:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitsgewinn durch Anwender-Sensibilisierung Security Awareness stärkt die IT-Sicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Mehr IT-Sicherheit im Unternehmen! Das ist der Wunsch von vielen Security-Verantwortlichen. Denn die Bedrohung aus dem Web und durch gut organisierte Cyberkriminellen nimmt ständig zu. Security Awareness bietet die Chance, technischen Lücken durch die Fachkompetenz des Mitarbeiters zu minimieren.
Vereinfacht gesagt geht es bei Security Awareness (Sicherheitsbewusstsein) darum, die Nutzer für die Belange der Informationssicherheit zu sensibilisieren. Es gilt, die Mitarbeiter mit den Bedrohungen zu konfrontieren, die heutzutage die Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität der IT-Systeme bzw. -Daten gefährden.
Wo früher die verschiedenen Security-Controls zuverlässig schützen, gibt es heute (temporäre) Lücken. Neue Sicherheitsrisiken lauern in unterschiedlicher Gestalt auf Webseiten und sozialen Medien, aber auch in etablierten Diensten wie E-Mail. Durch neue Techniken und altbewährte Strategien gelingt es den Cyber-Kriminellen, die Bollwerke der IT zu durchdringen, um den Anwender direkt zu attackieren.
Auf einmal ist es der Anwender, der über den Erfolg eines Angriffs entscheidet. Folgt er den leeren Versprechungen einer an ihn gerichteten E-Mail und öffnet unbewusst für einen Hacker ein Hintertürchen im System? Ist die Gratis-Offerte für einen normalerweise kostenpflichtigen Service so verlockend, dass er ein Programm startet und damit einen Key-Logger installiert?
Der Anwender wird, nachdem die IT-Sicherheit ausgespielt ist, zum entscheidenden Security-Faktor! Ein Nutzer, der die gängigen Bedrohungen kennt, fällt auf die trickreichen Versprechen und Angebote seltener herein, als ein unerfahrener User. Die eigentliche Aufgabe von Security Awareness ist es daher, dem Nutzer ein Rüstzeug zu geben, mit dem er sich erfolgreich zur Wehr setzen kann und damit die IT Sicherheit für das Unternehmen stärkt.
Bedarf?
Wenn es um Security Awareness geht, taucht immer wieder die zentrale Frage auf, ob dies überhaupt erforderlich ist. Bietet das Sicherheitsbewusstsein der Anwender wirklich ein Plus, das dazu beiträgt, die IT Security zu verbessern? Eine mögliche Antwort auf die Frage liefern Passwörter, die immer noch das bevorzugte Mittel zur Authentifizierung eines Anwenders darstellen.
Dass Passwörter „sicher“ sein sollen, ist jedem Computer-Anwender bekannt. Doch wie sich die Sicherheit erreichen lässt, darüber herrscht ohne das nötige Wissen oft Unklarheit! Wie viele Stellen sollte ein Passwort haben – reichen sieben aus oder sind zehn sicherer? Ist die Passwort-Speicherung per MD5-Algorithmus noch in Ordnung oder ist RSA mit 2048bit das Minimum? Detailfragen, die ein normaler Anwender nicht beantworten kann.
Ein Passwort, das vor einigen Monaten noch sicher war, ist heute ggf. in Stunden oder Tagen berechenbar. Grafikkarten mit hochgezüchteter Rechenleistungen, Rechner-Cluster und Rainbow-Tables verändern die Sicherheitslage rasant.
Ein Plus für die Sicherheit
Security Awareness trägt dazu bei, das Anwender-Wissen über ihn betreffende Security-Themen aktuell zu halten und vermeidbare Fehler zu reduzieren. Richtig eingesetzt, bietet Security Awareness einen Sicherheitsgewinn! Der eigentliche Plus-Faktor von Security Awareness ergibt sich aus der Qualität und Intensität der geleisteten Sensibilisierung.
Ein Security-Plakat mit einem offensichtlich unerwünschten Firmenbesucher (Trenchcoat, Hut und verstohlener Blick), der neugierig den Papierkorb neben dem Kopierer untersucht, hat nur einen geringen Plus-Faktor. Die Botschaft ist zwar identifizierbar „Achte auf fremde, unberechtigte Besucher“ – aber wen spricht das heute noch an?
Derartige Plakate erinnern unbewusst an Anti-Spionage-Propaganda im 2. Weltkrieg und besitzen nur eine geringe Akzeptanz. Security Awareness, die hingegen intelligent, witzig, kreativ und informativ präsentiert wird, verspricht wesentlich mehr Erfolg.
