Management von Cyber-Risiken: Sichern Sie Ihr schwächstes Glied mit Awareness-Training!
Ganz gleich, wie gut Ihr Cyber-Risikomanagementprogramm auch sein mag, es kann mit einem einzigen Mausklick in die Hose gehen, wenn die Mitarbeiter nicht ebenso gut geschult sind.
Wichtige Punkte
- Das Anklicken bösartiger Links und das Öffnen infizierter Anhänge führen zu Sicherheitsverletzungen. Eine Kombination aus Kontrollen und Mitarbeiterschulungen kann helfen.
- Eine starke Unternehmensführung und solide Richtlinien tragen dazu bei, dass die Mitarbeiter das Unternehmen nicht gefährden.
- Cyber-Risikomanagement erfordert eine Sensibilisierung der Mitarbeiter, um Phishing zu vermeiden und ihnen zu zeigen, wie - und wo - sie Geräte, Anwendungen und Netzwerke sicher nutzen können.
Cyber-Risikomanagement ist ein schwieriges Unterfangen mit vielen Elementen. Doch wie Cybersecurity-Experten der Carnegie Mellon University (CMU) festgestellt haben, steht die Unternehmenskultur an erster Stelle - und kontinuierliche Schulungen zum Sicherheitsbewusstsein sind für eine cyberbewusste Kultur von entscheidender Bedeutung.[1] Schließlich ist der Schutz nur so gut wie das schwächste Glied Ihrer Organisation, und das sind die Mitarbeiter: Eine Studie des IBM/Ponemon Institute ergab, dass etwa 90 % der Sicherheitsverletzungen durch menschliches Versagen ausgelöst werden.[2]
Ihre Richtlinien für das Management von Cyberrisiken können Sie dazu veranlassen, Systeme zu sperren, Datenpakete zu prüfen und Sicherheitskontrollen zur Erkennung von Malware einzusetzen. Aber wenn nur ein einziger Mitarbeiter seine Anmeldedaten weitergibt oder auf einen Link klickt, der Spyware installiert, kann Ihr gesamtes Netzwerk gefährdet sein. Aus diesem Grund ist ein unternehmensweites Bewusstsein für Cybersicherheit so wichtig. Und da sich die Techniken der Cyberangreifer und Hacker ständig ändern, ist die Sensibilisierung der Mitarbeiter eine unendliche Geschichte. Wie der CMU-Beitrag anmerkt, sind "fortlaufende Schulungen erforderlich, um das Fachwissen aufrechtzuerhalten und mit neuen Risiken umzugehen".
Im Folgenden finden Sie fünf Hauptangriffsmethoden für Bedrohungen auf Ihr Unternehmen, die Sie wahrscheinlich gerade lesen, sowie Vorschläge, wie Ihr Unternehmen sein Cyber-Risikomanagement verbessern kann, wobei der Schwerpunkt auf der Schulung der Mitarbeiter liegt.
1. Sensibilisierungstraining ist der Schlüssel zur Phishing-Abwehr
Nirgendwo wird der Satz "Der Mensch ist das schwächste Glied" so deutlich wie bei Phishing-Angriffen. Cyber-Diebe verwenden betrügerische Methoden, um Mitarbeiter - auch Führungskräfte - dazu zu bringen, auf Links zu klicken, die Zugangsdaten und sensible Daten gefährden. Die gängigsten Methoden bestehen darin, E-Mails so zu fälschen, dass sie authentisch aussehen, einschließlich Grafiken und Text. Sobald Sie Ihre persönlichen Daten oder Anmeldedaten auf einer gefälschten Website eingeben, haben die Hacker und Angreifer Zugriff auf Ihr Gerät und möglicherweise auf das Netzwerk. Heute haben die Cyberkriminellen von mehr Erfolg als sonst, indem sie die Angst der Menschen vor der Coronavirus-Pandemie ausnutzen.
