Anzeige

Cyber Security Concept

Die Cybersicherheit ist in Unternehmen wichtiger denn je. Der erste Schritt ist hierbei den Handlungsbedarf zu erkennen, denn schon mit einfachen Mitteln können sich Unternehmen vor einer Vielzahl von Attacken schützen, indem sie ihre Mitarbeiter für das Thema sensibilisieren.

Die Corona-Krise hat Homeoffice über Nacht zur Normalität werden lassen. Unzählige Arbeitnehmer waren und sind gezwungen, von einem Tag auf den anderen ihren gewohnten Arbeitsplatz im Büro gegen den eigenen Schreibtisch zuhause einzutauschen. Das Thema Cyber Security spielte dabei zugunsten der Business Continuity im ersten Moment zunächst eine untergeordnete Rolle – darf aber auch in dieser Zeit des New Normals nicht zu kurz kommen.

Die gegenwärtigen Entwicklungen könnten es nicht deutlicher zeigen: das Social Distancing treibt die Arbeitnehmer ins Homeoffice. Damit geht einher, dass nun auch vermehrt private Geräte in die berufliche Kommunikation eingebunden sind – der Perimeter und die Angriffsfläche der Unternehmens-IT haben sich vergrößert.

Weil Arbeitnehmer oft nicht das technische Know-how über Schutzmaßnahmen auf Unternehmensniveau haben, entstehen Lücken in den Schutzmauern des Unternehmens. Das wissen Angreifer: Phishing-Mails und Berichte über das Ausnutzen üblicher Schwachstellen des Heimbüros mehren sich. Im Fall der Fälle haben die Angreifer über ein kompromittiertes Privatgerät Zugriff auf das Unternehmensnetzwerk.

Obwohl viele Unternehmen sich bereits mit Cyber Security beschäftigen, fehlt es häufig an der strategischen Ausrichtung der Security-Awareness-Maßnahmen. Doch die unternehmenseigene Sicherheitskultur funktioniert nur, wenn Sicherheit als Grundgedanke im Unternehmen verankert wird. Der nachfolgende Artikel stellt wichtige Sicherheitsmaßnahmen vor und gibt Hinweise zur Einführung einer funktionierenden Sicherheitskultur im Unternehmen.

Schritt 1: Handlungsbedarf erkennen

Zu Beginn steht immer eine Bestandsaufnahme zur Positionsbestimmung an: Welche Richtlinien, Tools und Prozesse zur IT-Sicherheit sind vorhanden und wie aktuell sind diese? Welche Metriken (Key Compliance Indicators) eignen sich, um das Sicherheitsniveau zu messen? Welches IT-Sicherheits-Know-how lässt sich im Verhalten der Mitarbeiter bereits erkennen?

Um die Bestandsaufnahme zu komplettieren und später den Erfolg der zu ergreifenden Maßnahmen messbar zu machen, können eine Reihe von Messpunkten herangezogen werden. Bei internen Phishing-Simulationen werden Angriffe inszeniert, die sich von einem echten Phishing-Angriff kaum unterscheiden lassen. Dabei versuchen die Angreifer, durch Phishing-Mails an die Login-Daten der Betroffen zu gelangen. 

Der USB-Drop bezeichnet das Platzieren eines programmierten USB-Gerätes. Ziel ist es, dass dieses USB-Gerät seinen Weg an den Computer eines Mitarbeiters findet. Das Eindringen in Firmennetze durch Kriminelle mittels USB-Gerät ist immer noch sehr erfolgreich, da die Neugierde der Betroffenen oft zu groß ist. Gegenüber diesen Methoden ist der Floor-Walk meist einfach und schnell als Messmedium umzusetzen. Hierbei wird bspw. ein Clean-Desk-Audit oder Locked-Screen-Check vorgenommen und Ergebnisse können entsprechend schnell generiert werden. 

Ein umfassenderes Bild geben auch andere Kontroll-Maßnahmen wie Penetrationstests oder der Abgleich von Listen gehackter Passwörter mit den von den Mitarbeitern verwendeten Windows-Passwörtern. 

Schritt 2: IT-Sicherheits-Strategie definieren

Nach der Bestandsaufnahme muss eine IT-Sicherheits-Strategie erarbeitet und ein passendes Awareness-Programm konzipiert werden. Hier gilt es, drei Strategiestufen zu beachten:

Strategiestufe 1: Sicherheit auf dem Papier

Grundlage für alle weiteren Schritte ist die transparente Vorgabe und Kommunikation darüber, welches Verhalten erlaubt bzw. verboten und welches Verhalten erwünscht bzw. unerwünscht ist. Dazu sind abgestimmte, moderne IT-Sicherheits- und Datenschutzrichtlinien notwendig. Hilfreich sind zudem der Einsatz von E-Learning-Tools und interne Kommunikationskampagnen, um Wissen zu vermitteln und die nötige Awareness zu schaffen.

Strategiestufe 2: Sicherheit im Verhalten

Sicherheit muss so in Tools, Prozesse und in der Organisation implementiert werden, dass sicheres Verhalten nicht nur erwünscht, sondern auch tatsächlich umsetzbar ist. Sicheres Verhalten muss ein einfacher und bequemer Ablauf werden. Zielgruppenspezifische Trainings (z. B. gegen den CEO-Fraud) unterstützen die gewünschte Verhaltensänderung. Und nicht zuletzt müssen diese Änderungen auch sichtbar und die Wirksamkeit der implementierten Maßnahmen überprüft werden. Dazu müssen Kontrollen durchgeführt bzw. die Compliance Indikatoren gemessen werden, z. B. mit den bei der Bestandsaufnahme beschriebenen Metriken.

Strategiestufe 3: Sicherheit als kultureller Wert

Als dritte Stufe sollte Sicherheit als kultureller Wert im Unternehmen platziert werden. In dieser Phase muss sich das Unternehmen positionieren und organisieren. Ziel ist es, pro-aktives, intrinsisches, gemeinschaftliches Verhalten zu fördern. Es ist entscheidend, welche Fehlerkultur das Unternehmen lebt und wie Insider Threats, also Bedrohungen durch bösartige oder frustrierte Mitarbeiter, verhindert werden können. Multiplikatoren müssen sichtbar, erreichbar und vertrauenswürdig sein. Und all das muss mit Freude an der Arbeit passieren – für die Millenials am besten auf spielerische Art und Weise (Gamification).

Benjamin Bachmann, Director Cyber Security
Benjamin Bachmann
Director Cyber Security, EXXETA AG

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

phishing businessman
Mai 13, 2020

Security-Grundlagen gegen Phishing-Angriffe

Cyberkriminelle sind oft nur einen Phishing-Angriff davon entfernt, ungehinderten Zugriff…
Cyber Crime Mensch
Jan 28, 2020

Social Engineering - Die Kunst der Täuschung

Beim Social Engineering nutzen Cyber-Angreifer den „Faktor Mensch“ als vermeintlich…
Menschen als Marionetten
Okt 22, 2019

Security Awareness: Definition und Bedeutung (Teil 1/4)

Datenpannen, Sicherheitslücken, Wirtschaftsspionage und - Sabotage durch Hacker: Laut…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!