Interesse wecken
Verantwortliche für IT Sicherheit übersehen oft, dass für einen Kunden „Security Awareness“ nur eines von vielen „Produkten“ ist, mit denen er zu tun hat. Jedes Produkt will etwas von ihm – Arbeitszeit, Aufmerksamkeit, Budget oder eine Entscheidung. Da jede dieser Ressourcen begrenzt ist gewinnt nur das Produkt, welches am besten platziert wird. Gelingt es, Security Awareness für den Anwender interessant zu gestalten, dann ergibt sich auch der Plus-Faktor.
Ein Memo der Geschäftsleitung zum Thema: „Sichere Passwörter“, in dem gute Ratschläge gegeben werden, ist heutzutage beinahe wertlos. Interessant wird ein solches Memo für den Empfänger erst dann, wenn qualitative Schlüsselelemente auftauchen:
- Eine Worst-Cast-Fallstudie im bekannten Umfeld (gleiches Geschäftsfeld, geografische Nähe, identisches Produkt etc.)
- Eine guter Titel, der neugierig macht („Hacker hacken bei uns umsonst – oder?“)
- Realistische Beispiele für sichere und unsichere Passwörter
- Bilder und Statistiken, die das Thema optisch begleiten und unterstützen
- Links zu weiterführenden Informationen
- Praxisnahe Ratschläge für „Passwort-Eselsbrücken“
- Die Option, Feedback (auch anonym) zu geben
Henry Ford (Gründer der Ford Motor Company) prägte den Spruch „Wer nicht wirbt, stirbt!“. Die beste Werbung für Security Awareness ist qualitative und intensive Security Awareness selbst!
Mehrwert und Messbarkeit
Bei keinem anderen Thema im Security-Awareness-Umfeld sind die Meinungen unterschiedlicher. Security Awareness erfordert ein Budget und dieses erhält man i.d.R. leichter, wenn man den ROI (Return on Investment) belegen kann.
Als Nachweis für erfolgte Security Awareness-Maßnahmen wird oft ein Vorher/Nachher-Vergleich herangezogen oder die Prozentquote von Wissenstests. Beides ist wenig zielführend (persönliche Meinung des Autors). Ein Vorher/Nachher-Vergleich der beispielsweise ermittelt, wie hoch die „Verführungsquote“ auf eine Köder-E-Mail ist, findet nicht in einer statischen Umgebung statt.
Mitarbeiter sind immer beeinflussenden Informationen ausgesetzt, die z.B. sich im Kollegengespräch, aus den Medien oder dem privaten Umfeld ergeben. Eine Computerviren-Infektion im Freundeskreis motiviert zur Beachtung von Security-Regeln viel stärker, als das 90-seitige Security-Regelwerk im Regal. Eine Änderung im User-Verhalten ist daher nicht allein auf Security Awareness-Aktivitäten begründet, sondern auch durch das normale Leben geprägt.
Ebenso liegt es auf der Hand, dass ein Security-Wissenstest, nach erfolgter Schulung besser Resultate bringt, also vor der Schulung. Allerdings vergisst man schnell das erlernte, wenn es ohne Bezug ist (Qualität und Intensität). Selbst mit Bezug fällt es schwer, sich an das einmal erlernte zu erinnern (Sie nutzen täglich ihr Auto? Wissen Sie noch alle Regeln aus Ihrer Führerscheinprüfung?).
Was bringt es?
Security Awareness macht aus Mitarbeitern keine Security-Experten! Das Sicherheitsbewusstsein ist auch nicht unmittelbar messbar oder trägt dazu bei, technische Maßnahmen zu reduzieren. Security Awareness ist ein Baustein im Sicherheitskonzept, der den Mitarbeiter befähigt, vermeidbare Anwender-Fehler zu reduzieren und ggf. die Folgen von technischen Lücken zu minimieren!
Security Awareness ist aber keine Einmalaktion, sondern eine stetige Aufgabe. Man sorgt ja auch dafür, dass der Antivirus-Scanner immer auf dem neuesten Stand ist. Security Awareness bedeutet ein wirksames Plus für IT Sicherheit; sofern man es versteht, die Botschaft anwendergerecht zu transportieren und Betroffene zu Beteiligten zu machen!
(ID:34937800)
:quality(80)/p7i.vogel.de/wcms/dc/ea/dcea3e5e3fee5dbe8dc47f881d0973b4/0105030569.jpeg "Unternehmen und ihre IT-Abteilungen werden auf absehbare Zeit nicht auf den Einsatz von Passwörtern verzichten können. (Bild: Vitalii Vodolazskyi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/d9/72d9295d0dbbac8caed4631f0b3d1d8e/0105990932.jpeg "In der aktuellen Version 3.11.0 der Secudos Qiata Appliance wurde die Messlatte für Sicherheit und digitale Souveränität noch einmal höher gelegt. (Bild: cutimage - stock.adobe.com)")