Awareness – Das Fundament für die menschliche Firewall

Die Digitalisierung schreitet rasant vor an. Sie bietet Unternehmen und den Menschen, die für sie arbeiten, völlig neue Möglichkeiten und Freiheiten. [...]

Foto: MohamedHassan/Pixabay

Der digitale Wandel birgt aber auch Risiken, die durch konsequente Maßnahmen im Bereich der Informationssicherheit entschärft werden können. 

Neben Technik und Organisation stellt Informationssicherheit in unserem vernetzten, dezentralen ArbeitsÜBERALLtag vor allem für den Menschen eine neue Dimension von Herausforderungen dar. Informationssicherheit umfasst nicht nur Digitales, sondern alle schutzbedürftigen oder geheimhaltungspflichtigen Informations-Werte eines  Unternehmens: von Kundendaten über Geschäftsgeheimnisse (Patente, Prototypen) bis hin zu Jahresergebnissen und Kennzahlen. 

Ob diese Informationen in den Köpfen der Mitarbeitenden, auf Datenträgern oder auf Papier vorhanden sind: Zur Informationssicherheit zählen alle Konzepte, Systeme und Richtlinien, die deren Schutz sicherstellen. Die Maßnahmen müssen die technische, organisatorische und menschliche Komponente berücksichtigen. Folgerichtig spricht man vom „Dreiklang der Informationssicherheit“.

Neben der IT-Sicherheit hat ein Unternehmen also auch darauf zu achten, dass seine Prozesse sicher sind, also etwa Zugänge zu Informationen beschränkt sind. Die Mitarbeitenden selbst müssen wiederum durch ihr Verhalten im Geschäftsalltag sicherstellen, dass das Unternehmen die drei wesentlichen Schutzziele der Informationssicherheit erreicht: 

  1. Vertraulichkeit 
  2. Integrität
  3. Verfügbarkeit

Die menschliche Firewall steht an erster Stelle 

Technische Schutzmechanismen wie Firewalls, Multifaktor-Authentifizierung  oder automatisierte Schwachstellen Scans sind heute in der Regel hoch entwickelt. Kriminelle Organisationen oder Einzeltäter haben mittlerweile erkannt, dass die IT nicht mehr das primäre Einfallstor ins Unternehmen ist. Viel mehr sind die Mitarbeitenden oft das  erste Angriffsziel.  

Zwei Faktoren spielen Kriminellen in die Karten: In vielen Unternehmen mussten Mitarbeitende in kurzer Zeit den Umgang mit neuen Technologien, Arbeitsweisen und Prozessen lernen. Manche sind überfordert und unachtsam. Auch ist vielen Mitarbeitenden nicht bewusst, dass Informationssicherheit auch sie betrifft – und dass Sie nicht nur beim Öffnen von E-Mails aufpassen müssen. 

„Man muss tägliche Prozesse genau überdenken, um Cyberangriffen keine Chance zu geben“, betont Florian Goldenstein, IT-Security Consultant und CISO bei Konica Minolta Business Solutions.

„Deshalb ist es so wichtig, die Menschen im Unternehmen für das Thema zu sensibilisieren. Vor diesem Hintergrund haben Cyber-Schulungen eine elementare Bedeutung, da alle im Unternehmen die Grundlagen der Informationssicherheit kennen und leben müssen.“ 

Social Engineering und seine Methoden 

Kriminelle nutzen menschliche Schwachstellen aus, um gezielt das Vertrauen bestimmter Personen oder Personengruppen zu erlangen und dieses dann für den Diebstahl oder die Manipulation von Informationen zu missbrauchen. Oft machen sie sich menschliche Züge wie Hilfsbereitschaft, Angst oder Pflichtbewusstsein zunutze. Diese kriminelle Technik nennt sich Social Engineering.  

