Anzeige

Cyber Security Concept

Die Cybersicherheit ist in Unternehmen wichtiger denn je. Der erste Schritt ist hierbei den Handlungsbedarf zu erkennen, denn schon mit einfachen Mitteln können sich Unternehmen vor einer Vielzahl von Attacken schützen, indem sie ihre Mitarbeiter für das Thema sensibilisieren.

Die Corona-Krise hat Homeoffice über Nacht zur Normalität werden lassen. Unzählige Arbeitnehmer waren und sind gezwungen, von einem Tag auf den anderen ihren gewohnten Arbeitsplatz im Büro gegen den eigenen Schreibtisch zuhause einzutauschen. Das Thema Cyber Security spielte dabei zugunsten der Business Continuity im ersten Moment zunächst eine untergeordnete Rolle – darf aber auch in dieser Zeit des New Normals nicht zu kurz kommen.

Die gegenwärtigen Entwicklungen könnten es nicht deutlicher zeigen: das Social Distancing treibt die Arbeitnehmer ins Homeoffice. Damit geht einher, dass nun auch vermehrt private Geräte in die berufliche Kommunikation eingebunden sind – der Perimeter und die Angriffsfläche der Unternehmens-IT haben sich vergrößert.

Weil Arbeitnehmer oft nicht das technische Know-how über Schutzmaßnahmen auf Unternehmensniveau haben, entstehen Lücken in den Schutzmauern des Unternehmens. Das wissen Angreifer: Phishing-Mails und Berichte über das Ausnutzen üblicher Schwachstellen des Heimbüros mehren sich. Im Fall der Fälle haben die Angreifer über ein kompromittiertes Privatgerät Zugriff auf das Unternehmensnetzwerk.

Obwohl viele Unternehmen sich bereits mit Cyber Security beschäftigen, fehlt es häufig an der strategischen Ausrichtung der Security-Awareness-Maßnahmen. Doch die unternehmenseigene Sicherheitskultur funktioniert nur, wenn Sicherheit als Grundgedanke im Unternehmen verankert wird. Der nachfolgende Artikel stellt wichtige Sicherheitsmaßnahmen vor und gibt Hinweise zur Einführung einer funktionierenden Sicherheitskultur im Unternehmen.

Schritt 1: Handlungsbedarf erkennen

Zu Beginn steht immer eine Bestandsaufnahme zur Positionsbestimmung an: Welche Richtlinien, Tools und Prozesse zur IT-Sicherheit sind vorhanden und wie aktuell sind diese? Welche Metriken (Key Compliance Indicators) eignen sich, um das Sicherheitsniveau zu messen? Welches IT-Sicherheits-Know-how lässt sich im Verhalten der Mitarbeiter bereits erkennen?

Um die Bestandsaufnahme zu komplettieren und später den Erfolg der zu ergreifenden Maßnahmen messbar zu machen, können eine Reihe von Messpunkten herangezogen werden. Bei internen Phishing-Simulationen werden Angriffe inszeniert, die sich von einem echten Phishing-Angriff kaum unterscheiden lassen. Dabei versuchen die Angreifer, durch Phishing-Mails an die Login-Daten der Betroffen zu gelangen. 

Der USB-Drop bezeichnet das Platzieren eines programmierten USB-Gerätes. Ziel ist es, dass dieses USB-Gerät seinen Weg an den Computer eines Mitarbeiters findet. Das Eindringen in Firmennetze durch Kriminelle mittels USB-Gerät ist immer noch sehr erfolgreich, da die Neugierde der Betroffenen oft zu groß ist. Gegenüber diesen Methoden ist der Floor-Walk meist einfach und schnell als Messmedium umzusetzen. Hierbei wird bspw. ein Clean-Desk-Audit oder Locked-Screen-Check vorgenommen und Ergebnisse können entsprechend schnell generiert werden. 

Ein umfassenderes Bild geben auch andere Kontroll-Maßnahmen wie Penetrationstests oder der Abgleich von Listen gehackter Passwörter mit den von den Mitarbeitern verwendeten Windows-Passwörtern. 

