- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Verbesserung der Informationssicherheitsverfahren


Personalentscheider und Schulungsabteilungen spielen eine Schlüsselrolle für den Sicherheitsfaktor Mensch
Der Schulung zum Thema Security Awareness muss mehr Bedeutung beigemessen werden, da die Wahrscheinlichkeit menschlicher Fehler bei Sicherheitsvorfällen stetig steigt

(23.10.14) - Im Rahmen des European Cyber Security Awareness Month (ECSM) wies Lance Spitzner, Direktor des Sans Instituts, darauf hin, dass die Personalabteilungen eine kritische Rolle spielen, wenn es darum geht, zur Verbesserung der Informationssicherheitsverfahren ihrer Unternehmen beizutragen. "Unternehmen erkennen langsam, dass sie sich um die menschliche Komponente kümmern müssen, denn der Technologie sind Grenzen gesetzt", sagt Spitzner, ein international anerkannter Akteur auf dem Gebiet der Cyberbedrohungsforschung sowie im Bereich Sicherheitsschulung und -bewusstsein.

ECSM ist eine Kampagne unterstützt von der Europäischen Union, die im laufenden Monat Oktober stattfindet. Ziel des ECSM ist es, bei den Bürgern für das Thema Cyber-Sicherheit zu werben, um ihre Wahrnehmung von Cyber-Bedrohungen zu verändern, aktuelle Sicherheitsinformationen über Kurzschulungen beizusteuern und die gemeinsame Nutzung bewährter Verfahrensweisen zu verbessern.

"Solange Menschen Informationen speichern, verarbeiten oder übertragen, müssen diese gesichert sein. Einer der effektivsten Wege, Mitarbeiter zu schützen, ist ihr Verhalten durch ein aktives, langfristiges Security Awareness-Programm zu ändern", fügt Spitzner hinzu, der mit zahlreichen Unternehmen und Organisationen gesprochen und zusammengearbeitet hat, zu denen u.a. der CERT-Verband FIRST und das Telekommunikations-Beratungskommittee des amerikanischen Präsidenten gehören.

Dem Direktor von Sans zufolge ist es auf Basis der vorliegenden Daten äußerst wahrscheinlich, dass jedes große Unternehmen zu irgendeinem Zeitpunkt eine Verletzung der Informationssicherheit erleben wird. Laut dem einflussreichen Data Breach Investigation Report (DBIR), der in den letzten zehn Jahren über 100.000 Sicherheitsvorfälle untersucht hat, lassen sich 81 Prozent davon mit nur 4 wesentlichen Grundursachen erklären, nämlich verschiedene Fehler (28 Prozent), Missbrauch durch Insider (19 Prozent), Crimeware (19 Prozent) sowie physischer Diebstahl/Verlust (16 Prozent).

Der größte Faktor, "verschiedene Fehler”, bezieht sich dem Bericht zufolge einfach auf alle Fehler, die die Sicherheit beeinträchtigen. Die Hauptbedrohung entsteht durch menschliche Fehler, wie das versehentliche Einstellen privater Daten auf einer öffentlichen Seite, das Versenden von Informationen an die falschen Empfänger oder das nicht sichere Entsorgen von Dokumenten oder Assets. Jedoch spielt auch das mangelnde Sicherheitsbewusstsein bei Insider-Missbrauch, physischem Diebstahl oder bei Verlustereignissen eine Rolle.

Lesen Sie zum Thema "Compliance" auch: Compliance-Magazin.de (www.compliancemagazin.de)

"In der Vergangenheit unterhielten Unternehmen zwar Security Awareness-Programme, es handelte sich dabei aber um von Auditoren entwickelte Compliance-gesteuerte Programme, mit denen sie sicherstellen wollten, dass ihre Unternehmen "ein Häkchen auf einer Checkliste" machen konnten. Diese Programme bestanden aus nichts anderem als einer Power-Point-Präsentation oder sehr grundlegendem Computer Based Training (CBT)", sagt Spitzner. "In den letzten Jahren haben Unternehmen bei der Frage, wie sie Bewusstsein und Schulung angehen wollen, eine grundlegende Verschiebung eingeleitet. Sie bauen ausgereifte Security Awareness-Programme auf, die weitverbreitete und gleichzeitig riskante menschliche Verhaltensweisen identifizieren und ändern."

Spitzner spricht sich dafür aus, dass es die vornehmliche Aufgabe ist, die Unterstützung des Managements zu gewinnen und die Schlüsselfragen "wer, was und wie" zu beantworten. "Sobald man ein Programm eingeführt hat, muss man es auch messen können. Die Messung liefert verschiedene Ergebnisse. Erstens hilft sie Ihnen festzustellen, wo Ihre größten Risiken liegen und worauf Sie Ihren Fokus richten müssen. Zweitens kann sie dazu verwendet werden, dem Führungsstab den Wert des Programms zu demonstrieren, was Ihnen wiederum die Unterstützung dafür bringt, die Sie brauchen, um das Programm auch langfristig aufrechtzuerhalten", fügt er hinzu.

