:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Corona-Nebenwirkungen bei der Security Awareness - Teil 1 Security Awareness für Mitarbeiter in der Pandemie
Nicht wenige Vorgesetzte und Entscheider halten Security Awareness für Geld- und Zeitverschwendung. Mitunter zurecht, denn ROSI muss man gerade bei Security Awareness sehr differenziert betrachten. Doch in Zeiten einer Pandemie wird dies alles noch schwieriger. Vielleicht wäre es daher angebracht, Security Awareness zwei Gänge herunterzuschalten! Gute Gründe dafür gibt es einige.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Die Corona-Pandemie ist ein Thema, welches uns alle bewegt. Bedingt durch fehlende Erfahrungswerte werden Fehler mit negativen Auswirkungen gemacht. Denn die Menschen sind genervt von den widersprüchlichen Informationen, haben den Überblick verloren, was eigentlich aktuell gilt und sind mental unwillig, hier weiter zu unterstützen.
Die Krux dabei ist, dass diese Situation nicht nur für Corona gilt, sondern z.B. auch für Security Awareness! Denn viele Verantwortliche vergessen einfach, dass in Zeiten wie diesen die Menschen keinen unbeschwerten Gedanken Kopf haben sich um Security Awareness zu kümmern und Ihre Interessen gelten ganz anderen Themen. Beispielsweise Personen dessen Angehörige erkrankt sind, die auf einen Testbericht für sich selbst warten oder gar die letzten Dinge für einen Verstorbenen regeln müssen, denen ist Security Awareness und IT-Sicherheit absolut egal!
Management-View
Clevere Manager erkennen dies und passen die Ist-Situation bzw. die momentanen Aktivitäten an die gegenwärtigen Herausforderungen an und fahren das Thema auf Sparflamme. Denn „Volle Kraft voraus“ bringt nur Verluste und keinen wesentlichen Fortschritt – nur eine Ressourcen-Verschwendung, Unverständnis, wenig Kooperation und ein schlechtes Image.
Erkennt man dies, kann man besser agieren und auch die verfügbaren Ressourcen und Strategien anpassen. Wie dies aussehen kann, soll nachfolgend mit Hilfe der Grafik besser verdeutlicht werden.
Auf dem Zeitstrahl haben wir die drei Begriffe: Gestern, Heute und Morgen
Wir selbst agieren im Heute und hoffen, dass Morgen sich die medizinische Lage verbessern wird und wir flächendeckend zu einem geregelten, normalen Leben zurückkommen können, welches nicht von Ängsten und Sorgen beherrscht wird.
Gestern
Wenn Sie keine Zeitmaschine haben, wird ihnen der Zugriff auf das „Gestern“ verschlossen bleiben. Um es simpel zu sagen „Weine nicht um vergossene Milch“ – denn die Milch ist weg und Ihre Entscheidungen, die sie im Vorfeld getroffen haben, müssen sich nun bewähren.
Sicherlich können Sie an kleinen Schräubchen drehen und das Feintuning für Settings optimieren, aber nachhaltiger Einfluss auf Aktivitäten bei Personen, im Umfeld von Produkten etc. bleiben ihnen ohne einen größeren Aufwand in der Regel verwehrt. Gestern ist gelaufen – hoffen Sie also, dass sie gut gearbeitet haben!
Heute
Heute sollte Ihr Handeln ausgerichtet sein, an die durch Corona wirksamen Einschränkungen. Kern ist dabei, die Mitarbeiter wenig zu belasten. Vermeiden Sie Security-Awareness-Tests, Umfragen, Trainings etc., sondern beschränken sie sich darauf, dass technische und organisatorische(umfangreich) Umfeld zu optimieren.
Selbstverständlich wird dies auch die Zu- und Mitarbeit der Kolleginnen und Kollegen erfordern, doch die Anzahl der Beteiligten ist begrenzt. Jedoch wäre ein diskreter und einfühlsamer Check am Anfang, der Aktivitäten bzgl. der „Corona-Nebenwirkungen“ auf die Mitarbeiter nicht falsch!
