Ohne Unterstützung der Geschäftsführung keine Sicherheitskultur – Die menschliche Firewall

Jelle Wieringa, Senior Security Awareness Advocate bei KnowBe4 erklärt im Interview warum die Geschäftsleitung die Sicherheit im Unternehmen vorleben muss, damit alle Mitarbeiter an der erfolgreichen Etablierung einer Sicherheitskultur teilnehmen.

Der Anbieter einer Plattform für Security-Awareness-Training-Inhalte und simuliertes Phishing, dass mit möglichst echt aussehenden Templates arbeitet, KnowBe4, ist seit 2018 auch in Deutschland aktiv. »manage it« traf sich mit Senior Security Awareness Advocate Jelle Wieringa zum Gespräch über den aktuellen Trend im Bereich Security Awareness auf den sogenannten Human Factor, also den menschlichen Faktor in der Informationssicherheit zu setzen.

Jelle Wieringa,
Senior Security Awareness Advocate
bei KnowBe4

KnowBe4 wurde 2010 in Florida gegründet und hat sich zum Ziel gesetzt mit Inhalten für das Security Awareness Training, die abwechslungsreich und spielerisch, aber auch informativ aufbereitet sind, eine menschliche Firewall zu etablieren. Diese Mitarbeiter wurden in Sachen Security Awareness auf eine Art und Weise geschult, dass sie Phishing-E-Mails erkennen und wissen, wie sie damit umgehen müssen und dieses Wissen auch weiter vermitteln können. Dafür setzt der Anbieter aber nicht nur auf Inhalte, sondern auch ganz konkrete echt wirkende Phishing-E-Mails, die regelmäßig an die Belegschaft eines Unternehmens versendet werden, um die Klickrate zu berechnen und einen Gradmesser für die Effektivität dieser menschlichen Firewall bemessen zu können.


Wie erreichen Sie es, dass Mitarbeiter selbstbewusster im Umgang mit Phishing und anderen Cyberbedrohungen werden?

Ein wichtiger Faktor ist die Etablierung einer Sicherheitskultur. Diese sollte ein Teil der Unternehmenskultur sein und setzt sich zum Ziel eben jenes Sicherheitsbewusstsein bei den Mitarbeitern zu entwickeln, um sich und die Firma vor Schäden durch Cyberattacken zu bewahren.

Der auf IT-Sicherheit spezialisierte Berufsverband Information Systems Audit and Control Association (ISACA), definiert den Begriff Kultur auf seiner Webseite folgendermaßen: »A pattern of beha viors, beliefs, assumptions, attitudes and ways of doing things« – übersetzt also, als ein ›Muster aus Grundhaltungen, Annahmen und Glaubenseinstellungen sowie Verhalten und Verhaltensweisen‹.

Reduziert man diese Definition nun auf ihre Kernaussagen und integriert sie in den Bereich der IT-Sicherheit, so bleiben am Ende drei Kernkomponenten bestehen, an denen sich die in einem Betrieb herrschende Sicherheitskultur festmachen lässt:

  • Erstens Wissen: Der Wissensstand der Belegschaft über Cyberrisiken sowie Maßnahmen zu ihrer Erkennung und Abwehr bildet die erste Komponente. Hierzu zählt auch und gerade das Wissen um die eigenen Fähigkeiten und Möglichkeiten, sich aktiv in den Schutz des Unternehmens einzubringen.
  • Zweitens Einstellung:  Die Selbsteinschätzung der Mitarbeiter, ihre Wahrnehmung von sich selbst als einem integralen Bestandteil der Cyberabwehr ihres Unternehmens, bildet die zweite Komponente. Hierzu zählt auch der Glaube an die Sinnhaftigkeit ihrer persönlichen Mitwirkung. Er treibt ihr Engagement an, gewährleistet, dass Sicherungsmaßnahmen von ihnen nicht als Ablenkung oder gar als Störung ihrer eigentlichen Tätigkeiten verstanden werden.
  • Drittens Unterbewusstsein: Die unterbewusst unternommenen Handlungen der Mitarbeiter schließlich, welche ebenfalls zur Anhebung der Unternehmenssicherheit beitragen, bilden die dritte Komponente. Hierzu zählt beispielsweise das grundlegende Misstrauen, mit dem Mitarbeiter in ihrem digitalen Arbeitsalltag Anomalien begegnen.


