Security Awareness für jeden Tag
9. Juni 2021 -
Normalität ist in Zeiten einer weltweiten Pandemie ein rares Gut. Auch im Bereich der Cybersicherheit waren die letzten 15 Monate von allerhand Turbulenzen geprägt. Opportunistische Cyberkriminelle wussten die allgemeine Verunsicherung, was das Thema COVID anbelangt, geschickt für sich zu nutzen. Und auch der mancherorts überstürzte Wechsel ins Homeoffice offenbarte so manche, sicherheitsrelevante Schwachstelle.
Tatsächlich verzeichneten Unternehmen im Jahr 2020 weltweit eine Zunahme von Ransomware- und Phishing-Angriffen. Im weltweiten Durchschnitt waren im vergangenen Jahr etwa zwei Drittel aller Unternehmen mit einem erfolgreichen Angriff oder einer Datenschutzverletzung konfrontiert.
Die Schuld daran ausschliesslich der Pandemie zuzuschieben wäre zu kurz gegriffen, aber es lässt sich nicht leugnen, dass sie sicherlich ihren Teil dazu beigetragen hat. Cyberkriminelle haben keine Zeit verschwendet, diese Gelegenheit auszunutzen und warfen tausende COVID-bezogene, digitale Köder aus, um User, die zu der Zeit anfälliger waren als gewöhnlich, in die Falle zu locken.
Der einmal pro Jahr von Proofpoint veröffentlichte State of the Phish-Bericht analysiert, welche Angriffe im abgelaufenen Jahr das Bedrohungsgeschehen dominierten. Hierzu werden simulierte Phishing-Attacken ausgewertet und die Ergebnisse mit einer Umfrage unter IT-Security-Entscheidern ergänzt.
Im Zusammenhang mit dem Homeoffice-Boom ergab die Untersuchung, dass 82 Prozent aller Unternehmen ihre Mitarbeiter gebeten haben, von zu Hause aus zu arbeiten. Der Anteil in den deutschsprachigen Regionen war mit 68 Prozent zwar nicht ganz so gross, aber auch hier wurden zwei von drei Mitarbeitern gebeten respektive aufgefordert, nicht mehr ins Büro zu kommen, sondern ihre Arbeit von zu Hause aus zu verrichten.
Spezielle Schulungen oder Hinweise für ein sicheres Arbeiten im Homeoffice hingegen waren deutlich rar gesät. Nur 30 Prozent der Befragten weltweit gaben an, ihr Unternehmen habe entsprechende Trainings angeboten. Für Deutschland lag der Prozentsatz bei erschreckenden 14 Prozent.
Immerhin gaben 98 Prozent der befragten Unternehmen an, mittlerweile ein Schulungsprogramm implementiert zu haben, dass die Sensibilisierung für (IT-)Sicherheit fördern soll. Aber obwohl es verlockend ist, dies ausnahmslos als gute Nachricht zu werten, muss dies kritisch hinterfragt werden.
Immerhin gaben 98 Prozent der befragten Unternehmen an, mittlerweile ein Schulungsprogramm implementiert zu haben, dass die Sensibilisierung für (IT-)Sicherheit fördern soll. Aber obwohl es verlockend ist, dies ausnahmslos als gute Nachricht zu werten, muss dies kritisch hinterfragt werden.
Denn, um effektiv zu sein, müssen Cybersecurity-Schulungen regelmässig stattfinden und ständig an aktuelle Bedrohungen angepasst werden. Security Awareness muss ein zentraler Bestandteil der Sicherheitsstrategie eines Unternehmens sein, und zwar nicht nur ein- oder zweimal im Jahr, sondern regelmässig und kontinuierlich.
Wie uns die COVID-bezogenen Phishing-Köder gezeigt haben, reicht es nicht aus, den Nutzern lediglich zu vermitteln, dass eine Bedrohung existiert. Die besten Ergebnisse werden dann erzielt, wenn User neue Köder im Kontext realer Angriffsmethoden kennenlernen und erkennen lernen. Dies schärft das Bewusstsein. Und erst, wenn das Bewusstsein vorhanden ist, kann auf eine Verhaltensänderung – die letztlich das Ziel sein muss – hingearbeitet werden. Wenn ein Mitarbeiter beispielsweise eine Benachrichtigung erhält, die ihm bestätigt, dass die von ihm gemeldete potenzielle Phishing-E-Mail tatsächlich bösartig war, trägt dies zudem dazu bei, eine auf Sicherheit ausgerichtete Unternehmenskultur zu fördern und zu motivieren.
Leider ist diese Art der Schulung selten. Nur 64 Prozent der Unternehmen führen formelle Awareness Schulungen durch, entweder virtuell oder persönlich. Bei fast zwei Dritteln finden Schulungen jeglicher Art nicht öfter als einmal pro Quartal statt. Und 36 Prozent schulen nur Anwender bestimmter Funktionen oder Abteilungen. Zahlen wie diese sollten die Alarmglocken läuten lassen. Wir alle wissen, dass Cyberkriminelle ihre Angriffe zunehmend gegen einzelne Nutzer richten. Diese Mitarbeitenden nicht mit dem Wissen auszustatten, solche Angriffe zu erkennen und abzuwehren, ist im besten Fall riskant und im schlimmsten Fall fatal.
Der User selbst ist oftmals das Einzige, was zwischen Erfolg und Misserfolg eines Angriffs steht – die bekannte Layer 8 Herausforderung. Diesem Fakt kann die IT Security Rechnung tragen, indem sie die Mitarbeitenden in das Zentrum der Cybersecurity-Anstrengungen stellt – sei es aus technologischer Sicht oder im Rahmen von Schulungen.