Generell gilt, dass man das Thema Security Awareness auf Sparflamme kochen sollte. Eine optische und technische Signalwirkung ist aber durchaus sinnvoll. Also beispielsweise:
- Auflage von Flyern und Aushängen von Werbe-Plakaten
- Offerieren von etablierten Services wie z.B. ein erweiterter Spam-Check von E-Mails
- Pflege der Intranet-Webseiten zum Thema
Jedoch sollten diese Schwerpunkte passiv offeriert werden – so kann der Anwender selbst entscheiden, ob er sie benötigt- es ergibt sich kein MUSS.
Normalerweise ist im täglichen Umfeld wenig Zeit, die getroffenen Entscheidungen zu hinterfragen oder zu optimieren. Daher ist das Heute der ideale Zeitpunkt dafür. Eine Überprüfung der IST-Situation kann, in der entsprechenden Tiefe erfolgen und mit den gewünschten Schwerpunkten:
- Sind die vermittelten Themenfelder noch aktuell bzw. entsprechend sie dem Bedarf?
- Ist die gewählte Strategie (Fake-E-Mail) als Training im Spam-Umfeld noch angemessen?
- Ist die Frequenz von Trainings und anderen Interaktionen korrekt oder zu gering/häufig?
- Gibt es Problemfelder, auf die man umgehend reagieren MUSS?
- Für das Heute hat der Security-Verantwortlichen, genug Arbeit, um Security Awareness in der momentanen Situation zu verifizieren, und die Strategie für das Morgen besser anzupassen.
Morgen
Morgen ist der schwierigste Punkt im Zeitstrahl, denn wir kennen nicht den exakten Eintrittspunkt und auch nicht die Auswirkungen, sondern können nur spekulieren und mit Variablen und Wahrscheinlichkeiten arbeiten.
Focus für den Punkt „Morgen“ sollte eine informelle Betrachtung darstellen. Um es auf den Punkt zu bringen: Wie nützlich sind die getroffenen Maßnahmen?
Betrachtet man die Angelegenheit realistisch wird man viele Experten finden, die das Thema um das Themas selbst bearbeiten und auch „aufblähen“. Leider vergessen Sie dabei, das Security Awareness nur eine Teildisziplin unter vielen ist und Ressourcen, die in dieses Thema ohne einen Mehrwert investiert werden, an anderer Stelle sinnvoller wären.
Zwei Aspekte sind es, die für diesen Punkt des Zeitstrahls gelten:
- 1. Welchen Nutzen hat der Mitarbeiter?
- 2. Welchen Nutzen hat das Business bzw. das Unternehmen von den Maßnahmen?
Zu befürchten ist, dass es nicht bei einer Pandemie bleiben wird. Die sichtbaren bzw. arbeitstechnischen Einschränkungen für die Anwender können sich unterschiedlich darstellen. Dies kann auch eine weltweite Security-Attacke, eine globale Notfallsituation oder ein wirtschaftlicher Vorfall sein. Beide Punkte a) und b) kumulieren im Umfeld Home-Office, denn dies wird heute (und auch Morgen?) die bevorzugte Distanz im täglichen Umgang mit einer Pandemie werden (Isolation schützt?).
Ausschlaggebend ist die Art der HomeOffice-Nutzung – bzw. wie erfolgt der Zugriff auf die Unternehmensressourcen?
- Zugriff mit dem Privat-PC?
- Zugriff mit dem Firmen-PC?
- Zugriff auf ein VPN mit dem Firmen-PC?
Sobald der Firmen-PC ins Spiel kommt, sinkt die Bedrohungsrate auf das Firmen-Level, welches hoffentlich gegen eine Vielzahl der etablierten Bedrohungen hilft.
Ist es aber ein Privat PC, gelten all die Bedrohungen, die man via Security Awareness im dienstlichen Umfeld versucht zu eliminieren PLUS derer, die für den Privat PC gelten. Hier dürfte es sich vor allem um Spam (Sextortion), Ransomware, Hackeraktivtitäten, Datendiebstahl oder Ressourcenmissbrauch durch dritte handeln. Punkte, die im dienstlichen Umfeld durch Know-how und Technik gut bekämpft und mit entsprechende bzgl. des Bedrohungslevels reduziert werden.
