Im Januar 2021 vermeldete das BKA einen großen Erfolg: Im Rahmen der internationalen Kooperation von Strafverfolgungsbehörden war es gelungen, die Infrastruktur der Schadsoftware Emotet zu zerschlagen. Allein für Deutschland wird der Schaden, der durch Infektionen mit Emotet verursacht wurde, auf 14,5 Millionen Euro beziffert.
Parallel dazu verändert eine andere Infektionskrankheit unser tägliches Leben und Arbeiten. Bedingt durch Corona verschärft sich die Bedrohungssituation im digitalen Raum. Mitarbeiter agieren im Homeoffice, zum Teil außerhalb der firmeneigenen, geschützten IT-Infrastrukturen, mobile Endgeräte werden vermehrt eingesetzt. Kriminelle nutzen die weltweite Pandemie-Situation technisch aus und vor allem auch als thematischen Ansatzpunkt für Social Engineering und andere Attacken.
Für den Schutz von Unternehmen gibt es einen einfachen Weg, um sich gegen digitale Infektionen zu rüsten: Alle Mitarbeitenden im Unternehmen sensibilisieren - Cyber Security Awareness schaffen.
Cyber Security Awareness wirkt auch, wo die Firewall nicht schützt
Nach Bitkom-Angaben zeichnete sich in Deutschland für Ausgaben im Bereich Cyber Security im Pandemie-Jahr 2020 ein Investitionsvolumen in Höhe von 5,2 Milliarden Euro ab. Nicht beziffert ist hier der konkrete Anteil, der auf Trainings und die Sensibilisierung der Belegschaft in Unternehmen entfällt.
Laut einer Erhebung von KnowBe4 werden nur in 47 Prozent der befragten Unternehmen Cyber Security Trainings durchgeführt, wobei aber 67 Prozent der Unternehmen als eine ihrer größten Ängste die Gefahr durch fahrlässige Anwender benennen. Hier gibt es ein deutliches Gap zwischen Ängsten und der Realität, da tatsächlich die wenigsten Angriffe durch die unternehmensinterne Kollegschaft verursacht oder absichtlich herbeigeführt werden.
In den allermeisten Fällen ist Unachtsamkeit der Belegschaft - also mangelnde Awareness - der Grund, warum Angreifer einen Weg ins Unternehmen finden. Der Lösungsansatz hierzu ist die Sensibilisierung aller Menschen im Unternehmen für einen bewussten, verantwortungsvollen Umgang mit der generellen IT-Compliance im Unternehmen und den aktuellen Herausforderungen im Rahmen von Corona.
- Tracy Varnum, RSA
"Wenn das Enterprise Risiko-Management nicht mit dem IT-Risiko-Management spricht, entstehen Inkonsistenzen in den dazugehörigen Business-Continuity-Plänen", warnt Tracy Varnum, Senior Manager Software Sales bei RSA. "Ein Ergebnis daraus ist, dass vieles überlappend gemacht wird und unterschiedliche Messkriterien angelegt werden. Schließlich und endlich endet das im Chaos." - Klaus Seidl, Mimecast
"Cyber-Resilienz-Strategien sind in der Regel mit E-Mail-Sicherheit, Netzwerksicherheit, Websicherheit sowie Datensicherungs- und Wiederherstellungslösungen kombiniert", berichtet Klaus Seidl, Vide President DACH bei Mimecast. - Stefan Buchta, Axians
"Resilienz ist für mich die übergeordnete Planung, wie mit Notfällen umzugehen ist“, definiert Stefan Buchta, Vertriebsleiter Süd bei Axians IT Security, im ChannelPartner Workshop. - Stanislaw Panow, netcos
"In der Regel sind wir als Dienstleister die Treiber hinter Themen wie Cyber-Resilienz", sagt Stanislaw Panow, Geschäftsführer des Münchner IT-Dienstleisters netcos. "Erst die Coronakrise hat dazu geführt, dass Kunden anfangen, sich von sich aus Gedanken dazu zu machen." - Robert Meiners, MTI Technology
