IT-Security-Coaching

Security Awareness hilft, wo Technik an Grenzen stößt

| Autor / Redakteur: Sebastian Brabetz / Peter Schmitz

Unternehmen sollten IT-Sicherheit ernst nehmen, auf ein langfristiges Security Management setzen und hohen Wert auf die Security Awareness der Mitarbeiter legen.
Unternehmen sollten IT-Sicherheit ernst nehmen, auf ein langfristiges Security Management setzen und hohen Wert auf die Security Awareness der Mitarbeiter legen. (Bild: Pixabay / CC0)

DSGVO und Malware-Angriffe sorgen dafür, dass immer mehr Unternehmen die IT-Sicherheit ernst nehmen. Das ist zwar eine erfreuliche Entwicklung für die Gesellschaft, weniger erfreulich ist allerdings, dass es gerade bei kleineren und mittleren Unternehmen noch oft am kontinuierlichen Management mangelt und eine wichtige Komponente zu kurz kommt: Security Awareness.

Selten zuvor war IT-Sicherheit ein derart präsentes Thema wie im Jahr 2017. Kein Wunder: Erpressungstrojaner wie WannaCry haben Computersysteme an Bahnhöfen und in Krankenhäusern auf der ganzen Welt lahmgelegt und haben mehr als deutlich gezeigt, dass Cyberattacken schnell zu einem gesellschaftlichen Problem werden können. Dazu muss es auch nicht unbedingt eine kritische Infrastruktur sein, die durch eine Malware-Attacke getroffen wird. Denn die digitalen Schädlinge werden immer raffinierter und zerstörerischer. Gerade bei kleineren und mittleren Unternehmen, dem Rückgrat der deutschen Wirtschaftskraft, können sie einen existenziellen Schaden anrichten. Letztlich sind Cyberangriffe an jedem Ort eine Gefahr, an dem mit Computern gearbeitet wird. Durch die fortschreitende Digitalisierung gibt es dabei kaum noch eine Branche und kaum ein Unternehmen, in dem Computer keine Rolle spielen.

Wer IT-Sicherheit heute noch auf die leichte Schulter nimmt, hat schon verloren. Aber welche Strategie sorgt wirklich für den besten Schutz? Wie so oft, gibt es hier nicht die eine und einzig wahre Antwort. Doch wer auf ein langfristiges IT-Sicherheitsmanagement setzt sowie ein hohes Augenmerk auf die Security Awareness der Mitarbeiter legt, der bewegt sich eindeutig auf der sicheren Seite.

Verständnis wecken für IT-Sicherheit

Mehr Erfolg mit Security Awareness

Verständnis wecken für IT-Sicherheit

15.06.18 - Das Hauptziel von Security Awareness (SecAware) ist es, die Computer-Nutzer für die zahlreichen Cyber-Bedrohungen zu sensibilisieren. Da nicht jeder Angriff sich durch die Kombination aus Sicherheits-Hard- und Software abfangen lässt, muss der IT-Nutzer als „Last Line of Defense“ agieren und „durchgerutschte“ Angriffe abwehren. Diese gute Idee funktioniert aber oft nicht! lesen

Ein starkes Fundament: Patch- und Schwachstellen-Management

Was genau ist mit „IT-Sicherheitsmanagement“ gemeint? Management steht im gewissen Sinne für Proaktivität, Kontinuität und Planung – der Gegenpol zu Management ist die Improvisation, das Handeln in Ad-hoc-Manier. Nehmen wir als Beispiel das Patch-Management.

Patch-Management ist eines der ersten und wichtigsten Schritte in Richtung eines langfristigen, soliden IT-Systems. Seit jeher sind veraltete Softwareversionen ein gern benutztes Einfallstor für Schadsoftware seitens der Cyberkriminellen. Wie handhabt man also das Problem? Im besten Falle benutzt der Systemadministrator ein spezialisiertes Tool für ein zentralisiertes Patch-Management, mit dem er eine gute Übersicht über die benutzten Softwareversionen, mögliche Inkompatibilitäten und Konfigurationsfehler erhält. Darüber hinaus erlauben es solche Tools, die Patch-Verteilung automatisiert zu gestalten, wodurch eine geringere Fehleranfälligkeit bei der Installation erzielt werden kann. Leider wird dieser zeitgemäße Ansatz gerade von kleineren und mittleren Unternehmen noch unzureichend umgesetzt. Oft werden Updates nicht gemanagt, sondern – ad-hoc und händisch – nach bestem Gewissen des Systemadministrators aufgespielt, beziehungsweise nachinstalliert. Weil dies meist ohne die Sicht auf das Ganze erfolgt, können Lücken und Fehler bei den Updates leicht übersehen werden.

