:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Best Practices bei der Sicherheitssensibilisierung Security Awareness dank Erfahrung anderer
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
In der IT gibt es viele bewährte Konzepte und Lösungen, der Experte spricht von Best Practices. Diese lassen sich oft für das eigene Umfeld anpassen und übernehmen, was Zeit und Kosten spart. Doch welchen Nutzen hat dieses Vorgehen im Falle von Security-Awareness-Kampagnen?
Die Frage, ob Best Practices bei der Sicherheitssensibilisierung helfen, lässt sich durchaus mit einem „Ja“ beantworten. ABER: Man kann nur wenig eins zu eins übernehmen. Selbst Unternehmen im gleichen Marktsegment arbeiten oft unterschiedlich.
Das wirkt sich auf die Firmenkultur ebenso aus wie auf die Mitarbeiter und deren Umgang mit der IT. Bestes Beispiel dafür ist die private Nutzung von Web und E-Mail. Bei vielen Firmen ist diese verboten, bei einigen mit Auflagen erlaubt und bei anderen gestattet oder in einem undefinierten Graubereich geduldet.
Wendet man vor diesem Hintergrund Security-Awareness-Elemente unangepasst aus einem Baukasten an, so bringt das wenig Erfolg. Ebenso wenig ist es sinnvoll, Teilmengen davon einzuführen – wie zum Beispiel eine „Link-Click-Regel“, die den Zugriff auf gefährliche Webseiten reduzieren soll, wenn die eigentliche Web-Nutzung noch gar nicht geregelt ist.
Wann ist Security Awareness sinnvoll?
Entscheidend für den Erfolg von Security-Awareness-Maßnahmen ist die Bedarfsermittlung. Sicherheitsschulungen ergeben nur dort Sinn, wo auch Handlungsbedarf existiert. Ein Handlungsbedarf wiederum ist dort gegeben, wo ein erhöhtes Risiko existiert, welches technisch nicht befriedigend abgedeckt werden kann! Genau an dieser Stelle soll ja der Mensch (aka Mitarbeiter) mit seinem Wissen und Engagement die Sicherheitslücke schließen.
Eine Aktion zur Aufklärung über mögliche Spam-Angriffe ist beispielsweise sicherlich nützlich, aber nicht unbedingt erforderlich, wenn der genutzte technische Spam-Filter mehr als 99 Prozent aller unerwünschten E-Mails eigenständig eliminiert. Denn hier ist kein erhöhtes Sicherheitsrisiko gegeben!
Anders sieht die Sache hingegen bei einem Social-Engineering-Angriff per Telefon aus.. Hier hat der Mitarbeiter keine technische Lösung im Hintergrund, die ihn schützt, sondern nur seine Menschenkenntnis und berufliche Erfahrungswerte.
Eine Schulungsmaßnahme oder ein Experten-Artikel, in dem gängige Engineering-Techniken und deren Absichten aufgezeigt sowie beispielhafte „Anrufprotokolle“ gezeigt werden, bieten einen informellen Mehrwert. Wird dieser dann noch durch eine Checkliste ergänzt, die dabei hilft, echte von falschen Anrufen zu unterscheiden, hat SecAware seine Schuldigkeit getan.
Die richtige Wissensvermittlung
Security-Awareness-Maßnahmen werden oft in Kombination mit eLearning-Tools im Baukasten angeboten. Prinzipiell ein guter Ansatz, der aber in der Praxis oft dahingehend verkümmert, dass ein CBT-Modul (Computer Based Training) dem Probanden Informationen vorgibt, diese wiederholt und dann abfragt. Es ist nachvollziehbar, dass die Motivation von Lernenden, sich dieser „Wissensvermittlung“ zu stellen, nicht sehr hoch ist.
Von mehr als 2500 Jahren prägte Heraklit das Sprichwort: „Lehren heißt, ein Feuer entfachen, und nicht, einen leeren Eimer füllen.“ Auch wenn er damals sicherlich nicht an Security Awareness dachte, so gilt doch auch dieses Sprichwort auch für dieses Umfeld. Informationen müssen ansprechen und Neugier wecken, denn ohne das Feuer der Begeisterung geht es nicht.
Eine Rückbesinnung auf die eigene Schul- und Studienzeit mag das belegen. Lehrer und Themen, die einen damals begeisterten oder faszinierten, an die erinnert man sich auch nach vielen Jahren noch – aber langweilige oder ungeliebte Informationen werden automatisch unter „/dev/null“ abgelegt.
Mögliche Ansatzpunkte identifizieren
Was ist gut, was ist schlecht? Was eignet sich für das eigene Unternehmen und was ist Ressourcen-Verschwendung? Fragen, die sich jeder CISO oder Awareness-Beauftrage einmal stellt und auf die er eine Antwort finden muss. Keine leichte Aufgabe, denn selbst die Cluster-Intelligenz „Internet“ liefert bei einer Suche zum Stichwort „Security Awareness“ mehr als 77 Millionen Treffer!
