Sensibilisierung durch Security-Awareness-Kampagnen fördert die Widerstandskraft beim »Faktor Mensch« im Unternehmen.

Die Beeinflussung des Mitarbeiters, um dadurch beispielsweise an vertrauliche Informationen zu gelangen – diesem Prinzip folgt das Social Engineering.

Cyberkriminelle nutzen dabei den Menschen als vermeintlich schwächstes Glied im Sicherheitskonstrukt eines Unternehmens aus. Zur Cybersicherheit ist es daher neben der Absicherung der Technologien und Systeme ebenso entscheidend, die Widerstandskraft auf Mitarbeiterseite zu stärken. Dies ist ein zentraler Baustein im Zuge der gesamten Unternehmensresilienz. Um die Resilienz in diesem Punkt zu fördern, empfiehlt die CARMAO GmbH (www.carmao.de) unter anderem Security-Awareness-Kampagnen.

 

Unternehmensresilienz

Unternehmensresilienz beziehungsweise organisationale Resilienz stärkt die Fähigkeit eines Unternehmens oder einer Organisation, sich systematisch auf aktuelle und künftige negative Einflüsse vorzubereiten und so darauf einzustellen, dass Schäden vermieden werden und die Zukunftsfähigkeit aufrechterhalten wird. Diese Resilienz wird durch geschicktes Zusammenwirken diverser Managementsysteme und weiterer Maßnahmen wie Aus- und Weiterbildung erreicht.

»Datenschutz ist ein zentraler Baustein der Unternehmensresilienz und muss auf allen Ebenen unterstützt werden. Mitarbeiter gelten für Cyberkriminelle als beliebter Angriffspunkt. Beim Social Engineering erschleichen sich die Angreifer das Vertrauen und manipulieren das Gegenüber. Die Ziele sind Identitätsdiebstahl, Wirtschaftsspionage und vieles mehr«, erklärt Ulrich Heun, Geschäftsführer der CARMAO GmbH.

Die Kontaktaufnahme geschieht in der Regel per E-Mail, Telefon, als Privatnachricht in sozialen Netzwerken oder per Brief. »Die bekannteste Form sind Phishing-Mails, die zur Herausgabe vertraulicher Informationen oder Ähnlichem verleiten. Es gibt jedoch auch noch subtilere Methoden. Ein Beispiel: jemand gibt sich als Support-Mitarbeiter des technischen Dienstleisters am Telefon aus und versucht, Zugangsdaten zu erlangen, um ins Netzwerk eindringen zu können. Social Engineering hat viele Gesichter«, erklärt Ulrich Heun.

 

Security Awareness – Aus Schaden wird man klug

Um die Unternehmensresilienz zu stärken, müssen Mitarbeiter für die Bedrohungen sensibilisiert werden. »Der Mensch lernt in der Regel durch Erfahrungen und vor allem aus Fehlern. Wer einmal einem Hackerangriff zum Opfer gefallen ist, ist sensibilisiert für mögliche Gefahren. Diesem Prinzip bedienen sich Security-Awareness-Kampagnen«, erklärt Ulrich Heun.

Security-Awareness-Kampagnen simulieren den »Ernstfall«, ohne dass der Mitarbeiter zuvor informiert ist. Beispielsweise enthält eine E-Mail bewusst eingesetzte Phishing-Merkmale, die zuvor in Schulungen oder Einzelgesprächen vermittelt wurden. Diese »Test«-Mail wird an Mitarbeiter versendet, um anonym auswerten zu können, wie diese reagieren. Eine Registrierung erfolgt, wenn der Mitarbeiter auf einen manipulierten Link, ein Bild oder ähnliches klickt. Dabei wird nicht die Person erfasst, sondern nur die Anzahl, wie viele Mitarbeiter tatsächlich in die Phishing-Falle tappen.

Das Ziel ist es, den sicherheitsbewussten Umgang mit IT-Systemen sowie sensiblen Informationen langfristig und nachhaltig zu fördern.

 


 

 

Warum der Erwerb von Kompetenzen zu Cyberangriffen & Co. in Unternehmen existenziell ist.

Illustration: Hans Absmeier

Von Unternehmen ist heute flexible Handlungsfähigkeit gefordert – auch in Krisensituationen. Es gilt daher, in der gesamten Organisation Widerstandskraft aufzubauen. Unternehmensresilienz ist der Schlüssel und erfordert eine Sensibilisierung beziehungsweise Stabilisierung der Mitarbeiter für entsprechende Handlungsfelder und Gefahren. Aus- und Weiterbildung ist daher eine zentrale Aufgabe im Zuge der Unternehmensresilienz.

