Kampf gegen Cyberkriminalität: Mensch steht im Fokus

Quelle: Darwin Laganzon

Cloud Security stellt CISOs vor eine Herkulesaufgabe

Der Mensch im Mittelpunkt der IT-Security-Strategie

Im Kampf gegen Cyberkriminalität hat der Mensch – und nicht die Technologie – im Zentrum der Cybersecurity zu stehen. Es gilt die Technik, Prozesse und Kontrollen so zu kombinieren, dass der Mitarbeiter nicht mehr länger ganz einfach als Trojanisches Pferd missbraucht werden kann.

CISOs wünschen sich in erster Linie absolute Transparenz. Sie möchten verstehen, welche Angriffe stattfinden, wer angegriffen wird, mit welchen Methoden und vor allem möchten sie wissen, wie die Schutzmechanismen greifen. In diesem Interview auf it-daily.net gibt Georgeta Toth, Senior Regional Director Zentral- und Osteuropa bei der Proofpoint GmbH, Empfehlungen, wie Security-Experten den Durchblick in der Cloud behalten.

Schutz von Mitarbeitern und Daten vor Bedrohungen und Compliance-Risiken

Proofpoint hat es sich auf die Fahne geschrieben, mittels einer cloudbasierten Plattform Unternehmen, deren Mitarbeiter und Daten vor aktuellen und künftigen Bedrohungen und Compliance-Risiken zu schützen. Was genau muss man sich darunter vorstellen?

Georgeta Toth: Sie sprechen mit Ihrer Frage mehrere wesentliche Faktoren an. Einmal die Tatsache, dass wir cloudbasiert sind; warum ich das ausdrücklich hervorhebe, werde ich gleich beantworten. Und zum zweiten, dass wir im Rahmen unserer Lösungen den Mitarbeiter ins Zentrum der Sicherheitsbemühungen stellen, wir nennen das People-Centric Security. Darauf werde ich im zweiten Teil meiner Antwort eingehen.

Warum also sind wir überzeugt, dass eine Sicherheitslösung aus der Cloud wesentliche Vorteile bietet? Cybersecurity lebt von der Aktualität und Agilität, mit der gegen modernste Bedrohungen vorgegangen werden kann. Wenn man versucht diese Expertise im eigenen Unternehmen abzubilden, wird man schon bald an Kapazitätsgrenzen und Wissensgrenzen stoßen. Ich verwende hier zur Verdeutlichung gerne eine Analogie. Stellen Sie sich vor, zwei Piloten machen gemeinsam eine Ausbildung und lernen eine A 16 zu fliegen. Ein Pilot fliegt sie danach täglich, bildet sich beständig über Neuerungen weiter und kann viele Stunden Flugpraxis vorweisen. Der andere Pilot, der dieselben Grundvoraussetzungen hat, wird jedoch auf einem anderen Flugzeug eingesetzt, bekommt zwar die Updates zur A 16 per Newsletter mitgeteilt, hat aber kaum die Möglichkeit das Flugzeug einmal selbst zu steuern. Nun kommt es zu einer Extremsituation.

Wer denken Sie wird schneller und agiler reagieren können? Ähnlich ist es im Unternehmen. Der unternehmensinterne Security-Experte hat mit Sicherheit hervorragende Grundvoraussetzungen und wird auch sein Möglichstes unternehmen, um immer auf dem neuesten Stand zu bleiben. Doch defacto wird sein Wissen lange Zeit nicht benötigt werden, denn wir müssen uns verdeutlichen, dass Angriffe nicht kontinuierlich und tröpfchenweise stattfinden, sondern nach längeren Pausen unvorhergesehen in immer neuen Konstellationen und mit anderen Bedrohungen wellenartig das Unternehmen zu überrollen drohen. Hier kommen die Vorteile eines spezialisierten Cloud-Anbieters zum Tragen. Nicht nur hat das Unternehmen Zugriff auf die modernste Software, auch die Mitarbeiter sind auf dem neuesten Stand und extrem agil darin, den aktuellsten Gefährdungen zu begegnen.

Nun zum zweiten Teil Ihrer Frage. Noch immer ist Netzwerksicherheit sehr wichtig, jedoch zeigen unabhängige Untersuchungen – beispielsweise vom SANS Institut – dass 95 Prozent der Angriffe auf das Unternehmensnetz das direkte Resultat erfolgreicher Phishing-Attacken sind. Das bedeutet, der Cyberkriminelle legt die Bombe in die Hand des unwissentlichen Mitarbeiters und animiert ihn zu einer Aktion, wie etwa der Preisgabe seiner Zugangsdaten oder den Klick auf einen Link, den Download eines Anhangs. Nur wenn die Technologie Hand in Hand geht mit dem Bewusstsein des Mitarbeiters als größten Risikofaktor, lässt sich das Unternehmen und dessen Daten effektiv schützen. Großes Augenmerk sollte dabei auf der Schulung der Mitarbeiter liegen, die etwa anhand aktuellster Szenarien über Bedrohungen und vorgetäuschten Angriffen für die Attacken sensibilisiert und hinsichtlich der richtigen Vorgehensweise geschult werden.