Folgende Methoden kommen besonders häufig vor:

1.Spear-Phishing

Eine E-Mail wird von Kriminellen an eine bestimmte Person gesendet, um sie zum Klicken eines Links, zur Eingabe von Passwörtern oder zur Preisgabe von Information auf einer fingierten Oberfläche zu bewegen. Durch Fälschung der Absenderadresse und Nutzung öffentlich zugänglicher Informationen über das Unternehmen kann eine gefälschte E-Mail täuschend echt wirken. 

2. Telefon-Spoofing

Kriminelle rufen eine bestimmte Person an und fälschen die übermittelte Rufnummer. Die angerufene Person hat den Eindruck, dass der Anruf aus dem eigenen Unternehmen oder einem Partnerunternehmen getätigt wird. Gerade wenn sich Mitarbeitende verschiedener Abteilungen oder Standorte nicht persönlich kennen, fällt die Täuschung  kaum auf.  

3. CEO-Fraud

In einer fingierten E-Mail oder mit einem gefälschten Anruf geben sich Kriminelle als Geschäftsführende oder Management aus – also als Personen, die mehrere Hierarchiestufen über dem Opfer der Täuschung stehen. Sie geben Anweisungen, die kriminelle Handlungen begünstigen, und weisen auf Dringlichkeit und Vertraulichkeit hin: zum Beispiel eine Express-Überweisung auf ein Nummernkonto.

Lücken in der Informationssicherheit schließen

Neben klassischen Offline- und Online Schulungen zur Informationssicherheit bietet ein Sensibilisierungs-Training mittels realistischer Simulationen maximale Lerneffekte für die Mitarbeitenden. Hier für entwickelt ein externer Dienstleister wie Konica Minolta Business Solutions mit seinen IT-Sicherheitsexperten gezielte Awareness-Kampagnen, die auf die Mitarbeitenden abgestimmt sind.

Eine täuschend echt anmutende Phishing-Mail, ein auf dem Parkplatz liegen gelassener USB-Stick, eine fremde Person in der Video-Konferenz – die „Köder“  sind vielfältig.

Die Mitarbeitenden fühlen sich bestätigt, wenn sie die simulierte Bedrohung erkennen oder erleichtert, wenn  das „Hereinfallen“ auf den CEO-Fraud ohne Konsequenzen bleibt. So oder so prägen sich die Methoden ein und schaffen ein Bewusstsein dafür, vorsichtig mit Informationen umzugehen. 

Training auf mehreren Ebenen

Auch auf höheren Ebenen und in Entscheidungspositionen ist Wissen zur Informationssicherheit manchmal dünn gesät. Regelmäßige Schulungen und Trainings gewährleisten, dass die verantwortlichen Positionen im Unternehmen über Bedrohungen und Abwehrtechniken genau im Bilde sind.

Effizient  sind Workshops für Admins und IT-Sicherheitsbeauftragte, bei denen sie in die Rolle von Cyber-Kriminellen schlüpfen und versuchen, eigene Angriffswege zu finden. Mit dem erlangten Wissen können sie aktiv die Sicherheitslücken des Unternehmens schließen und als Multiplikatoren Bewusstsein für Informationssicherheit schaffen.

„Die menschliche Firewall ist die wichtigste im Unternehmen“, weiß Konica Minolta-Experte Goldenstein.

„Daher bieten wir Awareness als Service an, um die Mitarbeitenden regelmäßig zu trainieren. Das darf aber nicht die einzige Maßnahme zur Gefahrenabwehr sein. Wir unterstützen unsere Kunden mit Managed Services, die viele Bereiche und auch Security abdecken, beispielsweise Monitoring, Patch-Management oder Backups. Zudem bieten wir Managed Firewalls und Endpoint Protection an, denn die Sicherheit der Endgeräte – an jedem Ort – ist ein zentrales Thema.“ So wird der Grundstein für sichere hybride Arbeitsmodelle und eine sichere Unternehmens-IT gelegt.

www.konicaminolta.de/sensibilisierung

powered by www.it-daily.net


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*