Mitarbeiter sind das wertvollste Gut eines Unternehmens; sie sind für die Umsatzsteigerung und den Aufbau von Kundenbeziehungen verantwortlich und spielen eine entscheidende Rolle im Sicherheitsumkreis eines Unternehmens.
Cyberkriminelle hingegen betrachten die Mitarbeiter eines Unternehmens als einfachen und widerstandslosen Gegenstand, um sich ihren Weg in eine Organisation zu bahnen. In Nordamerika zum Beispiel sind die zwei Hauptursachen für Datenlecks unvorsichtige oder uninformierte Handlungen der Mitarbeiter sowie Phishing oder anderweitiges Social Engineering. Cyberkriminelle wissen das und nutzen diese Tatsache zu ihrem Vorteil.
Mit einem zuverlässigen Sicherheitsschulungsprogramm kann Ihr Unternehmen vertrauenswürdige Informationen angemessen schützen und sicherstellen, dass Cyberkriminelle die Firewall Ihrer Mitarbeiter nicht durchbrechen können.
Uns haben zahlreiche Fragen zu den bewährtesten Vorgehensweisen im Bereich Cybersicherheit am Arbeitsplatz erreicht. Aus diesem Grund haben wir Barton Jokinen, den Leiter der Abteilung für Informationssicherheit und Compliance von Kaspersky Lab im amerikanischen Raum, gebeten, die am häufigsten gestellten Fragen für uns zu beantworten.
Esposito: Was ist Cybersicherheit?
Jokinen: Cybersicherheit hat zahlreiche Definitionen; der Begriff an sich ist somit relativ weit gefächert. In diesem Kontext bedeutet Cybersicherheit Systeme und Daten, unter anderem mit physischen Sicherheits- und Awareness-Schulungen, vor böswilligen Angriffen zu schützen.
Esposito: Welches ist das beste, auf dem Markt verfügbare Awareness-Programm?
Jokinen: Bei Awareness-Programmen im Bereich Cybersicherheit gibt es keine Einheitsgröße. Jedes Unternehmen hat abhängig von seinen strategischen Geschäftszielen, Risikoanalysen und sogar dem Risikoappetit unterschiedliche Bedürfnisse. Daher ist es sinnvoll zu fragen: „Wie hilft Cybersicherheit dem Primärgeschäft der Organisation?“
Esposito: Was sollten Unternehmen aus sicherheitstechnischer Sicht beim Schutz ihres Arbeitsplatzes beachten?
Jokinen: Organisationen übersehen beim Gedanken an Cybersicherheit oft drei wichtige Teilbereiche:
Physische Sicherheit. Das Wohlbefinden der Mitarbeiter sollte bei den Cybersicherheitsplänen eines jeden Unternehmens im Vordergrund stehen. Dies scheint nicht intuitiv zu sein, wenn über Cybersicherheit nachgedacht wird. Die zunehmende Prävalenz von IoT-Geräten hat die Grenze zwischen physischer Sicherheit und Internetsicherheit enorm verzerrt. Drahtlose Sicherheitskameras, die über eine Webschnittstelle verwaltet werden oder ein smartes Schloss, das vom Smartphone eines Mitarbeiters geöffnet werden kann – wie und wann können Dinge als physisch oder „cyber“ eingestuft werden?
Viele Unternehmen verfügen über traditionelle physische Sicherheitskontrollen vor Ort; diese sind allerdings nicht mit den eigentlichen Problemlösern verbunden. Im IoT-Zeitalter sind Cybersicherheits- und IT-Teams für notwendige Korrekturmaßnahmen verantwortlich. Am Arbeitsplatz teilen diese Systeme häufig dieselben Netzwerkressourcen wie der Rest des Unternehmens. Der Anschluss von IoT-Geräten an das Hauptnetzwerk ist jedoch sehr riskant, da er potenziellen Angreifern einen Einstiegspunkt für den Zugriff auf die Netzwerkressourcen des Unternehmens bietet.
Darüber hinaus können anfällige Systeme für den Zugriff auf schlecht gesicherte industrielle Steuerungssysteme (ICS) verwendet werden. Für Organisationen, die beispielsweise eine kritische Infrastruktur auf einem ICS betreiben, sollte eine intensive Suche aller beteiligten Systeme durchgeführt werden. Diese Netzwerke sollten auch in die weiteren Cybersicherheitsbemühungen mit einbezogen werden.