Wie kann eine solide Sicherheitskultur aufgebaut werden?

Zunächst muss der Support der Geschäftsführung eingeholt werden. Nur, wenn sie die Sicherheitskultur vorleben, wird die Belegschaft ihr Verhalten anpassen und sich damit auseinandersetzen. Diese Unterstützung ist also die Grundvoraussetzung für die erfolgreiche Etablierung einer Sicherheitskultur. Um diese Ebene an Bord zu holen, muss die Sprache der IT-Sicherheit auf die Folgen, vor allem die finanziellen Folgen heruntergebrochen werden. Darüber hinaus sollten sie positiv ins Boot geholt werden, Vorwürfe mag niemand hören und das hilft auch nicht um diese Ebene zu motivieren. Der dritte Punkt ist dann nicht alle Themen gleichzeitig vorzubringen, sondern klein anzufangen.

Es geht also darum die Führungsebene abzuholen und dann die Security Awareness zu erzeugen und zwar bei jedem Mitarbeiter eines Unternehmens. Im dritten Schritt folgt dann kontinuierliche Tests mit Phishing-E-Mails, die auf die Abteilungen und deren speziellen Prozessen abgestimmt sind. Eine Buchhaltung wird anderes gephisht wie die Geschäftsführung und so weiter und so fort.

Generell empfehlen wir zuerst zu testen, dann ein Training durchzuführen und die Testergebnisse dort einfließen zu lassen. Nach dem Security Awareness Training, dass dann abteilungsspezifisch oder teilweise auch individuell zusammengestellt werden kann, wird ein weiterer Test durchgeführt. So kann die Wirksamkeit des Trainings direkt überprüft werden.

In unserem aktuellen »What keeps you up at Night«-Report sahen 61 Prozent der 300 befragten deutschen IT-Entscheider ihr Unternehmen beziehungsweise ihre Organisation in puncto Sicherheitskultur bereits optimal aufgestellt. Lediglich 28 Prozent stellen Probleme in der Umsetzung fest. Und nur 11 Prozent geben an, dass sich ihre Arbeitgeber bereits bei der Entwicklung einer Sicherheitskultur vor unlösbare Probleme gestellt sehen. Eigentlich ein positives Ergebnis. In puncto Sicherheitsstrategie und -kultur scheinen deutsche Unternehmen und Organisationen – so die Einschätzung der deutschen IT-Entscheider – gut aufgestellt. Doch bekommt dieses Bild rasch Risse, wenn die Entscheider nicht nach dem »Stand von« sondern ihren »Sorgen und Ängsten um« diese Sicherheitsarchitekturen befragt werden. Denn hier kommen Schwachstellen und Risiken – und damit der tatsächliche Stand der IT-Sicherheit – unverfälscht zum Vorschein.

Der andere Trend, der gegen diese Aussage spricht, ist, dass Phishing in so ziemlichen jedem Report, der sich mit dem Thema beschäftigt eher zunimmt, als abnimmt. Die Ergebnisse unseres Phishing Reports für Q2 2020 zeigen auf, dass Phishing-E-Mails im Zusammenhang mit Covid-19 auch im 2. Quartal 2020 weiterhin häufig vorkommen. Von April bis Ende Juni waren simulierte Phishing-Tests mit einer Betreffzeile im Zusammenhang mit dem Coronavirus am beliebtesten (56 Prozent aller versendeten E-Mails). Social-Media-Nachrichten sind ein weiterer Bereich, der beim Phishing Anlass zur Sorge gibt. Die am öftesten angeklickten E-Mail-Betreffzeilen in den sozialen Medien betreffen Passwortrücksetzungen, das Tagging von Fotos und neuen Nachrichten. Vor allem das Phishing über Linkedin nimmt zu.


Was kommt nach Phishing? Deepfakes?

Deepfakes sind sehr schwierig zu erkennen, vor allem Deepfake-Calls mit angeblichen Vorgesetzten. Foto-Deepfakes sind ebenfalls leicht zu erstellen, schwieriger werden Deepfakes per Video. Zum Glück ist das oft noch Zukunftsmusik, so dass wir noch einige Jahre zur Vorbereitung haben, aber wir haben bereits jetzt das eine oder andere in unserer Datenbank, dass zumindest die verschiedenen Techniken aufzeigt und erläutert.