"Resilienz ist für mich, was nach Hochverfügbarkeit kommt", legt Robert Meiners, Team Lead Presales bei MTI Technology, die Meßlatte hoch an. - Tobias Dames, Bechtle
obias Dames schlägt in dieselbe Kerbe wie Vorholt: "Im Unternehmensumfeld machen sich die Verantwortlichen leider noch zu selten Gedanken über Resilienz. Einen Plan zu erstellen, wenn der Notfall da ist, ist zu spät. Wichtig wäre es, viel früher und viel grundlegender anzusetzen und sich die Frage zu stellen: Was sind meine essenziellen Punkte im Unternehmen? Was brauche ich überhaupt, um weitermachen zu können?", rät Tobias Dames, Leiter Competence Center Cyber Resilience bei Bechtle. - Nils Vorholt, DextraData
"Einen interdisziplinären Resilienz-Ansatz mit Ausrichtung an der Unternehmensstrategie, der Prozess- und Organisationsentwicklung, gibt es nur selten", hat Nils Vorholt, Business Consultant bei DextraData, beobachtet. - Rainer Funk, Controlware
"Wir versuchen ganzheitlich zu beraten. Hochverfügbarkeit, Business Continuity, Disaster Recovery auf der technischen Seite gehören da selbstverständlich dazu, Awareness-Schulungen und Trainings für die Mitarbeiter aber auch", mahnt Rainer Funk, Solution Manager IT-Security bei Controlware.
Mithilfe eines Cyber Security Checks können Unternehmen den Reifegrad ihrer Cybersicherheit ermitteln und erhalten einen Überblick über den konkreten Handlungsbedarf. So soll durch ein kontinuierliches Awareness Training das Risiko- und Sicherheitsbewusstsein eines jeden einzelnen Mitarbeiters gestärkt werden.
Menschliche Abwehrkräfte durch Cyber Security Awareness Trainings sensibilisieren
Das computerbasierte Cyber Security Awareness Training beginnt mit einem Einstufungstest und orientiert sich darauf aufbauend am Wissensstand der einzelnen Teilnehmer. So werden die Stärken, Schwächen als auch der individuelle Lerntyp des Mitarbeiters berücksichtigt und ein auf die jeweilige Person angepasstes Training gewährleistet. Darüber hinaus beherzigt die Schulung auch die internen Organisations- und Sicherheitsstrukturen sowie die Kultur des Unternehmens.
Insgesamt durchläuft jeder Teilnehmer mehrmals Trainings-, Test- und Analysephasen. Die auf ihn zugeschnittenen Schulungsinhalte von Erklärvideos bis hin zu Animationen sind vielfältig gestaltet und erfordern die aktive Interaktion des Mitarbeiters. Dabei kommen auch spielerische Komponenten und kleine Wettbewerbe zum Einsatz, die zusätzlich motivieren sollen.
Nach einer abgeschlossenen Trainingseinheit wird in der Testphase der Wissensstand des Teilnehmers geprüft und abgefragt. In der daran anschließenden Analysephase wird versucht die noch bestehenden Lücken des Mitarbeiters zu erkennen und diese durch Schulungen und Simulationsübungen zu schließen.
Dies wird beispielsweise durchsimulierte Attacken im direkten Arbeitsumfeld geübt. So erhalten die Angestellten unangekündigt Phishing-Mails auf ihre geschäftliche Mailadresse. Sie sollen diese optimalerweise als solche erkennen und an die zuständigen IT-Sicherheits-Verantwortlichen melden.
- Der ChannelPartner-Workshop IAM/PAM ...