Allerdings kann dies auch mit dem besten Patch-Management nicht völlig ausgeschlossen werden. So hinken nicht selten Hersteller mit ihren Updates hinterher. Manchmal fallen einige Komponenten auch aus verschiedenen Gründen aus der zentralen Netzwerk-Architektur heraus. Darum gehört zu einem fortschrittlichen IT-Sicherheitsmanagement auch das Schwachstellen-Management mit dazu. Das Schwachstellen-Management beinhaltet vor allem regelmäßige und automatisierte Schwachstellenscans, die Lücken im Patch-Management aufdecken. Darüber hinaus werden nach jedem Scan Reports erstellt, mit denen Systemadministratoren die Probleme gezielt angehen können. Zusätzlich aufpolstern lässt sich das Schwachstellen-Management durch den Einsatz von Penetrationstests. Diese werden auf bestimmte und potentiell gefährdete Systeme angesetzt, wo das Schwachstellen-Management besonders schwierig zu schließende Lücken aufgedeckt hat. Durch Penetrationstests lässt sich zum einen herausfinden, inwieweit sie tatsächlich zu einer Gefahr werden können. Zum anderen lassen sich diese komplexen Lücken durch die gewonnenen Informationen meistens auch endgültig schließen.

Security Awareness für Programmierer

Security-Startups im Blickpunkt: Securai

Security Awareness für Programmierer

09.03.18 - Hacker, Malware und Cyberspionen wirksam den Zugriff auf digitale Unternehmenswerte zu verwehren ist nicht einfach. Man investiert dafür in clevere Software, durchdachte Prozesse und letztendlich auch in Security Awareness beim Mitarbeiter, der als engagierter Wächter ebenfalls Bedrohungen erkennen und eliminieren soll. Gerade Gruppen wie Programmierer bleiben bei diesen Maßnahmen aber oft inhaltlich ausgeschlossen, da man nicht auf Ihre Bedürfnisse eingeht. lesen

Security Awareness setzt da an, wo Technik an Grenzen stößt

Der Dreiklang aus Patch-Management, Schwachstellen-Management und Penetrationstest liefert bereits die grundlegenden Bestandteile für ein zeitgemäßes IT-Sicherheitsmanagement. Noch effektiver wird das IT-Sicherheitsmanagement, wenn es auch die Schaffung der sogenannten Security Awareness unter den Mitarbeitern mit einschließt. Was Security Awareness ausmacht, ist eine höchst effektive Formel, die der chinesische Kriegsstratege Sunzi schon vor tausenden vor Jahren entdeckte: „Kenne deinen Feind und kenne dich selbst, und du wirst nicht verlieren.“ Im Kontext der IT-Sicherheit versteht man darunter im Wesentlichen die Sensibilisierung der Mitarbeiter für die Gefahren aus dem Cyberspace sowie für die Stärken und Schwächen des IT-Schutzes in ihrem Unternehmen.

Wofür eine solche Sensibilisierung gut ist, lässt sich anhand des Beispiels von Phishing-Mails veranschaulichen. Analog zu Malware sind auch Phishing-Mails mit der Zeit immer raffinierter geworden. Gebrochenes Englisch und Copy-Paste-Texte, das war einmal. Heute fallen nicht selten sogar mit allen IT-Security-Wassern gewaschene Mitarbeiter auf Phishing-Mails herein, weil diese speziell auf den einzelnen Mitarbeiter zugeschnitten werden. Das bedeutet, dass die Cyberkriminellen zunächst gründlich recherchieren, auf welche „Knöpfe“ sie bei einem bestimmten Mitarbeiter drücken müssen. Wissen sie beispielsweise, dass ein Mitarbeiter Jobbewerbungen bearbeitet, tarnen sie ihre Mail täuschend echt als eine Bewerbung. Im angehängten Word-Dokument, welches mitunter sogar tatsächlich einen Lebenslauf und ein Motivationsschreiben beinhalten kann, befindet sich dabei ein Makrocode, welcher schon direkt nach dem Öffnen des Dokuments Malware herunterlädt. Im ungünstigsten Fall kann sich die Infektion in Minutenschnelle auf andere Computer im Unternehmensnetzwerk ausbreiten. Nicht immer wird eine Firewall oder ein Malware-Scanner diesen Prozess bemerken. Genau deswegen ist die Security Awareness so wichtig: Ein Bewusstsein für aktuelle Phishing-Techniken würde in diesem Beispielfall den Mitarbeiter davor bewahren, ein Word-Dokument von einem unbekannten Absender überhaupt erst herunterzuladen.

