:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/ed/9fed7160871e01f51ccab928dbaeab92/0118467232.jpeg "Cyberkriminelle können durch eine Schwachstelle komplette Konten bei GitLab übernehmen. Zwei-Faktor-Authentifizierung schützt nicht vor dem Angriff aber vor der Kontenübernahme. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/a1/2ba1aa634bb635185b992c84d6fafe4a/0118481703.jpeg "Eine Analyse aktueller Telemetriedaten von Kaspersky zeigt, dass Unternehmen im Schnitt zwei Cybervorfälle pro Tag verzeichnen müssen. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351d4b937d1f9dc0224fa277a3a74de/0118466557.jpeg "Bei Sniffing- und Man-in-the-Middle-Angriffen weiß der Betroffene eigentlich nie, dass ein Verbrecher da ist, bis er Maßnahmen ergreift. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/34/5d34836fbfae674ca8e6f10841213b03/0118372926.jpeg ""Wie viel Kontrolle benötigt KI?", ein Interview von Oliver Schonschek, Insider Research, mit Oliver Keizers von Semperis. (Bild: Vogel IT-Medien / Semperis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/71/1f/711feeca53f58761a7d711bf317aec47/0118276223.jpeg "Cullen Childress von SolarWinds warnt davor, KI zu vorschnell einzusetzen – mahnt in Sachen KI aber auch Technologie- und Fortschrittsoffenheit an. (Bild: SolarWinds)")
:quality(80)/p7i.vogel.de/wcms/c3/02/c302cd9efb930246cc8bde485a6f83ec/0118446808.jpeg "Erfolgreiche SIEM-Projekte setzen auf umfassende Tests, spezialisierte Teams und detaillierte Planung, um die umfangreichen Datenmengen effektiv zu analysieren und zu überwachen. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/69/4f6904a6142ebe0d7976702b7c15b358/0118451654.jpeg "Das Sicherheitsupdate KB5034441 verursacht teilweise den Fehler 0x80070643, Microsoft wird dafür aber keinen Patch liefern. (Bild: EricPictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0f/3a0f48a72d0ec33c3e9979f639caff9d/0118466573.jpeg "Mark Barcham, Head of Services Sales & Go-to-Market EMEA bei Arrow. (Bild: Arrow Electronics/Canva)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6fa12509d231ae90bf82565b5380eb/0118478841.jpeg "Verletzungen der Datensicherheit stellen laut „Check Point Cloud Security Report 2024“ die häufigsten Cloud-Sicherheitsvorfälle dar. (Bild: Mustafa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/0a/200a0580874f1b3875df1b9bc65e8a39/0118421857.jpeg "Netbird verbindet die Sicherheit und Geschwindigkeit von WireGuard mit einer zentralen Zugriffssteuerung. Das Tool ist außerdem beim Einsatz mit bis zu 5 Personen und 100 Geräten kostenlos. (Bild: Vladimir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/0d/cf0dcef3b9de9eb898ff2e52367e3047/0118249659.jpeg "Microsoft stellt Hotfixes für Exchange 2016 und 2019 zur Verfügung. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3b/893b2aad437cb2ff84a9d879a9c48b6a/0118298118.jpeg "In diesem Tool-Tipp zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework zum Pentesting im eigenen Netzwerk einfach klappt. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/91/5491e2c59cbe3754d963cbdac6f6be13/0118349502.jpeg "Aktuell gibt es umfassende Phishing-Angriffe auf LastPass-Nutzer. (Bild: Eightshot Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/72/0372ece5adc46f626b82eb5affb44e1b/0118441205.jpeg "Automatisierung in der IT-Sicherheit ist für Unternehmen ein entscheidender Faktor, um aktuelle Herausforderungen zu bewältigen und um sich proaktiv auf die Zukunft vorzubereiten. (Bild: Tierney - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/1f/941f77db5c1061ab5dafafb8d25a12b8/0118037871.jpeg "Cyberangriffe werden zunehmend als Bedrohung für die deutsche Wirtschaft wahrgenommen. In diesem Kontext bedeutet Glasfaserinternet für einen Großteil der Befragten Zuverlässigkeit und Stabilität. (Bild: 1&1 Versatel)")
:quality(80)/p7i.vogel.de/wcms/4b/c8/4bc87650edb2e4b320682b42c3000b8b/0118377216.jpeg "Der anhaltende Trend zum Hybrid Work bietet Cyberkriminellen neue Angriffsmöglichkeiten. (Bild: DuxX / Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a5/e3/a5e3b7833dd63fab7b7e0321969e45e0/0116955924.jpeg "FraudGPT ist ein auf Cyberkriminalität und Betrug spezialisierter, unmoderierter Chatbot auf Basis eines für kriminelle Zwecke trainierten LLM. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Von Sensibilisierungsmaßnahmen zur Sicherheitskultur Security Awareness mit Herz und Verstand
Gesponsert von
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134900/134929/65.png "KB4_logo_600x600.png ()")
Phishing, Phishing und nochmals Phishing: Kein Security Report, keine Ransomware-Meldung kommt ohne die Erwähnung der Social Engineering-Technik aus. Das Ziel ist immer der Mensch. Die eigentliche Schwachstelle steckt jedoch in der Technik, denn noch immer kommen zu viele Phishing-E-Mails durch, schaffen es zu viele anonyme Anrufe und bösartige Links durch die Sicherheitsschleusen.