Wenn umfassende, auf die Mitarbeitenden ausgerichtete Trainings regelmässig durchgeführt werden, kann eine neue Sicherheitskultur im Unternehmen entstehen; eine Kultur, in der Mitarbeiter verstehen, wie einfache Verhaltensweisen ihr Unternehmen in Gefahr bringen können; in der alle Anwender wissen, wie sie Cyberangriffe erkennen und melden können; und in der Best Practices zum Standard werden, jeden Tag.
()
Die Schuld daran ausschliesslich der Pandemie zuzuschieben wäre zu kurz gegriffen, aber es lässt sich nicht leugnen, dass sie sicherlich ihren Teil dazu beigetragen hat. Cyberkriminelle haben keine Zeit verschwendet, diese Gelegenheit auszunutzen und warfen tausende COVID-bezogene, digitale Köder aus, um User, die zu der Zeit anfälliger waren als gewöhnlich, in die Falle zu locken.
Der einmal pro Jahr von Proofpoint veröffentlichte State of the Phish-Bericht analysiert, welche Angriffe im abgelaufenen Jahr das Bedrohungsgeschehen dominierten. Hierzu werden simulierte Phishing-Attacken ausgewertet und die Ergebnisse mit einer Umfrage unter IT-Security-Entscheidern ergänzt.
Im Zusammenhang mit dem Homeoffice-Boom ergab die Untersuchung, dass 82 Prozent aller Unternehmen ihre Mitarbeiter gebeten haben, von zu Hause aus zu arbeiten. Der Anteil in den deutschsprachigen Regionen war mit 68 Prozent zwar nicht ganz so gross, aber auch hier wurden zwei von drei Mitarbeitern gebeten respektive aufgefordert, nicht mehr ins Büro zu kommen, sondern ihre Arbeit von zu Hause aus zu verrichten.
Spezielle Schulungen oder Hinweise für ein sicheres Arbeiten im Homeoffice hingegen waren deutlich rar gesät. Nur 30 Prozent der Befragten weltweit gaben an, ihr Unternehmen habe entsprechende Trainings angeboten. Für Deutschland lag der Prozentsatz bei erschreckenden 14 Prozent.
Immerhin gaben 98 Prozent der befragten Unternehmen an, mittlerweile ein Schulungsprogramm implementiert zu haben, dass die Sensibilisierung für (IT-)Sicherheit fördern soll. Aber obwohl es verlockend ist, dies ausnahmslos als gute Nachricht zu werten, muss dies kritisch hinterfragt werden.
Immerhin gaben 98 Prozent der befragten Unternehmen an, mittlerweile ein Schulungsprogramm implementiert zu haben, dass die Sensibilisierung für (IT-)Sicherheit fördern soll. Aber obwohl es verlockend ist, dies ausnahmslos als gute Nachricht zu werten, muss dies kritisch hinterfragt werden.
Denn, um effektiv zu sein, müssen Cybersecurity-Schulungen regelmässig stattfinden und ständig an aktuelle Bedrohungen angepasst werden. Security Awareness muss ein zentraler Bestandteil der Sicherheitsstrategie eines Unternehmens sein, und zwar nicht nur ein- oder zweimal im Jahr, sondern regelmässig und kontinuierlich.
Wie uns die COVID-bezogenen Phishing-Köder gezeigt haben, reicht es nicht aus, den Nutzern lediglich zu vermitteln, dass eine Bedrohung existiert. Die besten Ergebnisse werden dann erzielt, wenn User neue Köder im Kontext realer Angriffsmethoden kennenlernen und erkennen lernen. Dies schärft das Bewusstsein. Und erst, wenn das Bewusstsein vorhanden ist, kann auf eine Verhaltensänderung – die letztlich das Ziel sein muss – hingearbeitet werden. Wenn ein Mitarbeiter beispielsweise eine Benachrichtigung erhält, die ihm bestätigt, dass die von ihm gemeldete potenzielle Phishing-E-Mail tatsächlich bösartig war, trägt dies zudem dazu bei, eine auf Sicherheit ausgerichtete Unternehmenskultur zu fördern und zu motivieren.
Leider ist diese Art der Schulung selten. Nur 64 Prozent der Unternehmen führen formelle Awareness Schulungen durch, entweder virtuell oder persönlich. Bei fast zwei Dritteln finden Schulungen jeglicher Art nicht öfter als einmal pro Quartal statt. Und 36 Prozent schulen nur Anwender bestimmter Funktionen oder Abteilungen. Zahlen wie diese sollten die Alarmglocken läuten lassen. Wir alle wissen, dass Cyberkriminelle ihre Angriffe zunehmend gegen einzelne Nutzer richten. Diese Mitarbeitenden nicht mit dem Wissen auszustatten, solche Angriffe zu erkennen und abzuwehren, ist im besten Fall riskant und im schlimmsten Fall fatal.
Der User selbst ist oftmals das Einzige, was zwischen Erfolg und Misserfolg eines Angriffs steht – die bekannte Layer 8 Herausforderung. Diesem Fakt kann die IT Security Rechnung tragen, indem sie die Mitarbeitenden in das Zentrum der Cybersecurity-Anstrengungen stellt – sei es aus technologischer Sicht oder im Rahmen von Schulungen.
Wenn umfassende, auf die Mitarbeitenden ausgerichtete Trainings regelmässig durchgeführt werden, kann eine neue Sicherheitskultur im Unternehmen entstehen; eine Kultur, in der Mitarbeiter verstehen, wie einfache Verhaltensweisen ihr Unternehmen in Gefahr bringen können; in der alle Anwender wissen, wie sie Cyberangriffe erkennen und melden können; und in der Best Practices zum Standard werden, jeden Tag.
()
Copyright by Swiss IT Media 2024