Der moderne Hacker im Visier der Behörden

Neue Methoden und neue Akteure

Der moderne Hacker im Visier der Behörden

11.04.18 - Die Welt der Hacker befindet sich in einem kontinuierlichen Wandel. Durch immer neue technische Möglichkeiten entwickeln Cyberkriminelle immer bessere Angriffe und verbergen sie sich gleichzeitig immer besser vor ihren Verfolgern. In den USA verfolgen FBI, Secret Service und Homeland-Security Cyber-Straftaten. Die Einschätzung der Experten dieser Einrichtungen fällt aber weitestgehend ernüchternd aus. lesen

Lernen, wie Hacker zu denken

Den Feind – um bei Sunzi zu bleiben – wirklich zu kennen, ist allerdings einfacher gesagt als getan. Es ist schließlich der „Job“ von Cyberkriminellen, Sicherheitsarchitekturen zu penetrieren und zu infiltrieren. Sie trainieren täglich dafür und entwickeln immer neue Techniken, wodurch sie Schutzmechanismen oft einen Schritt voraus sind. Was kann da helfen? Ganz einfach: Sich in deren Lage zu versetzen und zu versuchen, den eigenen IT-Schutz zu hacken! Wir bei mod IT Services bieten zum Beispiel seit etwa zwei Jahren einen Hacking-Workshop an, sowohl für Anfänger als auch in einer Ausführung für technisch fortgeschrittene Mitarbeiter. Vier Tage lang lernen die Teilnehmer in kleinen Teams, wie Hacker zu denken: In einer kleinen simulierten Firmenumgebung machen sie Schwachstellen in der Sicherheitsarchitektur eines Unternehmens ausfindig und penetrieren diese mittels verschiedener aktueller Angriffstechniken.

Die Resonanz der Teilnehmer ist jedes Mal überwältigend – und überzeugt uns jedes Mal aufs Neue davon, dass Security Awareness aus einem umfassenden IT-Schutzkonzept kaum wegzudenken ist. Wer einmal mitmacht, kommt nicht selten auch im nächsten Jahr wieder, um die neuesten Tricks der Cyberkriminellen zu lernen und auf Basis dieser Erfahrungen auch die IT-Sicherheitsarchitektur im eigenen Unternehmen kontinuierlich zu verbessern. Durch die Verknüpfung von Patch-Management, Schwachstellen-Management und Penetrationstests mit Security-Awareness-Training bekommen sie alle Zutaten für ein effektives IT-Sicherheitsmanagement zusammen.

Security Awareness ist Zeitverschwendung!

Lohnt sich Sicherheits-Training?

Security Awareness ist Zeitverschwendung!

23.12.16 - Bei Security Awareness gehen die Meinungen über die Nützlichkeit stark auseinander. Während die einen Security Awareness (#SecAware) als lobenswerte und nützliche Maßnahme einschätzen, behaupten andere, dass es schlichtweg Zeit- und Geld-Verschwendung ist. lesen

Wer am falschen Ende spart, kann empfindlich getroffen werden

Ein Wermutstropfen bleibt dabei jedoch: Leider sind kleine und mittlere Unternehmen noch ungleich schwerer von der Notwendigkeit eines Security-Awareness-Trainings zu überzeugen als größere Konzerne. Dies zeugt erneut von einer Diskrepanz in der Ernsthaftigkeit, mit der kleinere und größere Unternehmen das Thema IT-Sicherheit angehen. Natürlich variiert der finanzielle Spielraum für die Aufstockung des IT-Schutzes je nach Unternehmensgröße. Und doch sind alle den gleichen Gefahren ausgesetzt. Es sind in letzter Konsequenz eben die „Kleinen“, denen ein erfolgreicher Malware-Angriff den meisten Schaden zufügen kann. Im Bereich IT-Sicherheit zu sparen, ist im Jahre 2018 der denkbar schlechteste Ansatz – und das gilt für alle.

Über den Autor: Sebastian Brabetz ist Leiter des Teams Professional Security Solutions bei mod IT Services. Seit mehreren Jahren führt er verschiedene Awareness-Workshops durch und bloggt sowohl privat als auch im mod-Blog zu Themen rund um IT Security.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45376757 / Mitarbeiter-Management)