Image
telent_security_operation.jpeg
Foto: Telent
Nimmt eine Cybersecurity-Strategie die Anwender nicht mit, muss sie scheitern. Ein wirksamer Ansatz muss immer ganzheitlich sein.

IT-Sicherheit

Ganzheitliche Cybersecurity beseitigt Anwender-Probleme

5 hausgemachte Anwender-Probleme, die jedes Cybersecurity-Konzept aushebeln – und wie man sie ganzheitlich löst.

Ein erfolgversprechender Cybersecurity-Ansatz bedenkt Anwender-Probleme, ist ganzheitlich und beruht auf den drei Säulen Mensch, Technologie sowie Organisation und Prozesse. Trotzdem wird die zentrale Säule Mensch oft sträflich vernachlässigt – mit fatalen Folgen. Denn nimmt eine Cybersecurity-Strategie die Mitarbeiter nicht mit, muss sie scheitern. Um IT-Infrastruktur gegen die Gefahren aus dem Internet zu schützen, wird kräftig investiert: in hochmoderne Technik, die Erarbeitung und Umsetzung zeitgemäßer Prozesse und – falls notwendig – wird sogar die gesamte Security-Organisation umgekrempelt.

Problem 1: An der falschen Stelle gespart

Ausgerechnet beim zentralen Faktor Mensch schlägt der „Sparhans“ zu. Plötzlich ist kein Budget mehr vorhanden an einer Stelle, an der die Investitionen geradezu lächerlich gering sind, aber unmittelbar das Cybersecurity-Level verbessern. Das rächt sich im Fall der Fälle. Mehr als 50 Prozent der im Rahmen der IDG Studie Cybersecurity 2020 befragten Unternehmen ist bereits ein finanzieller Schaden durch Cyberattacken entstanden. Provokativ gesagt: Ein einziger Tag Produktionsausfall ist um ein zigfaches teurer, als ein paar Euro für Awareness-Maßnahmen.

Problem 2: Cyberkriminelle nehmen die Mitarbeiter gezielt ins Visier

Da die Security-Technik immer besser Gefahren von außen erkennt und abwehrt, wird zunehmend der Mensch wichtiger. Dafür ziehen Cyberkriminelle alle Register des Social Engineering und nutzen Verhaltensmuster aus, indem sie an die Hilfsbereitschaft appellieren, (Zeit-)Druck aufbauen oder Ängste schüren.

Angriffe, wie Massenspams, sind einfach zu erkennen, wenn man weiß, worauf man achten soll. Immer öfter sind Angriffe sehr viel ausgeklügelter. Zur Vorbereitung sammeln Cyberkriminelle Daten per Telefon, sozialen Medien und Web. Diese werden verknüpft und ausgewertet, um darauf einen oft mehrstufigen Angriffsplan aufzubauen. Geht es im ersten Schritt darum, Zugriff auf das Mailpostfach eines Mitarbeiters der Firma A zu bekommen, kann darüber als vermeintlich bekannte Person im nächsten Schritt ein Mitarbeiter bei Firma B ins Visier genommen werden. Ein Evergreen ist das Versenden einer Bewerbung, die meist über die Makrofunktionalität unerwünschte Schadsoftware mit sich bringt. Bittet der vermeintliche Bewerber dann telefonisch, nachzuschauen, ob der aktuelle Lebenslauf dabei sei, ist der Schaden schnell geschehen. Fakt ist, Cyberkriminelle werden immer professioneller. Da ist es fahrlässig, Mitarbeiter auf Amateurniveau zu belassen.

Wie Sie Ihre IoT-Systeme in der Produktion sichern

IoT-Systeme in der industriellen Produktion geraten zunehmend ins Visier krimineller Hacker. Wie kann man die Fertigung und sein Unternehmen schützen?
Artikel lesen

Problem 3: Primat der Technologie

Cybersecurity beruht auf drei Säulen. Doch tatsächlich wird meist nur die technische bedacht, indem Technologien implementiert, passende Prozesse erarbeitet und dann der Belegschaft übergestülpt werden. Die Folge: Widerstand. Viele Mitarbeiter werden alles versuchen, jahrelang praktizierte Vorgehensweisen weiterhin beizubehalten. Das Problem entsteht vor allem, wenn sich niemand bei der Konzepterarbeitung Gedanken über veränderte Arbeitsabläufe macht und deren Notwendigkeit erklärt.

Mangelhafte Kommunikation, vernachlässigte Orientierung im Arbeitsalltag und schwach ausgebildete Awareness – das sind die Zutaten, die ein auf dem Papier genial anmutendes Cybersecurity-Konzept in der Realität krachend scheitern lassen. Ebenso in den Bereich der Kommunikation gehört das Thema Ansprechpartner. Allzu oft ist nicht bekannt, an wen sich Mitarbeiter im Verdachts- oder Schadensfall wenden sollen und müssen das erst recherchieren.

Fehlt es an Kommunikation und Security-Bewusstsein, kann das kostspielig werden. Das zeigt sich beispielhaft bei CEO-Frauds beim deutschen Autozulieferer Leoni und dem österreichischen Luftfahrtzulieferer FACC. Eine vermeintlich aus der Vorstandsebene stammende Mail wies Mitarbeiter an, eine große Summe auf ein Konto im Ausland zu überweisen. Leoni kostet die Aktion 40 Millionen Euro, FACC zahlt 50 Millionen Euro Lehrgeld. Zugegeben, beide Vorfälle betreffen mehrere Säulen. Wären die betroffenen Mitarbeiter geschult gewesen, hätten Sie erst gar nicht reagiert. Allerdings muss auch organisatorisch und prozesstechnisch einiges im Argen gelegen haben. Entweder gab es keinen ordnungsgemäßen Freigabeprozess oder dieser war äußerst fehlerhaft.