Der Wettlauf zwischen Angriff und Verteidigung, zwischen Kreativität und Konformität hat in seiner Intensität nichts verloren. Am Ende ist es immer wieder nur ein Klick zu viel, egal ob in einer Stresssituation oder ob aus Neugierde in der Mittagspause. Das Problem dabei ist, dass dieser eine Klick am Anfang eines Sicherheitsvorfalls liegt, der mehrere Millionen Euro an Schaden verursachen kann.
Die Awareness als Grundlage für sicheres Verhalten verstehen
Schutz gegen Phishing kann und wird nicht durch Technologie allein erreicht werden. Zusätzlich müssen die Mitarbeitenden für die Gefahren, die von Social Engineering ausgehen, sensibilisiert werden. Hierfür müssen alle Abteilungen IT, Personal, Marketing, Compliance und die Rechtsabteilung zusammenarbeiten. Denn die zu erfüllende Aufgabe ist eine nachhaltige Steigerung der Cybersicherheit und Resilienz einer Organisation durch die Ermächtigung aller beteiligten Personen.
Die Befähigung ist der Weg dorthin. Es gilt das Herz und den Verstand der Mitarbeitenden von der Notwendigkeit der Maßnahme zu überzeugen. Wie Social Engineering erkannt und vereitelt werden kann, wird sodann durch Gamification-Ansätze und Informationskampagnen vermittelt. Zudem bieten Unternehmen ihren Mitarbeitenden die Möglichkeit das erlernte Verhalten in regelmäßige Phishing Simulationen zu vertiefen. Cybersicherheit soll als wesentlicher Bestandteil der Unternehmenskultur etabliert werden. Am Ende des Prozesses entsteht dann eine Sicherheitskultur.
Die wichtigsten Eckpunkte für ein erfolgreiches Security Awareness-Trainings (SAT) umfassen die folgenden sechs Punkte:
- Inhalte – Die Inhalte unterscheiden sich sowohl in der Darstellung und Art des Mediums als auch in den Themen. Darüber hinaus gibt es kulturelle Unterschiede in der Wissensvermittlung und -aneignung, die es zu beachten gilt. Die verschiedenen Inhalte sollten allerdings auch immer an die verschiedenen Rollen und Funktionen im Unternehmen angepasst werden.
- Unterstützung und Planung - Security Awareness-Trainern benötigen unterstützende Materialien, um den Mehrwert eines SAT-Programms gegenüber der Geschäftsführung zu beweisen und auch den Auditoren und Regulierungsbehörden zu zeigen, dass es an den richtigen Stellen ansetzt.
- Kampagnen – Ein erfolgreiches Programm sollte nicht einmalig sein, sondern als Kampagne betrachtet werden. Diese müssen zielgruppenspezifisch gestaltet und relevant für den jeweiligen Aufgabenbereich sein, sodass ein Engagement entsteht. Ziel muss es sein, dass die Mitarbeitenden sich den Zielen und dem „Warum“ des Programms persönlich verbunden fühlen. Es gilt, das Herz und den Verstand der Einzelnen für die gemeinsame Sache zu gewinnen.
