Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

DSAG-Jahreskongress
17.09.19 - 19.09.19
In Nürnberg, Messezentrum

Anzeige

Anzeige

Businessman Stress Office 534464599 700

Vorbei sind die Zeiten, in denen Endpoint Security und Firewalls ausreichten, um Unternehmen vor Cyberangriffen zu schützen. Heute sieht ein zuverlässiges Sicherheitskonzept anders aus: Neue Technologien und Experteninformationen sind gefragt – aber auch Mitarbeiter spielen eine wichtige Rolle.

Cyberattacken sind heute deutlich komplexer konstruiert und schwerer aufzuspüren als noch vor ein paar Jahren. Der Grund: Angreifer setzen Malware ein, die nicht auf festen Signaturen basiert.  Fehlt dieser charakteristische „Fingerabdruck“, können herkömmliche Sicherheitssysteme wie Antivirus-Software und Firewalls die Schädlinge nicht identifizieren. Zudem ändern viele Schadprogrammepermanent ihr Verhalten. Klassiker wie Endpoint Security sorgen zwar für einen soliden Grundschutz, derartige Bedrohungen lassen sich aber nur mit Next-Generation-Technologien aufspüren. 

Proaktivität statt Reaktion

Heuristische Erkennungsmethoden, die proaktiv nach ungewöhnlichen Verhaltensmustern suchen, sowie Künstliche Intelligenz (KI) und maschinelles Lernen (Machine Learning) ermöglichen es Unternehmen, Cybergefahren vorherzusehen, noch bevor sie überhaupt Schaden anrichten können. Dabei sollten solche Softwarelösungen alle Bereiche der IT-Infrastruktur abdecken und branchenspezifisch ausgerichtet sein – denn Cloud-Dienste und kritische Infrastrukturen müssen ebenso geschützt werden wie mobile Umgebungen und das Internet der Dinge.

Doch Security-Technologien alleine reichen nicht aus. Auch Maßnahmen zum Schutz der „Schwachstelle Mensch“ sollten heutzutage ein wesentlicher Bestandteil jeder Sicherheitsstrategie sein. Denn an deutschen Arbeitsplätzen herrscht regelrecht Cyberstress.

Die Ergebnisse einer aktuellen Kaspersky-Studie sind alarmierend: So befürchtet fast die Hälfte (47,4 Prozent) der Befragten, Opfer von Viren, Ransomware oder schädlichen Links in E-Mails zu werden. Nicht verwunderlich, da 38,7 Prozent es für durchaus wahrscheinlich halten, dass ihnen in den nächsten zwölf Monaten ein Cybersicherheitsvorfall widerfahren könnte.

Keine Panik, Mensch

Aber auch ganz andere Dinge bei der täglichen Arbeit wirken beunruhigend. Rund 36 Prozent der Mitarbeiter haben Angst, dass sie eine E-Mail an die falsche Person schicken könnten. Fast ein Drittel (27,6 Prozent) empfindet es als stressig, Fehltritte zu gestehen. Gerade im Hinblick auf das Cybersicherheitsverhaltenin Unternehmen ist dies problematisch. Denn 46 Prozent aller Cybersicherheitsvorfälle werden tatsächlich durch falsches und unvorsichtiges Verhalten der Mitarbeiter verursacht. Die Folgekosten für Großunternehmen belaufen sich dabei auf durchschnittlich 1,23 Millionen US-Dollar. Kleine und mittelständische Unternehmen verlieren im Durchschnitt rund 120.000 US-Dollar.

Cyberstress am Arbeitsplatz kann eine nicht unwesentliche gesundheitliche Belastung darstellen. Er begünstigt Fehlzeiten, Krankheit und sogar das Ausscheiden aus dem Unternehmen. Umso wichtiger sind Mitarbeiter-Schulungen, die den Umgang mit Computer, E-Mails und Internet sicherer machen und die Security Awareness im Unternehmen stärken. Wenn Mitarbeiter wissen, wo Gefahren lauern und wie sie im Fall einer (vermuteten) Cyberattacke reagieren sollten, tragen sie entscheidend zur IT-Sicherheit bei.

