mögliche Spam-Angriffe ist beispielsweise sicherlich nützlich, aber nicht unbedingt erforderlich, wenn der genutzte technische Spam-Filter mehr als 99 Prozent aller unerwünschten E-Mails eigenständig eliminiert. Denn hier ist kein erhöhtes Sicherheitsrisiko gegeben!
Anders sieht die Sache hingegen bei einem Social-Engineering-Angriff per Telefon aus.. Hier hat der Mitarbeiter keine technische Lösung im Hintergrund, die ihn schützt, sondern nur seine Menschenkenntnis und berufliche Erfahrungswerte.
Eine Schulungsmaßnahme oder ein Experten-Artikel, in dem gängige Engineering-Techniken und deren Absichten aufgezeigt sowie beispielhafte „Anrufprotokolle“ gezeigt werden, bieten einen informellen Mehrwert. Wird dieser dann noch durch eine Checkliste ergänzt, die dabei hilft, echte von falschen Anrufen zu unterscheiden, hat SecAware seine Schuldigkeit getan.
Die richtige Wissensvermittlung
Security-Awareness-Maßnahmen werden oft in Kombination mit eLearning-Tools im Baukasten angeboten. Prinzipiell ein guter Ansatz, der aber in der Praxis oft dahingehend verkümmert, dass ein CBT-Modul (Computer Based Training) dem Probanden Informationen vorgibt, diese wiederholt und dann abfragt. Es ist nachvollziehbar, dass die Motivation von Lernenden, sich dieser „Wissensvermittlung“ zu stellen, nicht sehr hoch ist.
Von mehr als 2500 Jahren prägte Heraklit das Sprichwort: „Lehren heißt, ein Feuer entfachen, und nicht, einen leeren Eimer füllen.“ Auch wenn er damals sicherlich nicht an Security Awareness dachte, so gilt doch auch dieses Sprichwort auch für dieses Umfeld. Informationen müssen ansprechen und Neugier wecken, denn ohne das Feuer der Begeisterung geht es nicht.
Eine Rückbesinnung auf die eigene Schul- und Studienzeit mag das belegen. Lehrer und Themen, die einen damals begeisterten oder faszinierten, an die erinnert man sich auch nach vielen Jahren noch – aber langweilige oder ungeliebte Informationen werden automatisch unter „/dev/null“ abgelegt.
Mögliche Ansatzpunkte identifizieren
Was ist gut, was ist schlecht? Was eignet sich für das eigene Unternehmen und was ist Ressourcen-Verschwendung? Fragen, die sich jeder CISO oder Awareness-Beauftrage einmal stellt und auf die er eine Antwort finden muss. Keine leichte Aufgabe, denn selbst die Cluster-Intelligenz „Internet“ liefert bei einer Suche zum Stichwort „Security Awareness“ mehr als 77 Millionen Treffer!
Auch eine Eingrenzung mit „Seiten auf Deutsch“ liefert immer noch rund 115.000 Treffer. Wer die ersten Trefferseiten betrachtet, findet neben älteren Einträgen auch Referenzen auf die bekannten Namen der Szene sowie Einzelhinweise auf Vorträge, Artikel und Fachbücher. Auch eine Suche nach Präsentationen bei SlideShare liefert eine Vielzahl an Treffern. Anbieter gibt es also, Material ebenfalls – doch wo fängt man an?
Einen guten Ratschlag gibt es an dieser Stelle von Martin Luther, der meinte, man solle dem „Volk aufs Maul schauen. Weshalb fragt man nicht einfach zunächst einmal die Mitarbeiter, in welcher Hinsicht sie sich „unwohl“ fühlen. Denn diese sind an der Thematik dran und wissen, wo es Reibungspunkte gibt!
- Hat man „Bauchschmerzen“ bei der Nutzung von Social Networks?
- Kommen immer wieder Computerviren und andere Malware per Muster-Datenträger (CD, USB …) im Unternehmen an?
- Häufen sich unerwünschte Telefonanrufe mit einem unbestimmten Informationsbedarf?
- Gibt es Unklarheiten bei Anforderungen des Datenschutzes?
- Darf ich vertrauliche Dokumente bei Reisen auf meinem Notebook verschlüsseln?
Eine Befragung der Mitarbeiter zu ihren Security-Problemen, kombiniert mit einer Empfehlung der Security-Abteilung bringt meistens einen guten Überblick, wo Handlungsbedarf besteht. Ist dieser technisch zu lösen, sollte er nach einer Risikoanalyse der Geschäftsleitung zur Entscheidung vorgelegt werden. Ist es jedoch ein Problem, welches sich technisch nicht mit vertretbaren Aufwand lösen lässt, ist es eventuell ein Thema für die Sicherheitsschulung.
Sicherheit erfolgreich vermitteln
Überraschend wird es für viele sein, das es oft gar nicht die große Security-Awareness-Kampagne sein muss, die alles zu einhundert Prozent abdeckt – oft bringen schon punktuelle Aktionen einen Sicherheitsgewinn. Eine Maßnahme, die mehr Sicherheit bei Social Networks bringt, nutzt der Firma bzw. dem Mitarbeiter und gibt ihm auch mehr Sicherheit auf privater Ebene.
Die Auswirkungen auf das private Umfeld sollte man nicht unterschätzen. Denn was dem Mitarbeiter im privaten IT Umfeld nützt, kommt mittelfristig auch dem Unternehmen zu Gute. Schließlich verschwimmen die Grenzen zwischen dem Zuhause und der Firma immer mehr – und je sicherer der Mitarbeiter als Privatperson ist, desto besser für den Arbeitgeber.
Eine einzelne Security-Maßnahme hat den Vorteil, überschaubarer zu sein und weder das Budget noch den Mitarbeiter zu sehr zu belasten (Keine Zeit, begrenzte Kapazität für Neues etc.). Ist eine Maßnahme erfolgreich abgeschlossen, beginnt man mit der nächsten. So ist Security Awareness stetig für den Mitarbeiter präsent, ohne aufdringlich oder zu belehrend zu wirken.
Security Awareness ist also dann erfolgreich, wenn man:
- die Mitarbeiter (und die Security-Abteilung) zu bekannten Problemen befragt,
- eigenständig Bereiche identifiziert, in denen Sicherheitsdefizite bzw. Probleme bestehen,
- sich von Best Practices anderer inspirieren lässt, sie aber nicht blind übernimmt,
- punktuelle Aktionen startet, die ein „Heraklit-Feuer“ entfachen,
- nach Abschluss und Analyse einer Aktion die nächste startet und aus den Erfahrungen lernt.
Wer will, der kann sich zumindest als Starthilfe von entsprechenden Beratungsfirmen helfen lassen. Security-Insider und der Autor wünschen Ihnen viel Erfolg!
(ID:35994240)
:quality(80)/p7i.vogel.de/wcms/d0/54/d05455f83dd1c00f47c97d96bcb1c452/0110291876.jpeg "Wie groß in der IT-Sicherheit die Lücke zwischen Soll- und Ist-Zustand bei deutschen Unternehmen ist, untersucht der „CyberCompare Cybersecurity Benchmarkreport 2023“. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/14/a31460b6052f2751b443116933d067a1/0113369864.jpeg "Das Hauptziel von Phishing-Angriffen ist immer der Mensch, der dazu verleitet werden soll, schädliche Aktionen auszuführen. (Bild: Canva)")