Anzeige

Cyber Security Concept

Die Cybersicherheit ist in Unternehmen wichtiger denn je. Der erste Schritt ist hierbei den Handlungsbedarf zu erkennen, denn schon mit einfachen Mitteln können sich Unternehmen vor einer Vielzahl von Attacken schützen, indem sie ihre Mitarbeiter für das Thema sensibilisieren.

Die Corona-Krise hat Homeoffice über Nacht zur Normalität werden lassen. Unzählige Arbeitnehmer waren und sind gezwungen, von einem Tag auf den anderen ihren gewohnten Arbeitsplatz im Büro gegen den eigenen Schreibtisch zuhause einzutauschen. Das Thema Cyber Security spielte dabei zugunsten der Business Continuity im ersten Moment zunächst eine untergeordnete Rolle – darf aber auch in dieser Zeit des New Normals nicht zu kurz kommen.

Die gegenwärtigen Entwicklungen könnten es nicht deutlicher zeigen: das Social Distancing treibt die Arbeitnehmer ins Homeoffice. Damit geht einher, dass nun auch vermehrt private Geräte in die berufliche Kommunikation eingebunden sind – der Perimeter und die Angriffsfläche der Unternehmens-IT haben sich vergrößert.

Weil Arbeitnehmer oft nicht das technische Know-how über Schutzmaßnahmen auf Unternehmensniveau haben, entstehen Lücken in den Schutzmauern des Unternehmens. Das wissen Angreifer: Phishing-Mails und Berichte über das Ausnutzen üblicher Schwachstellen des Heimbüros mehren sich. Im Fall der Fälle haben die Angreifer über ein kompromittiertes Privatgerät Zugriff auf das Unternehmensnetzwerk.

Obwohl viele Unternehmen sich bereits mit Cyber Security beschäftigen, fehlt es häufig an der strategischen Ausrichtung der Security-Awareness-Maßnahmen. Doch die unternehmenseigene Sicherheitskultur funktioniert nur, wenn Sicherheit als Grundgedanke im Unternehmen verankert wird. Der nachfolgende Artikel stellt wichtige Sicherheitsmaßnahmen vor und gibt Hinweise zur Einführung einer funktionierenden Sicherheitskultur im Unternehmen.

Schritt 1: Handlungsbedarf erkennen

Zu Beginn steht immer eine Bestandsaufnahme zur Positionsbestimmung an: Welche Richtlinien, Tools und Prozesse zur IT-Sicherheit sind vorhanden und wie aktuell sind diese? Welche Metriken (Key Compliance Indicators) eignen sich, um das Sicherheitsniveau zu messen? Welches IT-Sicherheits-Know-how lässt sich im Verhalten der Mitarbeiter bereits erkennen?

Um die Bestandsaufnahme zu komplettieren und später den Erfolg der zu ergreifenden Maßnahmen messbar zu machen, können eine Reihe von Messpunkten herangezogen werden. Bei internen Phishing-Simulationen werden Angriffe inszeniert, die sich von einem echten Phishing-Angriff kaum unterscheiden lassen. Dabei versuchen die Angreifer, durch Phishing-Mails an die Login-Daten der Betroffen zu gelangen. 

Der USB-Drop bezeichnet das Platzieren eines programmierten USB-Gerätes. Ziel ist es, dass dieses USB-Gerät seinen Weg an den Computer eines Mitarbeiters findet. Das Eindringen in Firmennetze durch Kriminelle mittels USB-Gerät ist immer noch sehr erfolgreich, da die Neugierde der Betroffenen oft zu groß ist. Gegenüber diesen Methoden ist der Floor-Walk meist einfach und schnell als Messmedium umzusetzen. Hierbei wird bspw. ein Clean-Desk-Audit oder Locked-Screen-Check vorgenommen und Ergebnisse können entsprechend schnell generiert werden. 

Ein umfassenderes Bild geben auch andere Kontroll-Maßnahmen wie Penetrationstests oder der Abgleich von Listen gehackter Passwörter mit den von den Mitarbeitern verwendeten Windows-Passwörtern. 