In der nahen Zukunft wird Phishing das Mittel der Wahl der Cyberkriminellen bleiben. Hier kommt es eher auf die Qualität als die Techniken dahinter an. Durch besseres Social Engineering werden die Phishing-E-Mails immer besser, die Klickraten immer besser, weil eben die Basics der Security Awareness in zu vielen Unternehmen nach wie vor fehlen und die Sicherheitskultur, wenn überhaupt sehr gering ausgeprägt ist. Hier müssen Unternehmen reagieren, wenn sie sich und ihre Mitarbeiter vor Cyberbedrohungen schützen wollen und die Chancen der menschlichen Firewall auch nutzen wollen. Mitarbeiter sind eine sehr wichtige Ressource, besonders in der IT-Sicherheit und das fängt bereits beim Geschäftsführer an.


[1] https://www.isaca.org/resources/glossary

 

 

Illustration: © yod67, VVadi4Ka /shutterstock.com

 

973 Artikel zu „Kultur Sicherheit“

Das Datenchaos ordnen: Mit neuer Datenkultur Sicherheit und Effizienz für Unternehmen heben

Unstrukturierte Daten benötigen nicht nur Speicherplatz – sie sind ein echter Kostenfaktor und stellen ein Sicherheitsrisiko dar. Unternehmen brauchen deshalb eine Strategie, wie sie mit ihren Dateien nachhaltig umgehen können. Dazu gehört zum einen, die alten Datenberge abzubauen. Software kann dabei eine wertvolle Unterstützung bieten. Noch wichtiger ist es aber, eine Datenkultur aufzubauen, so dass…

Sicherheitskultur als unternehmerischer Ansatz

Vorhersagen sind ein schwieriges Unterfangen, gerade in der zuweilen chaotisch anmutenden Welt der Cybersicherheit. Die Bedrohungslandschaft weitet sich aus. Offensive und defensive Technologien entwickeln sich weiter, und auch nationalstaatlich initiierte Angriffe werden nicht nur mehr, sondern auch raffinierter. Dieser Beitrag beschäftigt sich damit, wie Firmen eine Sicherheitskultur als unternehmerischen Ansatz etablieren und stärken können. Was…

Durchgängige Sicherheitskultur muss Top-Management einschließen

Mitarbeiter stellen eine potenzielle Schwachstelle für die IT-Sicherheit dar. Eine sicherheitsorientierte Unternehmenskultur soll die Antwort darauf sein, vielfach bleibt sie aber auf halbem Weg stehen. Wie kann der Aufbau einer solchen Kultur gelingen?   Bei der Realisierung einer höchstmöglichen Sicherheit müssen Unternehmen IT-Lösungen und Prozesse, aber auch den Faktor Mensch berücksichtigen. Diesen Punkt adressieren sie…

54 % der IT-Sicherheitsexperten sind von Überlastung oder Burnout bedroht

  Beschäftigte in der IT und ganz besonders im Bereich Cybersicherheit sind chronisch überlastet. Dazu gibt es Studien aus unterschiedlichen Fachbereichen und Disziplinen. Laut dem jüngsten The Security Profession 2019/2020 Report des Chartered Institute of Information Security (CIISec) haben über die Hälfte (54 Prozent) der befragten IT-Sicherheitsexperten entweder selbst ihren Arbeitsplatz wegen Überarbeitung oder Burnout…

Neue Kommunikationskultur für eine starke und gesunde Generation junger Menschen

Populismus, Krisen, Klimawandel, Verschwimmen von Fake und Reality in sozialen Netzwerken – unsere Gesellschaft befindet sich derzeit in vielerlei Hinsicht in einer Extremsituation, deren Auswirkungen aber oft die gleichen Ursachen haben und die auf Dauer krank machen: Mangelnder Dialog untereinander, fehlender Dialog mit sich selbst und zu gering ausgeprägte Augenhöhe im Umgang mit Grenzen. Gerade…