Spezialisten für organisationale Resilienz unterstützten Unternehmen dabei, Risiken zu erkennen und Fähigkeiten zu stärken. Welche Aufgaben stellen sich diesbezüglich für Unternehmen und welche Qualifikationen sollten erworben werden?

»Unternehmensresilienz bedeutet, ein belastbares organisatorisches und betriebswirtschaftliches System zu besitzen, um sich gegen Marktveränderungen und Risiken wie beispielsweise Cyberangriffe zu wappnen. Dies stärkt die Fähigkeit eines Unternehmens oder einer Organisation, sich systematisch auf aktuelle und künftige negative Einflüsse vorzubereiten und so darauf einzustellen, dass Schäden vermieden werden und die Zukunftsfähigkeit aufrechterhalten wird. Dazu müssen insbesondere die Know-how-Träger und Mitarbeiter entsprechende Fähigkeiten erwerben«, erklärt Ulrich Heun, Geschäftsführer der CARMAO GmbH.

Die organisationale Resilienz wird durch geschicktes Zusammenwirken diverser Managementsysteme erreicht. Dazu zählen Informationssicherheit, Compliance, Business Continuity, Risikomanagement ebenso wie Service Management, Qualitätsmanagement, Personalmanagement sowie Innovationsmanagement. Alle Verantwortlichen müssen dabei für ihre jeweiligen Aufgaben qualifiziert werden.

Informationssicherheit als essenzielle Aufgabe zur Widerstandskraft

Ein wesentlicher Part der Unternehmensresilienz ist unter anderem der Umgang mit Cyberangriffen. Um sich in diesem Bereich entsprechend aufzustellen, sollten alle Know-how-Träger so weitergebildet werden, dass sie Kenntnisse zur IT-Architektur, IT-Infrastruktur, IT-Sicherheitsarchitekturen, Firewall, Intrusion Detection, SIEM etc. erlangen. Zudem sollte das richtige Verhalten in Notfall-Situationen und das Know-how zu grundlegenden regulatorischen Rahmenbedingungen (Schutz der Privatsphäre, Geheimhaltung) geschult werden. Auch die Nicht-technische Kommunikation zu Geschäftsführung, PR und Mitarbeitervertretungen sollte gegeben sein.

Diese Maßnahmen betreffen die Know-how-Träger wie technische Analysten, IT-Manager und IT-AdminIllustration: Absmeier,istratoren, Compliance-Verantwortliche, Notfall- und Krisenmanager, Kommunikationsexperten sowie die Geschäftsleitung, Vorstände und Business Manager. Den Verantwortlichen sollte dabei technisches Wissen, Compliance-Wissen, methodisches und prozessuales Vorgehen vermittelt werden. Zu schulende notwendige Kompetenzen sind dabei analytische Denk- und Arbeitsweisen, Kommunikation sowie Führung und Verhalten in Krisensituationen.

»Aus- und Weiterbildung zur Unternehmensresilienz beginnt bei allen leitenden Verantwortlichen. Sind diese mit den erforderlichen Kompetenzen ausgestattet, so stärkt dies die gesamte Widerstandskraft und überträgt sich auf die Mitarbeiter. Unternehmensresilienz und damit einher gehend beispielsweise die Behandlung von Cyberangriffen ist eine Querschnittsaufgabe in der gesamten Organisation«, erklärt Ulrich Heun.

Eine empfohlene Maßnahme zum Kompetenzerwerb ist die Erstellung eines Qualifikationsprogrammes unter Führung von CISO und Notfallmanagement. Dabei ist die individuelle und spezielle Ausrichtung auf die einzelnen Akteure wie Management, Rechtsabteilung, IT, ISB, DSB, Presseabteilung, Betriebsrat und andere erforderlich. Eine regelmäßige Wissenserneuerung und spezielle Übungen sorgen für Nachhaltigkeit. Diese und weitere Kompetenzen können in der CARMAO Academy erworben werden.

