Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Donnerstag, Oktober 18, 2018 16:56 - noch keine Kommentare
IT-Sicherheit über die menschlichen Ebene erreichen
Angreifer bevorzugen den Weg des geringsten Widerstands
Von unserem Gastautor Perry Carpenter, Chief Evangelist und Strategy Officer bei KnowBe4
[datensicherheit.de, 18.10.2018] In meiner Tätigkeit als Cybersicherheitsexperte und in meiner früheren Rolle als Gartner Research Analyst und Industrieberater habe ich viel Zeit damit verbracht, Unternehmen auf der ganzen Welt dabei zu helfen, ihre Cybersicherheitsprogramme zu durchdenken. Ein großer Teil dieser Zeit war das Nachdenken über die Abwehrmaßnahmen und wie Technologie dabei helfen kann. Selbst mit den besten technologischen Abwehrmaßnahmen besteht jedoch eine gute Chance, dass ein hartnäckiger Angreifer in die IT-Infrastruktur der meisten Unternehmen mit relativer Leichtigkeit eindringen kann. Der Angreifer wird den Weg des geringsten Widerstands – einen Mitarbeiter – einschlagen, um die technischen Abwehrmaßnahmen zu umgehen.
Da die Technologie nie zu 100 Prozent wirksam sein wird, um Sicherheitsvorfälle zu verhindern, habe ich mir den folgenden Satz zu eigen gemacht:
„Technologie ist wichtig, aber fehlerhaft… und Menschen sind fehlerhaft, aber wichtig.“
Erst wenn wir beide Teile des obigen Satzes vollständig akzeptieren, können echte Fortschritte bei der besseren Absicherung der Unternehmen erzielt werden.
Ich bin ein großer Fan des NIST Cybersecurity Framework. Es ist nicht perfekt – aber es ist ein guter Einstieg, um einen strukturierten Prozess für die Planung einer robusten Cybersicherheitsstrategie aufzusetzen. Der Rahmen des National Institute of Standards and Technology (NIST), einer Bundesbehörde der Vereinigten Staaten von Amerika, die für Standardisierungsprozesse zuständig ist, skizziert fünf Planungsbereiche:
- Identifizieren
- Schützen
- Erkennen
- Reagieren
- Wiederherstellen
Einige Leser werden zumindest eine gewisse Vertrautheit mit dem NIST Framework haben. Hier kommt mein Axiom von oben ins Spiel… „Technologie ist wichtig, aber fehlerhaft… und Menschen sind fehlerhaft, aber wichtig.“ Die überwiegende Mehrheit der Organisationen, die ich gesehen habe und die das NIST-Framework durcharbeiten, tun dies auf technologieorientierte Weise. Meine Empfehlung ist einfach, jedes Element auch auf menschlich orientierte Prozesse und Kontrollen abzubilden.
Entwicklung eines menschenzentrierten Cybersicherheitsframeworks
Hier ist ein kurzes Brainstorming, wie dies für Unternehmen funktionieren könnte.
- Identifizieren:
- Katalogisieren Sie die Punkte, an denen Menschen mit Technologie und Daten interagieren.
- Befragung von Mitarbeitern, Auftragnehmern usw., um eine Bewertung ihrer sicherheitsrelevanten Einstellungen und Praktiken zu erhalten.
- Befragung von Führungskräften, um ihr Verständnis von Sicherheitspraktiken, Datenexposition, Geschäftsrisiken im Zusammenhang mit Verstößen, Einstellungen zur Sicherheit usw. zu erfassen.
- Durchführung von Bedrohungsmodellierungsübungen, die den Menschen explizit als Angriffsvektor und/oder als potenziellen Schwachpunkt nutzen.
- Schützen:
- Planen Sie Security Awareness-Kampagnen für kritische Themen.
- Implementierung von Verhaltensmanagementprogrammen für Bereiche wie Phishing, Social Engineering, Passworthygiene, etc.
- Etablierung von Prozessen, die sicheres Verhalten fördern oder durchsetzen.
- Implementierung von Technologien, die helfen, Mitarbeiter an sicherere Verhaltensweisen heranzuführen.
- Erkennen:
- Implementierung von Prozessen zur Meldung vermuteter Phishing-Ereignisse
- Implementierung von Prozessen zur Meldung anderer vermuteter sicherheitsrelevanter Vorfälle oder Anliegen
- Führen Sie häufig simuliertes Phishing und andere Social-Engineering-Tests durch, um festzustellen, wo Sie das Training oder andere Prozesse verbessern müssen.
- Sammeln Sie Daten von Security Information and Event Management- (SIEM), Data Leak Prevention- (DLP), Employee Monitoring Systems-, Web-Proxies und Endpoint Protection Platform- (EPPs)-Systemen, um zu sehen, wo die Mitarbeiter die gewünschten Verhaltensergebnisse nicht erreichen.
- Reagieren:
- Festlegung von Richtlinien und Verfahren, wie Ihr Unternehmen auf verschiedene Arten von menschenbezogenen Sicherheitsfehlern reagieren wird.
- Etablierung von Phishing-Reaktionsverfahren
- Entwicklung von Plänen zur Kommunikation von Unternehmensbedrohungen und bekannten Problemen
- Design/Modellierung für menschenzentrierte Probleme. Die Behebung kann eine beliebige Kombination von Personen, Prozessen und Technologien sein.
- Wiederherstellen:
- After-Incident Reviews und Kommunikation
- Verbesserungen umsetzen
Der Rahmen der NIST ist aufgrund der strukturierten Denkweise, die sie mit sich bringt, von großem Mehrwert für IT-Sicherheitsbeauftragte und an den oben genannten fünf Punkten erhalten sie einen Ansatz, wie sie nicht nur die Technologie, sondern auch den menschlichen Faktor in das Sicherheitskonzept integrieren können.
Weitere Informationen zum Thema:
datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten
datensicherheit.de, 14.09.2018
Lernkultur – Richtige Reaktion auf Datenschutzverletzungen durch Mitarbeiter
datensicherheit.de, 26.07.2018
Der Mensch als Schlüsselfaktor Cybersicherheit
datensicherheit.de, 18.07.2018
BEC und EAC Fraud: Schäden in Milliardenhöhe
datensicherheit.de, 18.08.2016
CEO-Fraud, Whaling und Spearphishing bisher fast nicht zu unterbinden
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren