Anzeige

Cyber Security

Anläßlich des Safer Internet Day am 9. Februar beantwortet Sam Curry, CSO bei Cybereason, einige Fragen zum Thema "Gedenktage", Ransomware und der aktuellen Arbeitswirklichkeit.

 Wir haben in der letzten Woche den Aktionstag „Safer Internet Day“ hinter uns gebracht. Immer ein guter Anlass, sich mit dem Thema etwas konkreter zu beschäftigen. Welche sind aus Ihrer Sicht die wichtigsten internetbasierten Cyberbedrohungen, auf die Unternehmen im Jahr 2021 achten sollten?

Sam Curry: Es gelten natürlich die üblichen Vorbehalte und Warnhinweise nach wie vor auch in diesem Jahr. Achten Sie beispielsweise darauf, was genau Sie anklicken, nutzen Sie die richtigen ProgrGedeamme, halten Sie diese auf dem aktuellen Stand, und verzichten Sie darauf, professionelle Ressourcen auch für den privaten Gebrauch zu verwenden. 

Im Jahr 2020 haben wir allerdings einen grundlegenden Wandel erlebt. Pandemie, Lockdown und Quarantäne haben dafür gesorgt, dass die Grenzen zwischen Privatleben und Beruf nahezu vollständig verschwommen sind. Letztendlich ist Sicherheit immer dann sinnvoll, wenn sie berücksichtigt, wie Menschen sich im echten Leben tatsächlich verhalten und sie sich nicht an einem mythischen „idealen Benutzer“ orientiert. 

Taktisch gesehen ist die größte unmittelbare Bedrohung im Jahr 2021 Ransomware. Unternehmen sollten sich definitiv darauf einstellen, ins Visier von Angreifern zu geraten – auch wenn sie sich das kaum vorstellen können. Die Lösegeldforderungen steigen, Ransomware ist ohne Frage eine boomende Industrie auf der Suche nach Opfern. Stellen Sie sicher, dass Sie Prävention genauso im Auge haben wie grundsätzliche Cyber-Resilienz, Anti-Fragilität und die Fähigkeit, Dateien wiederherzustellen. Vor allem, um im Falle eines Angriffs möglichst schnell die Kontrolle wieder zu erlangen. Zu guter Letzt, etablieren Sie eine Strategie, Vorfälle zeitnah zu erkennen und aufzudecken. Es spricht nichts gegen Outsourcing – aber es sollte Eigenverantwortlichkeit und Entscheidungsfindungsprozesse nicht ersetzen. Es kommt  darauf an, den richtigen Partner auszuwählen, umfassend zu planen und über Tabletops regelmäßig und möglichst nah an der Realität zu üben. 


 


Wie lässt sich das öffentliche Bewusstsein für Cybersicherheit fördern und stärken, damit Menschen auch angesichts der steigenden Popularität von sozialen Medien verantwortungsvoller mit Technologie und digitalen Gadgets umgehen?

Sam Curry: Wir neigen dazu, in Awareness fördernde Maßnahmen und Trainings zu investieren. Die Forschung hat aber längst belegt, dass einfach nur mehr Schulungen nicht nur kaum einen Effekt haben, sondern sogar eher den gegenteiligen vom eigentlich erwünschten. 

Die Antwort liegt darin, Gemeinschaften aufzubauen, Predigten und Belehrungen zu vermeiden und sich an echten Nutzern zu orientieren. Sie stehen schließlich ganz vorne. Wir brauchen also einen menschlichen Layer innerhalb der Verteidigung, und der muss aktiviert werden. Das richtige Verhalten bezieht Gemeinschaften und Gruppenverantwortung mit ein. Eine Erfahrung, die sich gamifizieren lässt, die Spaß machen und sich lohnen kann. Zeichnen Sie lieber den „Held des Unternehmens“ aus, der einen Phishing-Angriff erkannt und gestoppt hat, statt mit negativen Sanktionen zu arbeiten. Auch Scoreboards und Lernen rund um Quizspiele, Phishing-E-Mails und Teilnahme an Schulungen können ein guter Weg sein. Die besten Programme motivieren Menschen, anders zu handeln, wenn die Intuition sagt „hier stimmt etwas nicht“.