Kryptowährung-Phishing

Die Mitarbeiter-Trainings sollten modern, interaktiv und online sein – und beispielsweise klassische Angriffsszenarien wie Spear Phishing simulieren. Denn nach wie vor zählen Phishing-Angriffe zu den beliebtesten Methoden, um über Endgeräte ins Netzwerk einzudringen. Aktuell machen sich Cyberkriminelle beispielsweise den Bitcoin- und Blockchain-Hype zunutze. Sie versprechen ihren Opfern im Tausch gegen eine geringe Summe Kryptogeld eine spätere höhere Auszahlung derselben Währung. Die Experten von Kaspersky Lab nennen dieses neue Phänomen „Kryptowährung-Giveaway-Betrug“. Dabei setzen die Kriminellen auf gefälschte Social-Media-Konten prominenter und erfolgreicher Geschäftsleute wie Elon Musk oder Pavel Durov (Gründer des Messanger-Dienstes Telegram).

Kaspersky Lab schätzt, dass Cyberkriminelle 2017 mit solchen und ähnlichen Social-Engineering-Methoden mehr als 21.000 ETH (Ether, Digitalwährung der Kryptoplattform Ethereum) beziehungsweise zehn Millionen US-Dollar erbeuten konnten.

Gut informiert

Die Betrugsmodelle im Zusammenhang mit Kryptozahlungsmitteln heben Phishing-Angriffe auf eine ganz neue Stufe: Auch sie zielen auf den Mitarbeiter als schwächstes Glied in der Cybersicherheitskette ab, ermöglichen es Kriminellen aber, in extrem kurzer Zeit Beträge in Millionenhöhe zu erbeuten.

Wenn Mitarbeiter solche Angriffsmethoden kennen und in Schulungsprogrammen regelmäßig über neue Taktiken informiert werden, ist dies ein grundlegender Schritt in Richtung unternehmensweiter Cybersicherheit. Natürlich brauchen auch IT-Fachkräfte Sicherheitsfortbildungen. Je nach Verantwortungsbereich und Länge der Betriebszugehörigkeit des Mitarbeiters können die Trainings vom Grundlagenwissen bis hin zu Spezialgebieten wie digitale Forensik, Malware-Analyse oder Wiederherstellung nach Sicherheitsvorfällen reichen.

Als Ergänzung zu dem internen Security-Know-how können Unternehmen auch auf externe Services zurückgreifen. So bieten Sicherheitshersteller wie Kaspersky Lab beispielsweise neueste Untersuchungsergebnisse und Erkenntnisse zu APT-Attacken sowie branchenspezifische Reportings zur Bedrohungssituation von Banken, Zahlungsdienstleistern, Geldautomaten und POS-Systemen. Expertenteams für Cybersicherheit in ICS- (Industrial Control Systems) oder IoT-Umgebungen (Internet of Things) führen darüber hinaus auch beispielsweise Vulnerability Assessments für industrielle Steuerungssysteme oder detaillierte Bewertungen vernetzter Geräte samt ihrer Backend-Infrastruktur durch, um Schwachstellen auf Firmware-,  Netzwerk- und Programmebene aufzudecken.

Milos HrncarMilos Hrncar, General Manager DACH, Kaspersky Lab, www.kaspersky.de/enterprise-security

GRID LIST
KI Security

Wie viel KI benötigt IT-Security?

Künstliche Intelligenz (KI) oder maschinelles Lernen (ML) sind mittlerweile zu…
Trojaner

Schwachstelle Mensch: Trojaner Baldr nutzt Gamer-Natur aus

Malware allein ist schon gemein. Doch wenn Cyberkriminelle die Vorlieben von…
Deception Technologie

Cybertrap schickt Hacker in irreale IT-Parallelwelten

Deception Technologie-Spezialist will die Zukunft der Cybersecurity verändern und…
Spiegel Polymorph

Spionageakteur Cloud Atlas nutzt jetzt polymorphe Malware

Der APT-Akteur (Advanced Persistent Threat) ,Cloud Atlas‘, auch bekannt als ,Inception‘,…
Mann-Notebook-Netzwerk

Deepfakes heben Social-Engineering-Angriffe auf neue Gefahrenstufe

Social-Engineering-Angriffe stellen eine hohe Gefahr für die IT-Sicherheit dar, weil sie…
Geschenkkarten

Gift Card Fraud: Augen auf beim Geschenkkartenkauf!

Phishing-Angriffe, die auf Geschäfts-E-Mails abzielen, nehmen weiter zu. So sind zwei…