17. Data Protection Day

Cybersicherheit muss zur Arbeitsroutine werden

IT-Systemhäuser und MSSPs

Trotz des Jubiläums von 17 Jahren Data Protection Day und 42 Jahren Datenschutzkonvention stehen personenbezogene Informationen bei Cyberkriminellen unverändert hoch im Kurs. Und ebenso unverändert einfach haben sie es an diese Daten zu kommen.

Kein Tag, an dem nicht irgendwo auf der Welt ein Unternehmen gehackt wird, an dem nicht irgendwo Daten von Privatpersonen geleakt werden. Mit den vermehrten Cyberattacken auf Krankenhäuser stehen unzählige Patientendaten ungeschützt im Netz. Cybersecurity Unternehmen Upguard hat einige der größten dieser Datenschutzverletzungen in seinem Blog aufgelistet. Zusammengezählt wurden allein in den USA bei Informationsdiebstählen auf Krankenhäuser seit 2011 mehr als 38 Millionen Daten entwendet. Hierzulande machten ähnliche Vorfälle bei Hospitälern wie zuletzt in Lippe ähnliche Schlagzeilen. Trotz – richtigerweise – immer höherer Anforderungen an den Datenschutz und die Datensicherheit gelingt es der Security Community nicht sensible Informationen zu schützen.

Anzeige

Das Problem liegt weniger in der mangelnden Umsetzung der Vorschriften, als mehr in dem Mangel an Security Awareness von Mitarbeitern, dem IT-Sicherheitsfachleute gegenüberstehen, die immer mehr IT-Systeme und Anwendungen verwalten und absichern müssen. In unserem SANS 2022 Security Awareness Report stellt Autor Lance Spitzner fest, dass für Cyberangreifer auf der ganzen Welt der Mensch zum wichtigsten Angriffsvektor geworden ist. Nicht mehr die Technologie, sondern der Mensch stellt dem Bericht zufolge das größte Risiko für Unternehmen dar. Programme zur Förderung des Sicherheitsbewusstseins und die Fachleute, die sie verwalten, sind für ihn dann auch der Schlüssel zum Umgang mit diesem menschlichen Risiko. Security Awareness-Programme versetzen Sicherheitsteams in die Lage, ihr menschliches Risiko effektiv zu managen, indem sie die Denkweise der Mitarbeiter über Cybersicherheit verändern und ihnen helfen, ein sicheres Verhalten an den Tag zu legen, und zwar vom Vorstand bis hinunter zum Sachbearbeiter.

Beim Training der Mitarbeiter helfen den Security-Verantwortlichen die drei folgenden Tipps:

  1. Phishing-Resistenz: Phishing ist eine Form des Social Engineerings, bei der E-Mails, Social-Media-Posts oder ein Direktnachrichtendienst verwendet werden, um Benutzer dazu zu verleiten, auf bösartige Links zu klicken, die letztlich dazu führen, dass sie versehentlich persönliche Daten preisgeben oder einen infizierten Anhang herunterladen. Die zunehmende digitale Vernetzung führte zu einer steigenden Anfälligkeit für diese Art von Hackertechnik. Security Awareness-Trainer sollten in Schulungen vermitteln, woran sich Phishing erkennen lässt. Gerade in Zeiten, in denen künstliche Intelligenz und Chatprogramme den Cyberkriminellen unter die Arme greifen, ist diese Maßnahme vielleicht die wichtigste von allen.
  1. Passwort-Hygiene: Im Durchschnitt wurden bei zwei von fünf Personen die digitalen Identitäten gestohlen, Passwörter missbraucht oder vertrauliche Informationen preisgegeben, weil sie doppelte oder schwache Passwörter verwendet haben. Eine Schulungsmaßnahme zur Passwort-Hygiene ist daher mehr als angebracht und sollte fester Bestandteil jeder Security Awareness-Weiterbildung sein. Hier wird den Teilnehmern gezeigt, wie man sichere Passwörter erstellt und diese eben nicht einfach nur je Service minimal abändert.
  1. Gerätesperren: Digitale Geräte wie Smartphones und Tablets sind zu einem wichtigen Bestandteil des alltäglichen Lebens geworden, was bedeutet, dass es mehr Angriffspunkte für böswillige Akteure gibt als in den vergangenen Jahren. Wenn Nutzer ihre Geräte sperren und die Software auf dem neuesten Stand halten, wird es für Angreifer schwieriger, diese Geräte zu kompromittieren.

Anne Lysun, Business Development Manager beim SANS Institute, www.sans.org

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.