Das ist wesentlich effektiver als Furcht vor Strafe und negative Verstärkung nach der obligatorischen jährlichen „Tod-durch-Powerpoint“–Schulung.

Remote-Working-Szenarien und Homeoffice machen einen Gutteil unserer aktuellen Arbeitsrealität aus. Was sollten wir angesichts dessen in 2021 besonders beherzigen? 

Sam Curry: Man sollte im Großen und Ganzen drei Ebenen berücksichtigen. Bösewichte werden weiterhin böse Dinge tun. Davon können wir getrost ausgehen. Aber wir, die „Bürger des globalen Internets“, sorgen dafür, es sicher(er) zu nutzen.  Als erstes sollte man seine persönlichen Gewohnheiten wie etwa die Nutzung sozialer Medien oder Dienste auf den Prüfstand stellen. Danach sollte man konkret etwas zur Verbesserung der Sicherheit unternehmen, wie zum Beispiel einen Passwort-Vault einsetzen. Als nächstes sollten man sich die Zeit nehmen, darüber nachzudenken, welche Aspekte des eigenen beruflichen Lebens ein Hacker für sich ausnutzen könnte. Und natürlich sollte man sicherstellen, die Unternehmensrichtlinien korrekt zu befolgen. Achten Sie darauf, welche Computer sie zuhause als Arbeits- und welche als Privatrechner verwenden. Versuchen Sie, beide getrennt voneinander zu halten. Und beziehen Sie die breitere Gemeinschaft ein. Beim sichereren Internet geht es nicht nur um weniger Identitätsdiebstähle oder Datenschutzverletzungen. Es geht auch darum, sicherzustellen, dass das Internet nicht für Propaganda, Mobbing oder die Verbreitung von Fehlinformationen missbraucht wird. 

Wir alle stehen in der Verantwortung, uns an der Diskussion zu beteiligen, und unser kritisches Denken nicht auszuschalten, wenn wir neue Medien alltäglich nutzen. Gelegentlich hilft es durchaus, den Verstand einzuschalten statt sich beim „Liken“ und Klicken nur von Emotionen leiten zu lassen. 

Sam Curry, Chief Security Officer
Sam Curry
Chief Security Officer, Cybereason

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Security Awareness
Feb 16, 2021

10 Phasen der organisatorischen Security Awareness

Security Awareness als Begriff ist ein ziemliches altes Konstrukt. Unter anderem die OECD…
Cyber Security
Feb 15, 2021

Cybersicherheit vs. Cyber-Resilienz – und warum man beide braucht

Wussten Sie, dass eine durchschnittliche Website täglich 62 Mal angegriffen wird?…
Ransomware
Feb 13, 2021

Emotet und Ransomware – Die Auswirkungen der Zerschlagung des Botnets

In einer gemeinsamen Aktion haben Strafverfolger rund um den Globus Ende Januar einen…

Weitere Artikel

Cloud Security

CrowdStrike kündigt neue Funktionen für die Falcon-Plattform an

CrowdStrike Inc. kündigte neue Funktionen für die CrowdStrike Falcon®-Plattform an, die das Cloud Security Posture Management (CSPM) und die Cloud Workload Protection (CWP) verbessern und mehr Kontrolle, Transparenz und Sicherheit für Cloud-Workloads und…
Security Lock

Warum jedes Unternehmen eine VDP braucht

Nach wie vor haben nur die wenigsten Unternehmen eine Vulnerability Disclosure Policy (VDP) im Einsatz. Das ist verwunderlich, hilft eine VDP Unternehmen doch dabei, sicherer zu werden.
IT-Sicherheitsgesetz

IT-Sicherheitsgesetz 2.0 soll Cybersicherheit erhöhen

Das neue IT-Sicherheitsgesetz 2.0 des Bundesinnenministeriums steht kurz vor der Verabschiedung. Es sieht unter anderem Veränderungen im Zusammenhang mit dem Schutz kritischer Infrastrukturen (KRITIS) vor. Für KRITIS-Unternehmen soll es zum Beispiel eine…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!