Im Folgenden finden Sie einige Möglichkeiten zur Bekämpfung von Phishing-Angriffen, darunter auch Methoden, für die Sie Ihre Mitarbeiter schulen sollten:
- Prüfen Sie Text und Grafiken genau. Suchen Sie nach Unregelmäßigkeiten oder Fehlern.
- Fahren Sie mit der Maus über einen Link, um zu sehen, ob er authentisch ist und übereinstimmt.
- Sehen Sie sich den Rückkanal von E-Mails an, um festzustellen, ob er mit der Person oder dem Unternehmen übereinstimmt, die bzw. das die Nachricht gesendet hat.
- Verwenden Sie Software, die falsch geschriebene und gefälschte URLs auf eine schwarze Liste setzt. Zum Beispiel: com oder Minecast.com.
- Gestalten Sie Ihr Briefpapier individuell und verwenden Sie eindeutige Kennungen, um das Spoofing zu erschweren.
- Verwenden Sie Multifaktor-Authentifizierung und verlangen Sie telefonische Genehmigungen für größere Transaktionen und um CEO-Betrug zu vermeiden.
- Konzentrieren Sie sich auf Schulungen für Mitarbeiter, einschließlich der obersten Führungskräfte.
2. Verteidigung gegen Malware-Angriffe
Die heutigen Netzwerke kennen keine wirklichen Grenzen mehr, und Viren, Trojaner und andere bösartige Nutzlasten sind heimtückischer und verbreiten sich schneller. Dazu gehören Makroviren, polymorphe Viren, Dateiinfektoren, Trojaner, Würmer, Logikbomben, Spyware und Ransomware. Letztere ist besonders gefährlich, weil sie Dateien verschlüsseln und die IT-Systeme Ihres Unternehmens stunden- oder tagelang lahmlegen kann - oder den Zugriff auf geschäftskritische Dateien und Daten verhindert, es sei denn, Sie zahlen ein saftiges Lösegeld, das mitunter in die Millionenhöhe geht.
Zur Bekämpfung von Malware und Ransomware:
- Verwenden Sie auf allen Geräten Antiviren- und Malware-Erkennungssoftware.
- Stellen Sie sicher, dass alle Endpunkte, einschließlich IoT-Geräte, geschützt sind.
- Weisen Sie Ihre Mitarbeiter an, keine Anhänge zu öffnen, wenn sie sich nicht absolut sicher sind, dass sie sicher sind.
- Sichern Sie regelmäßig alle Dateien. Die Möglichkeit, Systeme in einem sehr aktuellen Zustand wiederherzustellen, kann einen Ransomware-Angriff unwirksam machen.
3. Schutz von mobilen Geräten
Laptops, Smartphones und Tablets sind unverzichtbare Werkzeuge für Unternehmen. Aber sie bergen auch Risiken. Ohne angemessene Kontrollen könnten Mitarbeiter bösartige Anwendungen herunterladen, die Daten ausspähen und auswerten, oder sie könnten wichtige und sensible Daten absichtlich oder versehentlich an Außenstehende senden. Ein wirksames Cyber-Risikomanagement begegnet diesem Problem mit einem Rahmen für die Geräteverwaltung.
Verbesserung der Sicherheit mobiler Geräte:
- Legen Sie klare Richtlinien für die Nutzung von Geräten und Apps fest, die Mitarbeiter verwenden dürfen.
- Führen Sie Mitarbeiterschulungen zur sicheren Nutzung durch, auch in Bezug auf öffentliches WiFi und das unbeaufsichtigte Liegenlassen von Mobilgeräten.
- Verwenden Sie eine MDM-Lösung (Mobile Device Management), um einen Überblick über die Geräte der Benutzer zu erhalten und deren Funktionen von Sicherheitsexperten verwalten zu lassen.
- Legen Sie klare Regeln und Kontrollen für das Herunterladen von Anwendungen und die Daten (GPS, Sprache, Bilder usw.) fest, die gesendet und empfangen werden können.