Schritt 2: IT-Sicherheits-Strategie definieren

Nach der Bestandsaufnahme muss eine IT-Sicherheits-Strategie erarbeitet und ein passendes Awareness-Programm konzipiert werden. Hier gilt es, drei Strategiestufen zu beachten:

Strategiestufe 1: Sicherheit auf dem Papier

Grundlage für alle weiteren Schritte ist die transparente Vorgabe und Kommunikation darüber, welches Verhalten erlaubt bzw. verboten und welches Verhalten erwünscht bzw. unerwünscht ist. Dazu sind abgestimmte, moderne IT-Sicherheits- und Datenschutzrichtlinien notwendig. Hilfreich sind zudem der Einsatz von E-Learning-Tools und interne Kommunikationskampagnen, um Wissen zu vermitteln und die nötige Awareness zu schaffen.

Strategiestufe 2: Sicherheit im Verhalten

Sicherheit muss so in Tools, Prozesse und in der Organisation implementiert werden, dass sicheres Verhalten nicht nur erwünscht, sondern auch tatsächlich umsetzbar ist. Sicheres Verhalten muss ein einfacher und bequemer Ablauf werden. Zielgruppenspezifische Trainings (z. B. gegen den CEO-Fraud) unterstützen die gewünschte Verhaltensänderung. Und nicht zuletzt müssen diese Änderungen auch sichtbar und die Wirksamkeit der implementierten Maßnahmen überprüft werden. Dazu müssen Kontrollen durchgeführt bzw. die Compliance Indikatoren gemessen werden, z. B. mit den bei der Bestandsaufnahme beschriebenen Metriken.

Strategiestufe 3: Sicherheit als kultureller Wert

Als dritte Stufe sollte Sicherheit als kultureller Wert im Unternehmen platziert werden. In dieser Phase muss sich das Unternehmen positionieren und organisieren. Ziel ist es, pro-aktives, intrinsisches, gemeinschaftliches Verhalten zu fördern. Es ist entscheidend, welche Fehlerkultur das Unternehmen lebt und wie Insider Threats, also Bedrohungen durch bösartige oder frustrierte Mitarbeiter, verhindert werden können. Multiplikatoren müssen sichtbar, erreichbar und vertrauenswürdig sein. Und all das muss mit Freude an der Arbeit passieren – für die Millenials am besten auf spielerische Art und Weise (Gamification).

Benjamin Bachmann, Director Cyber Security
Benjamin Bachmann
Director Cyber Security, EXXETA AG

Artikel zu diesem Thema

phishing businessman
Mai 13, 2020

Security-Grundlagen gegen Phishing-Angriffe

Cyberkriminelle sind oft nur einen Phishing-Angriff davon entfernt, ungehinderten Zugriff…
Cyber Crime Mensch
Jan 28, 2020

Social Engineering - Die Kunst der Täuschung

Beim Social Engineering nutzen Cyber-Angreifer den „Faktor Mensch“ als vermeintlich…
Menschen als Marionetten
Okt 22, 2019

Security Awareness: Definition und Bedeutung (Teil 1/4)

Datenpannen, Sicherheitslücken, Wirtschaftsspionage und - Sabotage durch Hacker: Laut…

Weitere Artikel

Schwachstelle

Wachsende Risiken durch Improper Authentication

Bei dem US-amerikanische Hersteller von Fitnessgeräten Peloton ist es aufgrund einer fehlerhaft konfigurierten API zu einem Datensicherheitsvorfall gekommen. Ein Kommentar von Ben Sadeghipour, Head of Hacker Education bei Hackerone.
Cybersecurity

Warum ein Penetrationstest durchgeführt werden muss

Nahezu jede Woche ist in den Medien von Angriffen auf sensible IT-Systeme zu lesen. Für Unternehmen bedeuten diese sowohl finanzielle Schäden als auch den Verlust von Vertrauen und Ansehen bei ihren Geschäftspartnern und Kunden. Zum Teil sind die…
Datensicherheit

Benutzerverhalten als Risiko: Drei Schritte für Datensicherheit

Ein argloses Klicken auf den Link einer Phishing-Mail, das Browsen auf einer kompromittierten Website oder der unachtsame Umgang mit SaaS-Anwendungen: Rein theoretisch genügt eine unüberlegte, leichtfertige Handlung, um Malware die Tür in die…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.