Schritt 2: IT-Sicherheits-Strategie definieren

Nach der Bestandsaufnahme muss eine IT-Sicherheits-Strategie erarbeitet und ein passendes Awareness-Programm konzipiert werden. Hier gilt es, drei Strategiestufen zu beachten:

Strategiestufe 1: Sicherheit auf dem Papier

Grundlage für alle weiteren Schritte ist die transparente Vorgabe und Kommunikation darüber, welches Verhalten erlaubt bzw. verboten und welches Verhalten erwünscht bzw. unerwünscht ist. Dazu sind abgestimmte, moderne IT-Sicherheits- und Datenschutzrichtlinien notwendig. Hilfreich sind zudem der Einsatz von E-Learning-Tools und interne Kommunikationskampagnen, um Wissen zu vermitteln und die nötige Awareness zu schaffen.

Strategiestufe 2: Sicherheit im Verhalten

Sicherheit muss so in Tools, Prozesse und in der Organisation implementiert werden, dass sicheres Verhalten nicht nur erwünscht, sondern auch tatsächlich umsetzbar ist. Sicheres Verhalten muss ein einfacher und bequemer Ablauf werden. Zielgruppenspezifische Trainings (z. B. gegen den CEO-Fraud) unterstützen die gewünschte Verhaltensänderung. Und nicht zuletzt müssen diese Änderungen auch sichtbar und die Wirksamkeit der implementierten Maßnahmen überprüft werden. Dazu müssen Kontrollen durchgeführt bzw. die Compliance Indikatoren gemessen werden, z. B. mit den bei der Bestandsaufnahme beschriebenen Metriken.

Strategiestufe 3: Sicherheit als kultureller Wert

Als dritte Stufe sollte Sicherheit als kultureller Wert im Unternehmen platziert werden. In dieser Phase muss sich das Unternehmen positionieren und organisieren. Ziel ist es, pro-aktives, intrinsisches, gemeinschaftliches Verhalten zu fördern. Es ist entscheidend, welche Fehlerkultur das Unternehmen lebt und wie Insider Threats, also Bedrohungen durch bösartige oder frustrierte Mitarbeiter, verhindert werden können. Multiplikatoren müssen sichtbar, erreichbar und vertrauenswürdig sein. Und all das muss mit Freude an der Arbeit passieren – für die Millenials am besten auf spielerische Art und Weise (Gamification).

Benjamin Bachmann, Director Cyber Security
Benjamin Bachmann
Director Cyber Security, EXXETA AG

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

phishing businessman
Mai 13, 2020

Security-Grundlagen gegen Phishing-Angriffe

Cyberkriminelle sind oft nur einen Phishing-Angriff davon entfernt, ungehinderten Zugriff…
Cyber Crime Mensch
Jan 28, 2020

Social Engineering - Die Kunst der Täuschung

Beim Social Engineering nutzen Cyber-Angreifer den „Faktor Mensch“ als vermeintlich…
Menschen als Marionetten
Okt 22, 2019

Security Awareness: Definition und Bedeutung (Teil 1/4)

Datenpannen, Sicherheitslücken, Wirtschaftsspionage und - Sabotage durch Hacker: Laut…

Weitere Artikel

cyber Security

Remote-Access erfordert die Verwaltung und Sicherung privilegierter Zugriffe

Unternehmen müssen in immer stärkerem Umfang Remote-Mitarbeiter und -Dienstleister in der IT-Sicherheit berücksichtigen. Folglich ist es wichtig, dass sie die verschiedenen Arten von Benutzern kennen, die sich von außerhalb in ihre Systeme einloggen.
Cybersecurity Home

Corona-Lockdown sorgt für wachsendes Bewusstsein für Cybersicherheit

Trend Micro veröffentlicht heute neue Umfrageergebnisse, die zeigen, wie Mitarbeiter im Homeoffice mit der Cybersicherheit umgehen. Nahezu drei Viertel der Remote-Mitarbeiter (72 Prozent weltweit, 69 Prozent in Deutschland) geben an, dass sie sich seit Beginn…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!