Zur weiteren Unterstützung des ECSM veranstaltet Spitzner eine Webinar-Sitzung, die einen schrittweisen Lösungsweg für die Frage aufzeigt, wie Sie Ihr Security Awareness-Programm auf das nächste Level bringen. Das Webinar beinhaltet die wichtigsten Punkte, u.a. wie man das Security Awareness Reife-Modell nutzt, wie man Menschen wirksam für sich gewinnen kann, wie man die Änderung des Verhaltens misst und letztlich dem Management diese Ergebnisse auch zielführend kommuniziert. (Sans-Institut: ra)

Sans-Institut: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Zunahme von Angriffen mit JavaScript-Skimmern

    Im Jahr 2020 könnten es - laut Vorhersagen von Kaspersky - finanziell motivierte Cyberkriminelle vermehrt auf Apps zur Geldanlage, Systeme zur Verarbeitung von Finanzdaten online und aufstrebende Krypto-Währungen abgesehen haben. Zudem werden sich voraussichtlich der Handel mit Zugängen zur Infrastruktur von Banken und die Entwicklung neuer Varianten mobiler Malware basierend auf Sourcecode-Leaks etablieren. Neben den Bedrohungen im Finanzbereich hat Kaspersky im Rahmen ihres "Security Bulletins 2019/2020" auch mögliche Gefahren für andere Branchen prognostiziert.

  • Prognosen zur Anwendungssicherheit für 2020

    Veracode veröffentlichte vor kurzem die zehnte Ausgabe ihres jährlich erscheinenden "State of the Software Security" (SoSS)-Reports. In diesem beschreibt die Anwendungssicherheitsspezialistin, wie sich die Sicherheit von Software und Applikationen im Laufe der letzten Jahre entwickelt hat und stellt eine Bilanz zum aktuellen Ist-Stand auf. Doch welche Trends zeichnen sich für die kommenden Jahre ab und auf welche Weise sollten Unternehmen auf die Veränderungen reagieren? Codes, auf denen Software und Applikationen aufbauen, werden stetig umgeschrieben oder erweitert, da Unternehmen ihre Angebote an die Bedürfnisse ihrer Kunden anpassen müssen. Jede neue Veränderung bedeutet aber auch, dass die Applikationen dadurch angreifbar werden. Somit steigt das Risiko, dass sich Fehler und Bugs einschleichen und damit die Sicherheit der jeweiligen Anwendung - oder sogar des Unternehmens - gefährden.

  • So (un)sicher wird 2020 für industrielle Netzwerke

    Die Bedrohungslage für OT-Systeme, kritische Infrastrukturen und industrielle Steuerungsanlagen wird sich auch 2020 im Vergleich zu 2019 kontinuierlich weiterentwickeln. Da diese Systeme dem öffentlichen Internet immer stärker ausgesetzt sind, wird es für Hacker immer einfacher, sie anzugreifen. Dies gilt nicht nur für staatlich unterstützte bzw. beauftragte Angreifer, sondern auch für Cyberkriminelle, die in erster Linie finanziell motiviert handeln. Es ist zu befürchten, dass gerade staatlich gesteuerte Angreifer ihre Ziele genauer auswählen und ihre Spuren besser verwischen werden. Die Fälle, von denen in den Medien berichtet wird, dürften nur die Spitze des Eisberges darstellen. Aufgrund der kleinen Stichprobe (2019 gab es lediglich 12 hochkarätige Angriffe weltweit) ist es unmöglich, ein genaues Bild über die tatsächliche Bedrohungslage zu erhalten.

  • Cyberangriff auf wichtige Pfeiler der Gesellschaft

    Am Ende jedes Jahres setzen wir bei Forescout uns zusammen und erörtern, welche Trends sich unserer Meinung nach in den nächsten zwölf Monaten beschleunigen und welche neu entstehen werden. Als wir dieses Jahr mehr als 50 Prognosen auf letztendlich sechs eingrenzten, fiel uns einmal mehr auf, wie schnell sich der Cybersicherheitssektor doch verändert. Die Bedrohungen und Angreifer werden immer raffinierter und richten weiter verheerende Schäden in Unternehmen aller Größen und Branchen an, und eine Trendwende ist nicht in Sicht. Für Unternehmen bedeutet dies, dass sie strategischer denn je vorgehen müssen, wenn sie ihren Sicherheitsstatus verbessern wollen. Es bedeutet auch, dass sie sich mit vielversprechenden neuen Technologien auseinandersetzen müssen - einige davon erwähnen wir im Folgenden -, noch bevor diese sich allgemein etabliert haben. Dies umfasst sowohl die Einführung neuer Technologien als auch den Schutz neuer Geräte. Und schließlich bedeutet es, einige der Auswirkungen zu bedenken, die ein Cyberangriff auf wichtige Pfeiler unserer Gesellschaft haben könnte.

  • Cyberbedrohungen und Trends für 2020

    Von Passwort-Katastrophen bis hin zum verstärkten Krypto-Mining von Monero: Welche Cyberbedrohungen werden im Jahr 2020 auf uns zukommen? Instabilität der Darknet-Märkte: Die englischsprachigen Darknet-Märkte haben ein schwieriges Jahr hinter sich mit zahlreichen Takedowns, Exit-Scams, Verhaftungen, ungewöhnlichen Aktivitäten, bei denen Märkte an- und ausgeschaltet wurden, sowie anhaltenden DDOS-Angriffen. Diese Instabilität hat den Ruf der Darknet-Märkte geschädigt, und das wird 2020 beträchtliche Paranoia bei Cyberkriminellen auslösen, die sich wahrscheinlich nur langsam beruhigen wird. Diese Unvorhersehbarkeiten haben vielleicht keine nennenswerten sichtbaren Auswirkungen auf Endbenutzer und Unternehmen, können jedoch dazu führen, dass Märkte anderswo entstehen und die Lieferketten von Cyberkriminellen insbesondere im englischsprachigen Raum sehr durcheinanderbringen.