Situationsbedingte Awareness von Vermögenswerten und Daten. Ein Großteil der Cybersicherheits-Frameworks beruht auf dem Wissen der zur Verfügung stehenden Assets einer Organisation (einschließlich Daten): die Systeme und Anwendungen zur Datenverarbeitung, wer Zugriff hat und wo sie sich befinden. Eine auf bekannten Assets beruhende Risikoeinschätzung im Bereich Cybersicherheit ermöglicht eine gründlichere Ermittlung der umsetzbaren Bedrohungen. Auf diese Weise kann eine Organisation ihre Cybersicherheitsressourcen genau dort konzentrieren, wo sie am wichtigsten ist.
Cybersicherheits-Awareness und kontinuierliche Schulungen
Awareness geht über das Entdecken und Katalogisieren von Assets hinaus. Awareness sollte ein ständiges Bemühen sein, um die Mitarbeiter eines Unternehmens über Richtlinien, aktuelle Bedrohungen und den Umgang mit diesen Bedrohungen aufzuklären. Ein besonderes Augenmerk sollte dabei auf Social Engineering gelegt werden, das nach wie vor der häufigste und erfolgreichste Angriffsvektor ist.
Organisationen sollten nicht nur allgemeine Schulungen, sondern auch auf bestimmte Rollen ausgerichtete Trainings anbieten. Gestalten Sie diese personenbezogen und unterhaltsam. Erzählen Sie praxisnahe Geschichten und behelfen Sie sich mit Lernspielen, die Awareness-Konzepte zusätzlich unterstützen. Ein Awareness-Programm sollte alles andere als eine Prüfung sein.
Ein gutes Programm ist eine balancierte Mischung aus persönlichen/geführten, praxisnahen Online-/Selbstlernmodulen und Studien. Sammeln Sie Metriken, um Erfolge und Schwächen in Sicherheits-Awareness-Programmen aufzuzeigen.
Esposito: Unser IT-Team kennt sich im Bereich Cybersicherheit bestens aus. Warum sollten weitere Schulungen durchgeführt werden?
Jokinen: Die Aus- und Weiterbildung im Bereich Cybersicherheitshygiene muss in der gesamten Organisation eine gängige Praxis sein. Mitarbeiter werden oft als die „schwächste Verbindung“ bezeichnet; in Wirklichkeit sind sie der häufigste Angriffsvektor und sollten daher auch wie jeder andere Angriffsvektor in der Organisation behandelt werden.
Esposito: Wir haben bereits an zahlreichen Schulungsprogrammen teilgenommen – ohne Erfolg. Was sollten wir tun?
Jokinen: Es ist kein Geheimnis, dass traditionelle Schulungsprogramme die gewünschte Verhaltensänderung und Motivation verfehlen. Um ein effektives Bildungsprogramm aufzubauen, muss ein Verständnis dafür vorhanden sein, was hinter jedem Lern- und Lehrprozess steckt. Für ein erfolgreiches Cybersicherheits-Awareness-Programm ist der Schlüssel zum Erfolg die Etablierung einer Cybersicherheitskultur, die die Mitarbeiter dazu motiviert, Sicherheitspraktiken auch außerhalb des Büros fortzuführen. Ziel der Awareness-Schulung ist es letztendlich nicht nur, Wissen zu vermitteln, sondern Gewohnheiten zu ändern und neue Verhaltensmuster zu entwickeln.
Die Kaspersky-Security-Awareness-Produkte sind nicht nur ein guter Einstieg, sondern eignen sich auch ideal, um Lücken eines vorhandenen Programms zu füllen. Die Produkte wurden für alle Ebenen der Organisationsstruktur entwickelt. Die computerbasierten Schulungsprodukte greifen auf moderne Lernmethoden zurück: Gamification, Learning by Doing und wiederholte Stärkung helfen dabei, eine starke Fähigkeitsbindung zu entwickeln und eine Obliteration zu verhindern. Eine Nachbildung des Arbeitsplatzes und des Mitarbeiterverhaltens trägt dazu bei, die Aufmerksamkeit der Nutzer auf ihre praktischen Interessen zu lenken. Diese motivierenden Faktoren garantieren, dass die Fähigkeiten auch angewendet werden.