Social Engineering und die Cybersicherheit

Wenn man Wikipedia befragt, so handelt es sich bei Social Engineering im Rahmen der Unternehmenssicherheit um „zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen“. Doch wie wählen Cyberkriminelle aus, welche Personen beeinflusst werden sollen, wie geht das genau vonstatten und vor allem – wie lässt sich das unterbinden?

Welche Personen im Unternehmen sind besonders vielen Social Engineering Angriffen ausgesetzt? Denn nur wenn man versteht, wer unter Beschuss gerät, kann das Unternehmen als Ganzes effektiv geschützt werden.

Die Antwort mag vielfach verblüffen. Es sind nicht etwa die Personen, die die Mehrzahl als Angriffsopfer vermuten würden, wie etwa den Finanzvorstand. Die Firmenleitung erhält von der Gesamtzahl zielgerichteter Malware- und Phishing-Angriffe lediglich 6 Prozent, wohingegen laut des aktuellen Protecting-People-Reports von Proofpoint 72 Prozent aller Angriffe gegen einfache Mitarbeiter und Manager gerichtet waren. Weitere Informationen dazu finden Interessierte auf it-daily.net.

Schlaraffenland für Cyberkriminelle

Nach Angaben des Deutschen Instituts für Wirtschaftsforschung (DIW) möchte jeder Deutsche zumindest ab und an von zu Hause aus arbeiten. Und obwohl viele ein Recht auf Homeoffice begrüßen würden, so stellt es IT-Abteilungen in Unternehmen doch vor große Herausforderungen.

Schon heute verschwimmen die Grenzen zwischen privater und geschäftlicher Nutzung der Unternehmens-PCs, wenn Mitarbeiter beispielsweise private E-Mails am Firmenrechner lesen oder den Firmenlaptop abends und am Wochenende mit nach Hause nehmen, um auch noch Feierabend noch die eine oder andere Aufgabe erledigen zu können. Laut einer aktuellen Umfrage von Proofpoint unter 6000 Erwerbstätigen aus Deutschland sowie den USA, Großbritannien, Frankreich, Italien und Australien ist die moderne Arbeitswelt – mit oder ohne offizieller Genehmigung des Arbeitgebers und mit oder ohne Segen der Gesetzgebung – heute schon Realität: Im Rahmen der Befragung, deren Ergebnisse im aktuellen Proofpoint Bericht zu Benutzerrisiken nachzulesen sind, gaben 17 Prozent der deutschen Mitarbeiter im Querschnitt aller Branchen und Firmengrößen an, ihr vom Arbeitgeber überlassenes Gerät „regelmäßig“ zu Hause zu nutzen, wobei 38 Prozent dieser Personen kein Passwort für ihr WLAN eingerichtet haben. Neben der rein beruflichen Tätigkeiten wird der Firmen-PC auch verwendet, um private E-Mails abzurufen und zu beantworten (66 Prozent), für Social Media Aktivitäten (28 Prozent), um Medien zu streamen (23 Prozent), online einzukaufen (27 Prozent) oder zu spielen (9 Prozent).

Die erwähnte Studie deckte zudem auf, dass 71 Prozent der deutschen Teilnehmer fälschlicherweise annehmen, dass der Einsatz von Antivirensoftware einen Cyberangriff auf den Computer verhindern kann. Die Kombination privater Nutzung der Firmen-IT gepaart mit diesem eklatanten Mangel an Cybersecurity-Know-how unter den Mitarbeitern, kreiert ein Schlaraffenland für Cyberkriminelle.

Die Antwort muss lauten: Im Kampf gegen Cyberkriminalität hat der Mensch – und nicht die Technologie – im Zentrum der Cybersecurity zu stehen. Es gilt die Technik, Prozesse und Kontrollen so zu kombinieren, dass der Mitarbeiter nicht mehr länger ganz einfach als Trojanisches Pferd missbraucht werden kann.

Quelle: it-daily.net

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


Ich bestätige, dass die hier von mir eingegebenen persönlichen Daten in der von mobile zeitgeist genutzten Datenbank bis auf Widerruf gespeichert werden dürfen.