 

Für den »State of IT-Resilience Report 2019« wurden weltweit 500 Führungskräfte sowohl aus der IT als auch aus anderen Geschäftsbereichen befragt [1]. Die Teilnehmer kamen aus über zehn unterschiedlichen Branchen und äußerten sich zu den derzeitigen Herausforderungen von IT-Resilienz im Rahmen der digitalen Transformation. Die Ergebnisse der Befragung geben Einblick in den Stand der Dinge…

Mehr als die Hälfte der deutschen Unternehmen testen ihre Notfallpläne nicht. Automatisierung verbessert die Erkennung und Eindämmung von Cyberangriffen in Deutschland um 46 Prozent.   Die Ergebnisse der vierten, jährlichen Benchmark-Studie zur Cyberresilienz, vom Ponemon Institute durchgeführt und von IBM Resilient gesponsert, sind veröffentlicht worden. In »The 2019 Cyber Resilient Organization« wird untersucht, inwieweit Unternehmen…

Digitalisierung ermöglicht Energiewende – und erfordert neues Denken. Um eine stabile und ausfallsichere Energieversorgung in Zukunft gewährleisten zu können, sollte aus Sicht des Digitalverbands Bitkom die Sicherheit des deutschen Energiesystems grundsätzlich neu geregelt werden. Dabei kommt digitalen Technologien eine Schlüsselrolle zu. Entsprechende Vorschläge hat Bitkom in einem aktuellen Positionspapier »Digitalisierung des Energieversorgungssystems – Von der…

manageit news

»Wenn Unternehmen ihre IT-Ausgaben für 2015 und darüber hinaus vorausplanen, einschließlich Entscheidungen bei Talentakquise, Outsourcing oder Infrastrukturmaßnahmen, müssen sie sowohl bekannte als auch bisher unbekannte Schwachstellen bei kritischen Geschäftsdaten berücksichtigen«, erklärt Alan Arnold, Chief Technology Officer bei Vision Solutions. »Die Forschungsergebnisse des State of Resilience Report decken auf, dass Unternehmen nicht ausreichend darauf vorbereitet sind,…

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis…

Staaten benötigen Kapital, um etwa Haushalte und Projekte zu finanzieren. Dieses Kapital leihen sie sich am Finanzmarkt über die Ausgabe von Staatsanleihen. Für dieses geliehene Kapital zahlen sie den Investoren Zinsen, die durch die anhaltende Niedrigzinspolitik der Europäischen Zentralbank auf ein Langzeittief gefallen sind. So musste der deutsche Staat vor Ausbruch der Finanzkrise im Jahr 2007…

In den vergangenen Monaten gab es zahlreiche, teilweise drastische Meldungen über Datenverluste beziehungsweise die ungewollte Offenlegung von Daten durch ungesicherte Clouds sowie Attacken auf Cloud-Infrastrukturen. Vor dem Hintergrund dieser Ereignisse erläutert Palo Alto Networks das Konzept von »Zero Trust« in der Cloud. Den Begriff »Zero Trust« gibt es seit fast zehn Jahren, aber er hat…

Das Unternehmen Konica Minolta mit Hauptsitz in Langenhagen bei Hannover ist bereits seit vielen Jahren erfolgreich am Markt. Dem stetigen Wandel hin zur papierlosen Arbeit durch die Digitalisierung von Unternehmensprozessen trägt der Konzern mit dem Aufbau neuer Produktsegmente Rechnung. Wie diese Unternehmensstrategie aussieht, erläutert Johannes Bischof, CEO der Konica Minolta Business Solutions Deutschland GmbH.

Digitale Disruption tritt auf allen Ebenen des Finanzsektors auf. Privatkundenbanken, Versicherer, Investmentfirmen und Vermögensverwalter stehen gleichermaßen unter Druck, rund um die Uhr digitale Dienste bereitzustellen. Anderenfalls riskieren sie, hinter den Wettbewerbern zurückzufallen. Ein überfüllter Markt, neue Technologien und steigende Erwartungen der Verbraucher zwingen die Finanzinstitute, große Veränderungen voranzubringen. Markus Grau, Principal Systems Engineering bei Pure…

Bochumer Forschungsgruppe veröffentlicht unter dem Namen PDFex eine Sicherheitslücke bei verschlüsselten PDF-Dateien. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) äußert sich in einer Vorinformation dazu. Für wen bestehen welche Risiken und wer ist betroffen? Zudem werden Alternativen für Organisationen mit besonderen Sicherheitsanforderungen aufgezeigt.   Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung…

Kritische Geräte wie PCs und Drucker sind weiterhin eine Sicherheitslücke. Nur bei einem von drei Unternehmen ist Endpoint Security ein zentraler Bestandteil der eigenen Cyber-Security-Strategie. Gerade einmal 28 Prozent der Unternehmen decken Sicherheit in ihren Anforderungskatalogen ab. Bei fast der Hälfte aller Unternehmen sind Drucker nicht Teil der Endpoint Security – für 62 Prozent bieten…



Source link

You must be logged in to post a comment.