Esposito: Wie oft sollten Mitarbeiter Bericht über auffällige Aktivitäten erstatten?
Jokinen: Cybersicherheitsteams bevorzugen es grundsätzlich eher, dass Mitarbeiter ein sogenanntes False Positive melden als abzuwarten, bis sich etwas „Verdächtiges“ zu einer ernsthaften Bedrohung entwickelt. Dazu müssen Mitarbeiter allerdings wissen, was als „verdächtig“ eingestuft werden kann.
In einer soliden Cybersicherheits-Awareness-Schulung sollten verdächtige Vorfälle anhand von Beispielen definiert werden und darauf eingegangen werden, wann und wie Bericht erstellt werden soll. Die Mitarbeiter sollten dann dazu aufgefordert werden, alle Aktivitäten zu melden, die ihnen verdächtig erscheinen. Die Berichterstattung kann auf verschiedene Arten und Weisen erfolgen. Einige Organisationen nutzen den IT Service Desk, andere verwenden den Versand einer E-Mail, die ein Ticket für das jeweilige Sicherheitsteam generiert und in wieder anderen Fällen müssen Mitarbeiter den Vorfall ihren Vorgesetzten melden.
Sobald die Mitarbeiter mit der Identifizierung und Berichterstattung verdächtiger Aktivitäten vertraut sind, müssen Richtlinien zur Vorfallsreaktion festgelegt werden. Diese sollten näher auf die Verfahren und die Verantwortung der Mitarbeiter beim Umgang mit einem Vorfall eingehen.
Denken Sie daran: „See something, say something.“ Es ist einfacher, ein Problem im Keim zu ersticken, als eine Krise in voller Blüte zu bewältigen.
Esposito: Wie stehen Sie zum Thema BYOD-Richtlinien?
Jokinen: BYOD (Bring your own device) ist zu einem immer beliebter werdenden Ansatz geworden. Mitarbeiter genießen die Flexibilität, wenn es darum geht zu entscheiden, wann und mit welchem Gerät sie arbeiten möchten. Arbeitgeber hingegen profitieren von geringeren Supportkosten für IT-Assets. Dies gefährdet allerdings die Unternehmensdaten. Wenn Mitarbeiter ihre eigenen Geräte als Arbeitsmittel verwenden dürfen, befinden sich diese Geräte auch gleichzeitig außerhalb der traditionellen Sicherheitskontrollen.
Esposito: Sie halten scheinbar nicht viel von BYOD?
Jokinen: Natürlich müssen und sollen Unternehmen nicht vollständig auf BYOD verzichten. Allerdings ist es hier besonders wichtig, dass bestimmte Sicherheitsrichtlinien und -verfahren festgelegt und eingehalten werden. So muss Arbeit und Freizeit beispielsweise strikt voneinander getrennt werden. Unternehmensdaten sollten nur von Anwendungen verarbeitet werden, die von der Organisation geprüft und gesichert wurden. Dies kann schwierig erscheinen, wenn Benutzer ihre eigenen Geräte verwenden. Glücklicherweise gibt es Tools zur Verwaltung von mobilen Geräten (Mobile Device Management, MDM). MDMs können Unternehmensdaten isolieren und sichern, Anwendungen prüfen und genehmigen sowie Geräte mit unternehmensrelevanten Informationen aus der Ferne verfolgen und löschen.
Esposito: Wo können Nutzer zusätzliche Ressourcen zur Weiterbildung finden?
Jokinen: Kaspersky Lab bietet verschiedene Ressourcen zur Aufrechterhaltung der Awareness bezüglich der Bedrohungen und Vorfälle in der Welt der Cybersicherheit:
- Threatpost ist eine führende Informationsquelle für Nachrichten zu IT-, Unternehmenssicherheit und Cybersicherheitsanalysen.
- Securelist bietet Nachrichten, Berichte und faszinierende Forschungsergebnisse der Cybersecurity-Branche.
- Die Kaspersky Lab Threats Website wird konstant mit der sich ständig ändernden Bedrohungslandschaft und aktuellen Schwachstellen aktualisiert.
- Unsere Echtzeitkarte ist ein interaktives Tool, das Cyberbedrohungen weltweit in Echtzeit visualisiert.
- Und natürlich stehen auf unserem Blog Kaspersky Daily relevante Beiträge für Unternehmen und Verbraucher zur Verfügung.