... fand Ende 2020 digital statt. - Doris Fiala, Channel Sales Manager DACH bei Wallix:
"Die Zusammenarbeit mit den Systemintegratoren ist für uns essentiell.“ - Michael Kleist, Regional Director DACH bei CyberArk:
"Welche Identitäten haben welchen Zugriff auf welche Ressourcen?" - Patrick Schmidt, Distribution Account Manager bei RSA:
"Alle neuen digitalen Identitäten stellen im Prinzip eine Bedrohung dar." - Stefan Rabben, Area Sales Director DACH und Osteuropa bei Wallix:
"Access Management – die sichere Verknüpfung zwischen Usern und Systemen." - Manfred Koller, Channel Manager DACH bei CyberArk
"Software kann den Systemadministrator sinnvoll unterstützen." - Sebastian Ganschow, Director Cybersecurity Solutions Germany bei NTT
"Eine zentrale Identity- und Access-Management-Plattform für die Schulen." - Werner Schwarz, Vice President Corporate Strategy & Innovation bei Cancom
"Wir müssen die Sicherheitsanforderungen unserer Kunden priorisieren." - Christian Schwaller, ACP:
"Der Erfolg von Microsoft Office 365 macht es uns vor." - Carsten Dibbern, Solution Manager bei Computacenter
"Access Management in der Cloud." - Ivan Vukadin, Solution Advisor Security & Data Management bei Software One:
"Als Systemhaus ist es unsere Aufgabe festzustellen, wo die Risiken tatsächlich liegen." - Pascal Kube, Geschäftsführer bei Mahr EDV:
"Fast nie eine direkte Anfrage von IAM-Lösungen." - Thomas Bursy, Team Manager Solution Sales – Security bei Software One:
"Bei unseren Kunden finden wir keine grüne Wiese, sondern ein Sammelsurium verschiedener Systeme vor." - Andreas Schmidt, Sales Security-Manager bei SoftwareOne:
"Die größte Herausforderung besteht in der klaren Kommunikation." - Peter Marwan, ChannelPartner:
"Integration ist essentiell." - Ronald Wiltscheck, ChannelPartner:
"Ständig steigende Zahl von digitalen Identitäten - und das auch noch im Homeoffice."
Letztendlich wird ein Bewusstsein durch aktives Üben und tägliches Erleben erzeugt -nicht durch einseitigen Frontalunterricht mit Powerpoint-Folien.
Nicht locker lassen beim Etablieren von Cyber Security Awareness
Eine wichtige Grundvoraussetzung zur Etablierung eines nachhaltigen Sicherheitsbewusstseins ist das Commitment des gesamten Unternehmens. Angefangen von Vorstand und Geschäftsführung, die als Vorbilder fungieren und eine Sicherheitskultur vorleben, muss sich die Awareness durch alle Geschäftsbereiche ziehen und bei jedem einzelnen Mitarbeiter ankommen.
Außerdem sind regelmäßige Erinnerung, Konfrontation und Auseinandersetzung mit Sicherheitsgefahren ein entscheidender Schlüssel zum Erfolg. Dies wird durch die ständige Wiederholung der Trainings-, Test- und Analysephasen ermöglicht. So wird regelmäßig der aktuelle Status neu bewertet und Optimierungen können gezielt vorgenommen werden.
Einen finalen Zustand, der ein Wissen über sämtliche Gefahrenquellen im Internet umfasst und vor allen vorstellbaren cyberkriminellen Angriffen schützt, gibt es jedoch nicht. Immer wieder nutzen Hacker neue Strategien, um an sensible Unternehmensdaten zu gelangen. Der einzige Schutz ist die Sensibilisierung eines jeden Einzelnen, um ein Bewusstsein für Gefahren zu schaffen und eine nachhaltige Sicherheitskultur in den Köpfen der Mitarbeiter zu verankern.
Mehr zum Thema Cyber Resilienz:
Chancen für den Channel
Wirkungsvollste Waffe gegen Cyber-Angriffe
Coronakrise als Bescheuniger
Digitale Identitäten sichern