Auch eine Eingrenzung mit „Seiten auf Deutsch“ liefert immer noch rund 115.000 Treffer. Wer die ersten Trefferseiten betrachtet, findet neben älteren Einträgen auch Referenzen auf die bekannten Namen der Szene sowie Einzelhinweise auf Vorträge, Artikel und Fachbücher. Auch eine Suche nach Präsentationen bei SlideShare liefert eine Vielzahl an Treffern. Anbieter gibt es also, Material ebenfalls – doch wo fängt man an?
Einen guten Ratschlag gibt es an dieser Stelle von Martin Luther, der meinte, man solle dem „Volk aufs Maul schauen. Weshalb fragt man nicht einfach zunächst einmal die Mitarbeiter, in welcher Hinsicht sie sich „unwohl“ fühlen. Denn diese sind an der Thematik dran und wissen, wo es Reibungspunkte gibt!
- Hat man „Bauchschmerzen“ bei der Nutzung von Social Networks?
- Kommen immer wieder Computerviren und andere Malware per Muster-Datenträger (CD, USB …) im Unternehmen an?
- Häufen sich unerwünschte Telefonanrufe mit einem unbestimmten Informationsbedarf?
- Gibt es Unklarheiten bei Anforderungen des Datenschutzes?
- Darf ich vertrauliche Dokumente bei Reisen auf meinem Notebook verschlüsseln?
Eine Befragung der Mitarbeiter zu ihren Security-Problemen, kombiniert mit einer Empfehlung der Security-Abteilung bringt meistens einen guten Überblick, wo Handlungsbedarf besteht. Ist dieser technisch zu lösen, sollte er nach einer Risikoanalyse der Geschäftsleitung zur Entscheidung vorgelegt werden. Ist es jedoch ein Problem, welches sich technisch nicht mit vertretbaren Aufwand lösen lässt, ist es eventuell ein Thema für die Sicherheitsschulung.
Sicherheit erfolgreich vermitteln
Überraschend wird es für viele sein, das es oft gar nicht die große Security-Awareness-Kampagne sein muss, die alles zu einhundert Prozent abdeckt – oft bringen schon punktuelle Aktionen einen Sicherheitsgewinn. Eine Maßnahme, die mehr Sicherheit bei Social Networks bringt, nutzt der Firma bzw. dem Mitarbeiter und gibt ihm auch mehr Sicherheit auf privater Ebene.
Die Auswirkungen auf das private Umfeld sollte man nicht unterschätzen. Denn was dem Mitarbeiter im privaten IT Umfeld nützt, kommt mittelfristig auch dem Unternehmen zu Gute. Schließlich verschwimmen die Grenzen zwischen dem Zuhause und der Firma immer mehr – und je sicherer der Mitarbeiter als Privatperson ist, desto besser für den Arbeitgeber.
Eine einzelne Security-Maßnahme hat den Vorteil, überschaubarer zu sein und weder das Budget noch den Mitarbeiter zu sehr zu belasten (Keine Zeit, begrenzte Kapazität für Neues etc.). Ist eine Maßnahme erfolgreich abgeschlossen, beginnt man mit der nächsten. So ist Security Awareness stetig für den Mitarbeiter präsent, ohne aufdringlich oder zu belehrend zu wirken.
Security Awareness ist also dann erfolgreich, wenn man:
- die Mitarbeiter (und die Security-Abteilung) zu bekannten Problemen befragt,
- eigenständig Bereiche identifiziert, in denen Sicherheitsdefizite bzw. Probleme bestehen,
- sich von Best Practices anderer inspirieren lässt, sie aber nicht blind übernimmt,
- punktuelle Aktionen startet, die ein „Heraklit-Feuer“ entfachen,
- nach Abschluss und Analyse einer Aktion die nächste startet und aus den Erfahrungen lernt.
Wer will, der kann sich zumindest als Starthilfe von entsprechenden Beratungsfirmen helfen lassen. Security-Insider und der Autor wünschen Ihnen viel Erfolg!
(ID:35994240)
:quality(80)/p7i.vogel.de/wcms/65/a3/65a30bf4dbd61b3050f49c128cb49b4f/0105085516.jpeg "Das Fachbuch „Cybersicherheit für vernetzte Anwendungen in der Industrie 4.0“ führt die Leser grundlegend an den aktuellen Stand der Cybersicherheit im Bereich Industrie 4.0 heran und bietet praxisnahe Beispiele aus Großkonzernen, Mittelstand und Start-Ups. (Bild: Vogel Communications Group)")
:quality(80)/p7i.vogel.de/wcms/d0/54/d05455f83dd1c00f47c97d96bcb1c452/0110291876.jpeg "Wie groß in der IT-Sicherheit die Lücke zwischen Soll- und Ist-Zustand bei deutschen Unternehmen ist, untersucht der „CyberCompare Cybersecurity Benchmarkreport 2023“. (Bild: Hein - stock.adobe.com)")