- Regelmäßiges Training – In der Wiederholung und Abwechslung der Trainingsinhalte liegt der Erfolg. In weiterer Abfolge kann das Erlernte dann individuell vertieft werden. Nachhaltige Veränderungen des Verhaltens können nur durch einen gezielten Aufbau von Kompetenzen erreicht werden. Um alte Gewohnheiten zu durchbrechen, müssen Mitarbeiter als allererstes verstehen, warum ein Verhalten gefährlich ist. Sie entwickeln dann eine bewusste Kompetenz, die später zu einem routinemäßigen Verhalten ausgebaut werden kann.
- Metriken und Berichte – Security Awareness-Trainer müssen die Effektivität der Trainings nachweisen können. Anhand von Berichten können sie erfolgreich von weniger erfolgreichen Maßnahmen erkennen.
- Umfragen und Bewertungen – Dieses Feedback-Mittel funktioniert ebenfalls gut, um noch einmal von den Trainierten einen Überblick darüber zu bekommen, was bei weiteren Inhalten und Aktivitäten verbessert werden kann.
Die Sicherheitskultur aktiv zu gestalten ist eine notwendige Entscheidung
Die gelebten Werte, Normen und Gepflogenheiten ihrer Organisation sind starke Motivatoren für sicheres Verhalten. Eine Sicherheitskultur haben Organisationen aber auch ganz ohne gezieltes Training. Gepflogenheiten im Umgang mit Technologie haben sich über Jahre herausgebildet und zu ungeschriebenen Normen entwickelt. Nehmen Sie sich der Sicherheitskultur Ihrer Organisation nicht an, haben Sie keine Übersicht und keine Kontrolle darüber, ob die Verhaltensweisen der Cybersicherheit schaden oder zuträglich sind. Mit den richtigen Maßnahmen lässt sich das ändern. Eine nachhaltig gestaltete Sicherheitskultur ist der beste Schutz für Ihr Unternehmen.
Security-Awareness-Maßnahmen zahlen sich unmittelbar aus
Laut dem Benchmarking Report 2023 von KnowBe4 klickt wahrscheinlich ein Drittel der Mitarbeiter in den untersuchten Organisationen auf eine Phishing-E-Mail. 90 Tage nach der Durchführung erster Maßnahmen sinkt dieser Wert auf 20 und im Laufe eines Jahres auf gar sechs Prozent. Bemessen wird dies mit dem Phish-ProneTM Percentage (PPP), er gibt die Wahrscheinlichkeit an, mit der ein Nutzer einen infizierten Link in einer Phishing-E-Mail anklickt. Die Ergebnisse für die DACH-Region zeigen, dass 90 Tage nach der Durchführung von monatlichen oder häufigeren Security Awareness-Schulungen der durchschnittliche PPP-Wert auf 20 Prozent sank. Nach zwölf Monaten Training und simulierten Phishing-Sicherheitstests sank der durchschnittliche PPP-Wert sogar auf sechs Prozent.
Der Mehrwert von Mitarbeiterschulungen zeigt sich auch bei der Handhabung von Ransomware. Schnelle und angemessene Reaktion können den Schaden eindämmen und den finanziellen Schaden begrenzen. Der Mehrwert von Security Awareness-Training steht außer Frage.
Fazit
Awareness, Behavior und Culture sind drei Begriffe, die – richtig vermittelt und etabliert – den Unterschied zwischen einem fatalen Klick und einer richtig an die IT-Abteilung weitergeleiteten E-Mail machen. Für eine Organisation bedeutet dies nicht weniger als die Vermeidung von Reputationsschäden, Kosten im Falle einer Sicherheits- und Datenschutzverletzung sowie Stress und Ungewissheit für die Mitarbeiter.
(ID:49657293)
:quality(80)/p7i.vogel.de/wcms/97/4c/974c1b23733a576656d37bfb95ef312b/0113342147.jpeg "IBM zeigt in einem Report: Die Kosten für Sicherheitsvorfälle steigen. Ein Weckruf für Unternehmen weltweit, eine proaktive Haltung zur Cybersicherheit einzunehmen und in fortschrittliche Bedrohungserkennungssysteme sowie Security-Awareness-Schulungen zu investieren. (Bild: Bo Dean - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/4f/6e4f37dfe801799fea63a237edf76d11/0116908042.jpeg "Welche Sicherheitsherausforderungen und -probleme sind derzeit bei den verschiedenen Arbeitsumgebungen vorzufinden? Und welche Rolle spielen dabei E-Mails - sowie neuerdings Collaboration-Tools? (Bild: Canva)")