:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Interview mit Michael Helisch von HECOM Security Awareness Consulting Security Awareness wird selten nachhaltig umgesetzt
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Hinsichtlich der Security Awareness genügt es nicht, die IT-Anwender im Unternehmen einmal zu schulen. Das Wissen muss immer wieder aufgefrischt werden. Michael Helisch von HECOM Security Awareness Consulting hat sich mit Security-Insider über das Thema nachhaltiges Sicherheitsbewusstsein unterhalten.
Security-Insider: Offenbar genießt Security Awareness heute nicht mehr den Stellenwert, wie noch vor einigen Jahren. Was sind nach Ihrer Meinung die Ursachen, Budgeteinsparungen oder eine fehlende Wirksamkeit (ROSI) von Security Awareness?
Michael Helisch: Den Trend, dass Security Awareness Maßnahmen immer mehr unter den Tisch fallen, kann ich so nicht bestätigen. Im Gegenteil: der Druck zur nachhaltigen Sensibilisierung nimmt aus meiner Sicht zu – nicht zuletzt aufgrund der Tatsache, dass das rechtliche bzw. regulatorische Umfeld immer restriktiver wird.
Meiner Meinung nach ist allerdings festzustellen, dass Security Awareness nicht nachhaltig umgesetzt wird. Dies liegt unter anderem daran, dass viele Unternehmen das Thema methodisch falsch angehen. Security Awareness ist eben nicht nur ein Problem mangelnden Wissens und/oder mangelnder Begeisterung für das Thema Sicherheit.
Wenn aus Awareness dauerhafte Compliance im eigentlichen Sinn des Wortes werden soll, ist an weiteren (methodischen) Stellschrauben zu drehen, vor allem in den Bereichen Organisation und Personal. Unternehmenskultur, Identifikation mit dem Unternehmen seien hier beispielsweise als Stichworte genannt. Im Security-Fachblatt Hakin9 habe ich mich insbesondere mit dem Thema Sicherheitskultur im Unternehmen beschäftigt.
Awareness wird immer ein „weiches Thema“ bleiben, was insbesondere in puncto Erfolgsmessung gerne Anlass zu Diskussionen gibt. Auch damit wird man leben müssen.
Security-Insider: Befindet sich der Mitarbeiter heute womöglich in einer Komfortzone, in der er erwartet, dass die Technik ihn vor allen Problemen zuverlässig schützt?
Michael Helisch: Aus Sicht des Anwenders wird Sicherheit, gerade im beruflichen Umfeld, einer ständigen Kosten-Nutzen-Abwägung unterzogen. Für das meist mit einem Mehraufwand verbundene, dauerhaft sicherheitskonforme Verhalten, braucht es aus seiner Perspektive eine geeignete (subjektive) Rechtfertigung.
Wissen um die Risiken und Folgen ist eine notwendige aber nicht ausreichende Rahmenbedingung. Der Mitarbeiter muss das Unternehmen schützen wollen – und zwar nicht nur, weil gerade ein wenig Marketing für Sicherheit gemacht wird. Er/sie wird dies auch ohne Marketing tun, wenn ihm/ihr das Unternehmen oder das Team in der er/sie arbeitet „lieb und teuer sind“. Auch hier sind wir wieder beim Thema Identifikation mit dem eigenen Unternehmen als dem für den Erfolg der Awareness-Arbeit wichtigsten Faktor.
Security Awareness ist ein steter Prozess
Security-Insider: Trotz technischer Maßnahmen, braucht es den Mitarbeiter, der z.B. wie eine Phishing-Attacke auf seine Identität erkennt. Auf welche Schwerpunkte sollte heutzutage Security Awareness besonderen Wert legen, um einen maximalen Nutzen zu bieten? Was können Sie empfehlen?
Michael Helisch: Erfolgreiche Sicherheitsmaßnahmen umsetzen heißt dafür zu sorgen, dass die drei wichtigsten Elemente der Sicherheitskette – ich nenne sie „die 3Ps der Sicherheit“, nämlich Produkte, Personen und Prozesse – vernünftig ineinander greifen.
Dabei ist der Mensch das zentrale Kettenglied, da er die ihm zur Verfügung gestellten Sicherheitsprodukte adäquat bedienen muss und die definierten Sicherheitsprozesse mit Leben füllt. Ein Sicherheitsbewusstsein zu schaffen, um Compliance zu erreichen, ist ein ständiger und weit verzweigter (Veränderungs-)Prozess.
Wenn diese Einsicht bei allen Beteiligten vorhanden ist – insbesondere bei denen, die das Budget dafür zur Verfügung stellen – ist schon viel erreicht. Desweiteren gehören für mich die Punkte „Relevanz“ der angesprochenen Themen für den Einzelnen und „Glaubwürdigkeit“ im Sinne von aktivem Vorleben durch die Führungskraft zu den Top 3 der Erfolgsfaktoren.
Security-Insider: Wie sehen Sie die Zukunft von IT Sicherheit. Wird man auf Security Awareness irgendwann verzichten können oder muss man immer die menschlichen und technischen Aspekte berücksichtigen?
Michael Helisch: Um auf den ersten Teil der Frage zu antworten: Nein, sicher nicht, allein schon aufgrund der Tatsache, dass sich die Bedrohungsszenarien immer weiterentwickeln werden. Die entscheidende Frage ist: Was muss ich dafür an Aufwand betreiben?
Nachhaltig erfolgreich wird man dabei nur mit einen ganzheitlichen Ansatz, der deutlich über das Thema Sicherheit als solches hinaus geht und beispielsweise organisatorische wie auch personelle Themen integriert. Das macht es für den Awareness-Verantwortlichen nicht unbedingt leichter, es spiegelt aber die Komplexität wider, in der wir uns bei diesem Thema nun mal bewegen.
Michael Helisch ist Gründer und Inhaber von HECOM Security Awareness Consulting. Das Interview führte Ralph Dombach.
(ID:36071540)
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904519/original.jpg "Laut Sailpoint stellen vor allem hybride Arbeitsweisen die IT-Sicherheit von Unternehmen auf die Probe. Deshalb sollten diese ihre Mitarbeiter schulen. (NDABCREATIVITY - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904600/1904605/original.jpg "Security ist ein Mannschaftsspiel. (Pete Curcio auf Pixabay)")