Automatisierung: mehr Effizienz in der IT und beim Thema Sicherheit

Im Zuge der IT-Automatisierung werden manuelle Prozesse, für die bisher menschliches Eingreifen notwendig war, automatisiert. Dabei geht es um wiederholbare Prozesse, Aufgaben oder Richtlinien. Begonnen hat die IT-Automatisierung mit vergleichsweise simplen Tools, entwickelt von IT-Administratoren für den eigenen Gebrauch. Ziel war es, ein und dieselben wiederkehrenden Aufgaben mithilfe dieser Tools schneller und effizienter zu erledigen.…

Cybersicherheit im Gesundheitswesen: Nach tödlichem Vorfall im Düsseldorfer Krankenhaus empfehlen Sicherheitsforscher mehr Prävention

Ein kürzlich verübter Ransomware-Angriff, der maßgeblich zum Tod einer Frau im Krankenhaus beigetragen haben soll, hat die Bedeutung der Cybersicherheit im Gesundheitswesen dramatisch ins Blickfeld gerückt. Die Sicherheitsforscher von Malwarebytes analysieren im Folgenden die Cybersicherheitslage bei Gesundheitseinrichtungen und geben konkrete Ratschläge für mehr Sicherheit in diesem speziellen Bereich.   Was ist im Düsseldorfer Krankenhaus genau…

Whitepaper: Reifegradmodelle für die unternehmensinterne Cybersicherheit 

  Die Beratungsboutique für Cybersicherheit carmasec veröffentlicht im Rahmen des European Cyber Security Month mit dem Whitepaper Reifegradmodelle für die Cybersicherheit Ihres Unternehmens eine auf die Anforderungen des deutschen Raumes angepasste Methodik zur Bewertung und Optimierung unternehmensinterner Security-Prozesse. Mit Hilfe eines Reifegradmodells können Unternehmen eine bessere Handlungs-, Planungs- und Budgetsicherheit erreichen und sich auf zukünftige…

Digitale Transformationsprojekte scheitern meist an kulturellen Fragen oder schlechter Beratung durch den Anbieter

  Die Geschäftsethik ist bei der Auswahl eines Technologie-Anbieters für deutsche Unternehmen genauso wichtig wie die eigentliche Technologie. 35 Prozent der Unternehmen nennen eine mangelhafte Beratung durch den Anbieter als den entscheidenden Grund, warum ein digitales Transformationsprojekt fehlschlägt. Fast ein Viertel der befragten Entscheider wurde von der Geschäftsführung angehalten, einen Anbieter nur aufgrund dessen Bekanntheit…

Sicherheitslücken in der Public Cloud

Mehr als die Hälfte der Unternehmen in Deutschland hat in den letzten zwölf Monaten Verdachts- oder Vorfälle der Datensicherheit in der Public Cloud registriert. Laut KPMG Cloud-Monitor 2020 ist der Anteil der Unternehmen mit bestätigten Vorfällen von 2018 auf 2019 um vier Prozent gesunken, allerdings haben im gleichen Zug mehr Public Cloud-Nutzer Verdachtsfälle geäußert. 2019…

AppSec: Softwaresicherheit als Reaktion auf DevOps und digitale Transformation

Die 11. Version des »Building Security In Maturity Model« demonstriert, wie Unternehmen Softwaresicherheit anpassen können, um moderne Software-Entwicklungsparadigmen zu unterstützen.   Synopsys veröffentlichte BSIMM11, die aktuelle Version des Building Security In Maturity Model (BSIMM). BSIMM unterstützt Unternehmen bei der Planung, Ausführung, Analyse und Verbesserung ihrer Softwaresicherheitsinitiativen (SSIs). Die Studie spiegelt die Softwaresicherheitspraktiken von 130 Unternehmen…

Der große digitale Schock: Die Anpassung an die neue Normalität in der Cybersicherheit

Die Covid-19-Pandemie war ein Schock für alle Systeme. Sie hat Gesellschaften, Regierungen, Unternehmen und Einzelpersonen gezwungen, seit langem bestehende Praktiken und Prozesse schlagartig zu überdenken. Dies gilt auch in grundlegenden Bereichen wie der Frage, wie und wo Menschen arbeiten, lehren, lernen, leben und interagieren. Die Auswirkungen entwickeln sich permanent weiter, wobei sich die Dinge so…