Im privaten Umfeld muss sich der User um diese Bedrohungen selbst kümmern bzw. relevante Produkte zum Schutz betreiben. Was dem Security-Awareness-Admin dabei die größten Sorgen bereiten dürfte ist die Vermischung von dienstlichen und privaten Belangen sein, bei denen private Attacken über den Anwender den Weg ins Unternehmen finden.
Denkbar hierbei sind z.B. Sextortion – Erpressung durch sexuelle Inhalte mit dem Ziel kein Geld zu erpressen, sondern Industriespionage. Auch die unbedachte Weitergabe von Download-Links (mit Backdoor-Tools als Nutzlast) ist denkbar oder auch klassischer Ressourcenverbrauch via Datamining. Falls hier im Vorfeld die Einbeziehung privater Umgebungen in den Schutz einbezogen wurden – Glückwunsch. Wenn nicht sollte schleunigst nachgebessert werden.
Denn Cyberangriffe enden nicht an der Domaingrenze oder bei einer IP-Adresse, sondern sind global zu betrachten. Dies ist vielleicht der wichtigste Punkt, denn man dem Anwender vermitteln muss, denn der Security-Awareness-Nutzen ist viel geringer, wenn kein aktiver Transport der Empfehlungen in den privaten Bereich erfolgt.
Vor allem der IT-Umgang im Familienumfeld (Shared Komponenten [Drucker, Storage], Risikobereitschaft [Copyright Download-Material] und das gelebte Security-Lavel [Security-Tools]) kann hier zu Problemen führen. Allerdings dies unter den gegebenen Umständen ist keine leichte Aufgabe – denn Sicherheitsprobleme in der IT oder eine Ansteckung im Rahmen einer Pandemie haben ja immer die anderen!
Ideal wäre es daher, wenn beispielsweise das Unternehmen entsprechende Tool für Security Awareness – oder besser noch ein E-Mail-Sicherheitstool etc. dem Mitarbeiter zur Verfügung stellen können. Allerdings ist dies nur dann möglich, wenn dafür ein Budget bereitgestellt wird, welches neben den Lizenzkosten auch die Funktion einer Hotline übernimmt. Denn manche Software braucht Experten, um die beste Schutzwirkung zu entfalten. Und es sollte nicht der Telefonanrufer von „Microsoft“ sein der in gebrochenem Deutsch bei der Lösung von bis dato unbekannten PC-Problemen helfen will und doch nur einen Trojaner oder ein RAT installieren will!
Zeitstrahl
Die Aufgaben bzgl. Security Awareness sind üblicherweise gegliedert und klar unterteilbar. Durch die Pandemie ergeben sich aber zwei signifikante Änderungen!
Zum einen sollte man auf die Belange der Kolleginnen/Kollegen Rücksicht nehmen und auf ihre individuelle Belastung durch die Pandemie (Pandemie-Koller etc.). Ein wenig Sparflamme schadet nicht.
Zum zweiten kann man die Zeit nutzen, dass Konzept und die Umsetzung auf vielen Ebenen zu hinterfragen und zu optimieren – denn Einsparpotential, OHNE Verlust von Qualität lässt sich i.d.R. immer generieren.
Wer es versteht, menschlich zu bleiben und seinen Elan auf Technik und Konzepte fokussiert, wird gestärkt aus der Pandemie hervorgehen und seinen Arbeitgeber bzgl. Security Awareness auf einem besseren Niveau vertreten.
Viel Erfolg bei der Reise auf dem Zeitstrahl!
(ID:47597922)
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/1f/0b1f98597969dc1283e15e139bda19bf/0112523199.jpeg "Phishing-E-Mails sind eine der häufigsten Formen von Cyberangriffen und stellen eine ernsthafte Bedrohung für Privatpersonen und Unternehmen dar. (Bild: Canva)")