Problem 4: Wenn die vermeintliche Perfektion zum Verhängnis wird

Hätte es Rückfragen zur vermeintlichen CEO-Mail gegeben, wäre der Betrug wahrscheinlich aufgeflogen. Dass dies nicht erfolgte, liegt auch an einer hierzulande typischen Verhaltensweise, die auf einer weitverbreiteten, fragwürdigen Unternehmenskultur beruht: Wer Fehler macht, steht – zumindest gefühlt – am Pranger. Deswegen werden sie lieber vertuscht oder verschleppt. Im Fall eines Cybersecurity-Vorfalls ist das ein Super-GAU, da Zeit ein entscheidender Faktor bei der Eindämmung ist. Nicht nur aus Security-Sicht ist eine Unternehmenskultur geboten, die akzeptiert, dass Fehler vorkommen und diese schnell und offen kommuniziert, um aus ihnen die richtigen Lehren zu ziehen. Ein zusätzliches Bonbon einer solchen Kultur: Mitarbeiter trauen sich mehr zu, agieren selbständiger, kreativer und gleichzeitig aufmerksamer, wenn sie wissen, dass ihnen aus einem Fehler kein Strick gedreht wird.

Problem 5: Gähnende Langeweile bei Anwendern

Keine Frage, im Rahmen einer Zertifizierung oder Rezertifizierung beispielsweise auf Grundlage der ISO 2700x-Reihe, reicht der Nachweis der Mitarbeiterschulung. Meistens passiert das in einschläferndem Frontalunterricht unter Zuhilfenahme überfrachteter Power-Point-Präsentation. Nachweis erbracht – Ziel erreicht? Nicht wirklich! Das Ziel der Übung sollte ja eigentlich sein, die Mitarbeiter für das Thema Cyberrisiken zu sensibilisieren. Awareness auf Seiten der Mitarbeiter ist eine der mächtigsten Waffen im Kampf gegen die zahlreichen Gefahren, die der eigenen IT-Infrastruktur drohen. Besser als eine einmalige Veranstaltung ist es, das Thema in den Arbeitsalltag einzubauen mit kleinen, dafür regelmäßigen Bausteinen. Damit bleibt Awareness präsent.

So wie Hacker sich beim Social Engineering die menschliche Psyche zu Nutze machen, können das auch Unternehmen. Der Wunsch nach Lob ist tief im Menschen angelegt. Warum ihn nicht in Form von virtuellen Belohnungen, wie Trophäen oder Badges, befriedigen. Weil Arbeit kein Computerspiel ist? Stimmt. Aber trotzdem spricht so etwas das Belohnungszentrum an. Wer es nicht glaubt, sollte sich überlegen, wann er zum letzten Mal noch schnell eine Runde um den Block gedreht hat, um das Wochenziel auf der Smartwatch zu erreichen. Ist das was anderes? Nicht wirklich.

Entscheidend ist: Da der Mensch die Technologie und Prozesse aktiv in seiner täglichen Arbeit leben muss, ist Cybersecurity von ihm aus zu denken. Denn jede Cybersecurity-Strategie ist nur so gut, wie ihr schwächstes Glied. Daher ist es höchst sinnvoll, der Awareness einen entsprechenden Stellenwert einzuräumen und bei der Umsetzung alle Möglichkeiten einzubeziehen, statt immer wieder die gleichen, mit Verlaub etwas ausgelatschten Pfade zu betreten.  

Jakob Schmidt

Image
Cyberangriffe sind auch in den grundsätzlich den kritischen Infrastrukturen (Kritis) zuzurechnenden Sparten Transport und Verkehr ein immer brisanteres Thema.
Foto: Rawpixel.com - stock.adobe.com

IT-Sicherheit

Mit ganzheitlicher Cybersecurity sicher ans Ziel

Im Transport- und Verkehrswesen erhöht ein ganzheitlicher Cybersecurity-Ansatz letztlich auch die Sicherheit der Passagiere.

Image
inhalt_it_netzwerk.jpeg
Foto: Sergey Nivens - Fotolia

IT-Sicherheit

Cybersecurity-Konzepte für mehr Netzwerksicherheit

Umfassende Netzwerksicherheit mit Cybersecurity-Konzepten realisieren – von der Risikoanalyse bis hin zur Netzwerksegmentierung.

Image
Damit die Sicherheitstechnik in Rechenzentren möglichst  effektiv gegen Angriffe und Ausfälle schützt, muss sie in ein ganzheitliches Sicherheitskonzept eingebunden sein.
Foto: Königs + Woisetschläger Sicherheitstechnik GmbH

Gefahrenmeldetechnik

Sicherheitstechnik in Rechenzentren ganzheitlich denken

Um Rechenzentren effektiv gegen Angriffe und Ausfälle zu sichern, muss man alle Sicherheitssysteme ganzheitlich betrachten und in ein Konzept integrieren.

Image
ntt_sase_trend.jpeg
Foto: NTT

IT-Sicherheit

Ganzheitliche Sicherheitsarchitektur als Trend

Eine ganzheitliche Sicherheitsarchitektur wird sich in den kommenden Monaten als zentraler Trend der IT-Sicherheit etablieren, prognostiziert NTT.