Die Cloud verändert alles –Auswirkungen von »as a Service« auf die Cybersicherheit

Auf die eine oder andere Art haben praktisch alle Unternehmen Berührungspunkte mit der Cloud, selbst wenn es vielen nicht unbedingt direkt bewusst sein mag. Je nach Art und Umfang der Cloud-Nutzung entstehen dadurch direkte Folgen für die Cybersicherheit, die Andreas Müller, Director DACH bei Vectra AI erläutert.   Die Migration von Unternehmen in die Cloud…

Studie zur Sicherheit in der modernen Anwendungsentwicklung

Durch DevSecOps ist das Thema Sicherheit in den Mittelpunkt der modernen Entwicklung gerückt. Sicherheits- und Entwicklungsteams werden jedoch von unterschiedlichen Metriken geleitet, und das kann die Ausrichtung auf ein gemeinsames Ziel erschweren. Die Problematik verschärft sich zusätzlich, weil es den meisten Sicherheitsteams an Wissen fehlt, wie moderne Anwendungsentwicklung tatsächlich abläuft. Microservices-gesteuerte Architekturen, Container und serverfreie…

Anwendungssicherheit: Kombination aus Mensch und Technik

2020 brachte zahlreiche Herausforderungen für Unternehmen. Viele Arbeitnehmer mussten aufgrund der COVID-19-Pandemie über Nacht von Zuhause arbeiten. Sie benötigen daher sichere Arbeitsumgebungen, die gleichzeitig den Zugang zu allen relevanten Anwendungen ermöglichen. Der Verizon 2020 Data Breach Investigations Report zeigte nun, dass Cyberkriminelle diese Umstellung ausnutzen, um neue Wege zu finden, Anwendungen anzugreifen. Um dies zu…

Whitepaper: Kollaborationsplattformen aus Sicht der Cybersicherheit – Vergleich und Best Practices

Bei der Auswahl von Kollaborationsplattformen prüfen Unternehmen Anforderungen an Datenschutz und Datensicherheit oftmals nur unzureichend. In dem von der Beratungsboutique für Cybersicherheit carmasec veröffentlichten Whitepaper Kollaborationsplattformen aus Sicht der Cybersicherheit – Vergleich und Best Practices werden die gängigsten Softwarelösungen Google G-Suite, Microsoft Office 365 und Atlassian Jira / Confluence hinsichtlich Aspekten der Cybersicherheit und des…

Checkliste zur Applikationssicherheit: 11 Best Practices

Applikationssicherheit ist ein so umfangreiches wie komplexes Feld. Cyberbedrohungen nehmen weiter zu und ständig drängen neue AppSec-Anbieter auf den Markt. Das macht die Einschätzung, was man wann wie tun sollte oftmals schwierig. Wer seine Anwendungen vor Bedrohungen schützen will, muss sich durch einen wahren Dschungel an Produkten, Diensten und Lösungen kämpfen. Die vorliegende Checkliste zur…

Die Cloud als Chance für Cybersicherheit – fünf Gründe für Managed Security aus der Cloud

Konventionelle Sicherheitslösungen wurden nicht mit Blick auf die Cloud entwickelt, was Herausforderungen durch Komplexität, Verwaltungsaufwand und unvollständigem Schutz schafft. Dies ist nach Meinung von Palo Alto Networks nun aber geboten, denn: In der vernetzten Welt, in der sowohl Benutzer als auch Daten überall sind, muss auch Cybersicherheit überall verfügbar sein. Um dies zu erreichen, muss…

Corona-Lockdown sorgt für wachsendes Bewusstsein für Cybersicherheit

Aktuelle Umfrage zeigt, dass Mitarbeiter Sicherheitstrainings ernst nehmen, aber dennoch riskantes Verhalten an den Tag legen.   Trend Micro veröffentlicht neue Umfrageergebnisse, die zeigen, wie Mitarbeiter im Home Office mit der Cybersicherheit umgehen. Nahezu drei Viertel der Remote-Mitarbeiter (72 Prozent weltweit, 69 Prozent in Deutschland) geben an, dass sie sich seit Beginn des Lockdowns bewusster…