4. Schutz vor Anwendungsangriffen
Schwachstellen befinden sich oft in der Anwendungssoftware, und Cyberkriminelle nutzen sie aus. Das Open Web Application Security Project (OWASP) führt eine Top-10-Liste der Sicherheitsrisiken von Webanwendungen, die Ihnen eine klare Vorstellung davon vermitteln kann, wie riskant die Anwendungssicherheit ist und welche Probleme auftreten können.
Verbesserung der Sicherheit selbst entwickelter Anwendungen:
- Legen Sie realistische organisatorische Ziele und einen Rahmen fest, der solide Kodierungsverfahren unterstützt.
- Schulung von Entwicklern, damit sie über Schwachstellen und häufige Programmierfehler informiert bleiben.
- Identifizieren Sie die risikoreichsten Fehler und setzen Sie Prioritäten.
- Verwendung von passiven und dynamischen Anwendungs-Scan-Tools, um Kodierungsfehler zu erkennen und zu beheben.
- Führen Sie Richtlinien und Verfahren ein, die gute Codierungspraktiken belohnen.
- Achten Sie auf die Verwendung von Open-Source-Codebibliotheken und -Repositories in Ihrem Unternehmen. Diese können Geschwindigkeit, Qualität und Sicherheit verbessern, aber auch neue Risiken mit sich bringen.
- Verwenden Sie Metriken zur Messung von Fixraten.
5. Lauschangriff verhindern
Hacker und Angreifer nutzen häufig unsichere Netzwerke, um den Datenverkehr abzufangen und sich über ungeschützte Geräte in Ihr Unternehmensnetzwerk einzuschleichen. Ein Lauscher kann Passwörter, Kontoinformationen, Kreditkartendaten und mehr stehlen. Ihr Unternehmensnetzwerk kann verwundbar sein, aber ein größeres Risiko sind öffentliche Wi-Fi-Netzwerke, z. B. in Cafés und Hotels.[3] Passive Lauscher lauern in ungesicherten Netzwerken und fangen Daten ab, während aktive Lauscher sich durch Sondierungs- und Manipulationstechniken als systemfreundliche Benutzer tarnen.
Zur Bekämpfung von Lauschangriffen:
- Schränken Sie die Nutzung von Laptops, Smartphones und anderen Geräten in offenen Wi-Fi-Netzen ein.
- Verschlüsseln Sie alle sensiblen Dokumente und E-Mails im Ruhezustand und während der Übertragung.
- Sie benötigen ein virtuelles privates Netzwerk (VPN) für Ihr Unternehmen. Es stellt eine sichere Verbindung zwischen zwei Geräten her.
- Verwenden Sie starke Authentifizierungsverfahren, einschließlich Multifaktor-Authentifizierung und Single Sign On (SSO), um das Risiko kompromittierter Anmeldedaten zu verringern.
- Bieten Sie Ihren Mitarbeitern Schulungen zum Thema Datensicherheit bei der Arbeit in öffentlichen Räumen an.
Die Quintessenz
Cyber-Risiken nehmen zu - und Cyber-Risikomanagement ist ein Muss. Alle Schutzmaßnahmen der Welt können zunichte gemacht werden, wenn ein Mitarbeiter auf eine Phishing-E-Mail hereinfällt oder ein ungesichertes Wi-Fi-Netzwerk nutzt. Cyber-Resilienz hängt von einer Kombination aus Lösungen und Prozessen ab, wobei ein besonderer Schwerpunkt auf der Sensibilisierung der Mitarbeiter für Cyber-Risiken liegt.
[1] "7 Überlegungen zum Cyber-Risikomanagement," Carnegie Mellon University
[2] "2017 Cost of Data Breach Study", Ponemon Institute
[3] "Schutz vor Wi-Fi-Abhörmaßnahmen," TechGenix
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!