:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Gesponsert
Wie Security Culture bei Security Awareness hilft
Security Awareness ist in aller Munde, Trainings und Trainer werden ausgereifter und professioneller. Doch die gut gemeinte Absicht dahinter droht zu verpuffen. Deshalb müssen Unternehmen den nächsten Schritt gehen und eine Sicherheitskultur für IT-Sicherheit – also eine Security Culture – etablieren, um sich vor Social Engineering zu schützen.
Gesponsert von
Security Culture als Begriff meint die Schärfung des Sicherheitsbewusstseins der gesamten Belegschaft einer Organisation und wird unter der Unternehmenskultur subsumiert. Jelle Wieringa, Security Awareness Advocate beim Schulungs-Spezialisten KnowBe4, definiert Security Culture wie folgt: „Security Culture umfasst das Wissen, die Überzeugungen und das Verhalten der Personen in einem Unternehmen. Es sind diese drei Elemente, die grundsätzlich behandelt werden müssen.“ Jedes Jahr veröffentlicht KnowBe4 eine weltweit durchgeführte Studie zu diesem Thema, bei dem mehr als 320.000 Mitarbeiter in 1.872 Organisationen befragt werden. Die Ergebnisse der Ausgabe von 2021 zeigen, dass Unternehmen aus dem Banken- und Finanzdienstleistungssektor am besten und Unternehmen aus dem Bildungswesen und dem Baugewerbe am schlechtesten abschnitten, was den Stand ihrer Sicherheitskultur angeht. Generell besteht in vielen Organisationen branchenübergreifend Nachholbedarf beim Thema Sicherheitskultur. Dies liegt nicht zuletzt an der oftmals vernachlässigten Schulung der Mitarbeiter in Sachen Security Awareness. Letztlich haben Unternehmen viel Geld in Sicherheitstechnologien gesteckt, inwieweit diese Investitionen sich aber tatsächlich positiv auf die Resilienz der Organisation auswirkten, ist aufgrund der Erfolge der verschiedenen Ransomware-Gruppen zweifelhaft.
20 Prozent der in der Studie befragten Mitarbeiter geben an, nicht im erforderlichen Umfang über Informations- und IT-Sicherheit aufgeklärt zu werden. Dies beginnt bei geradezu trivialen Dingen wie der Passwortsicherheit. Durchschnittlich 24 Prozent aller Mitarbeiter nutzen nach wie vor kurze oder einfache Passwörter beim Login in den Firmen-Account. 25 Prozent nutzen immer wieder dasselbe Passwort für ihre Konten. Und mehr als drei Viertel (77 Prozent) haben ihre Passwörter nicht vor dem Zugriff Dritter gesichert. Dabei gibt es so einfache Möglichkeiten sein Passwort auf Sicherheit zu prüfen. Ein Bericht zeigt, dass Unternehmen mit einer schlechten Sicherheitskultur ein 52-mal höheres Risiko für die Weitergabe von Anmeldedaten durch Mitarbeiter haben.
BEC als Bedrohung
Ein besonders ärgerliches und kostspieliges Cyberrisiko-Szenario ist BEC, also Business E-Mail Compromise. Bei dieser Art von Social Engineering werden Mitarbeiter in der Regel über einen fiktiven Vorgesetzten dazu gebracht, Transaktionen durchzuführen, die über Social Engineering-Methoden ausgelöst wurden. Das Gelingen dieser Methode hängt mitunter auch von der jeweilig gelebten Unternehmenskultur ab, die wiederum die Sicherheitskultur beeinflusst. Wenn der Geschäftsführer bzw. der Vorstand keine offene Fehlerkultur pflegen und nicht die Selbstverantwortung ihrer Mitarbeiter fördern, steigt die Anfälligkeit. Der Schlüssel zum Erfolgt liegt darin, richtiges Verhalten zu belohnen, statt Fehler zu bestrafen. Mitarbeiter ändern ihr Verhalten, wenn sie für sichere Arbeitsweisen gelobt werden und wenn sie sich an Vorbildern orientieren können. Darüber hinaus liegt auch in der Wiederholung eine Chance. Wenn Mitarbeiter gewisse Tätigkeiten so oft wiederholen, bis sie zu einem Automatismus geworden sind, auch dann entsteht Sicherheit.
Um die Sicherheitskultur zu verbessern und die eigene Absicherung zu erhöhen, sollten Unternehmen in Security Awareness Trainings investieren, um ihre Mitarbeiter als Human Firewall zu schulen. Oftmals fehlt es jedoch an fähigen Trainern und Experten, die ihr Wissen im Bereich Cybersicherheit einfach und verständlich vermitteln können. Bei dieser Wissensvermittlung hilft der Aufbau von Security Awareness-Programmen, die schrittweise umgesetzt zum erstrebten Ziel führen. Doch auch hier stellt sich vielen die Frage, wie und wo sie beginnen sollen. Das Automated Security Awareness Program (ASAP) unterstützt beim Aufbau von entsprechenden Kampagnen. Zusätzlich helfen Mitarbeiter von Plattformanbietern bei der Zusammenstellung der Inhalte, die abwechslungsreich gestaltet werden müssen und im besten Fall aufeinander aufbauen sollen.
Teil eines solchen Programms sind auch immer wieder Phishing-E-Mails, die zu Testzwecken an die Mitarbeiter versendet werden und firmeninterne Aufhänger wie „Mitarbeitergespräch“, „Urlaubsregelungen“, „Firmenfeierlichkeiten“ oder aber auf externe Themen ausgerichtete Betreffzeilen wie „Rechnungsadresse anpassen“ oder „Auftragsbestätigung“ umfassen. Bei diesen Phishing Security Tests wird die Anfälligkeit verschiedener Mitarbeiter erfasst und über Feedback E-Mails mit den Betroffenen über weitere Fortbildungsmaßnahmen gesprochen.
Fazit
Security Awareness bildet die Basis für eine gute Sicherheitskultur, in der möglichst alle Mitarbeiter aufeinander, aber auch auf die IT-Sicherheit ihrer Organisation achten. Beide Begriffe greifen ähnlich Zahnrädern ineinander, können jedoch auch einzeln umgesetzt werden. Während sich das eine auf die Absicht konzentriert (Kultur), bietet das andere ein Werkzeug (Bewusstsein) an, um sie aufzubauen und zu erhalten. Je besser die Mitarbeiter geschult wurden und Cyberrisiken einschätzen können, desto weniger anfällig wird das Unternehmen als Ganzes sein. Die Geschäftsleitung lebt diese Kultur im besten Fall vor. Sie motiviert Mitarbeiter und fördert sowie unterstützt entsprechende Initiativen.
(ID:47515929)
:quality(80)/images.vogel.de/vogelonline/bdb/1947700/1947715/original.jpg "Gamification ist weitaus mehr als eine Spielerei. Richtig eingesetzt absolvieren die Beschäftigten gerne Schulungen und senken spielerisch und effektiv ihr Cyberrisiko. (dusanpetkovic1 - adobe.stock.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904519/original.jpg "Laut Sailpoint stellen vor allem hybride Arbeitsweisen die IT-Sicherheit von Unternehmen auf die Probe. Deshalb sollten diese ihre Mitarbeiter schulen. (NDABCREATIVITY - stock.adobe.com)")