Aktuelles, Branche, Veranstaltungen - geschrieben von dp am Mittwoch, März 8, 2017 14:30 - noch keine Kommentare
Mensch und IT: Vom Risiko- zum Sicherheitsfaktor
eco-Verband sieht Unternehmenskultur als grundlegend für ganzheitliche IT-Security an
[datensicherheit.de, 08.03.2017] Nach einer Meldung vom eco – Verband der Internetwirtschaft e.V. unterschätzen viele Unternehmen menschliche Faktoren bei der IT-Risikobewertung. Die Mitarbeiter sollten aber zu Verteidigern der Firmen-IT werden.
IT-Sicherheit umfassend denken!
Bei der IT-Security verließen sich viele mittelständische Unternehmen noch zu sehr auf rein technische Lösungen. Insbesondere den menschlichen Faktor unterschätzten viele bei der Risikobewertung. Immer wieder ermöglichten so Mitarbeiter Cyber-Kriminellen erfolgreiche Angriffe – beispielsweise indem sie in verdächtigen E-Mails auf Links oder auf die Anhänge klickten und so einen Erpressungstrojaner ins Haus holten.
„Insbesondere kleinere Unternehmen vernachlässigen es, bei der IT-Sicherheit umfassend zu denken und eine Unternehmenskultur zu schaffen, die Mitarbeiter für Bedrohungslagen sensibilisiert“, erläutert Oliver Dehning, Leiter der „Kompetenzgruppe Sicherheit“ im eco – Verband der Internetwirtschaft e.V.
Kombinierte technische und menschliche Angriffsvektoren
Beim „CEO-Fraud“ etwa nutzten Cyber-Kriminelle menschliche Eigenschaften wie Hilfsbereitschaft, Neugier und Angst aus. Aufgrund gefälschter E-Mails und Telefonanrufe überwiesen Mitarbeiter hohe Summen ins Ausland. Diese Form der personalisierten Manipulation („Social Engineering“) habe Hochkonjunktur und ergänze immer stärker technische Angriffe.
„Cyber-Kriminelle kombinieren heute technische und menschliche Angriffsvektoren“, sagt Dehning. Durch die hohe Zahl der attackierten Firmen verbuchten die Kriminellen immer wieder Erfolge. Bis zu 40 Millionen Euro hätten einzelne deutsche Mittelständler bereits auf diesem Wege verloren. Dehning: „Insbesondere Unternehmen, die ihre Strukturen und die Sicherheit ihrer digitalen Arbeitswege nicht den aktuellen Anforderungen angepasst haben, sind gefährdet.“
Bewusstsein schaffen: Der Mensch als Sicherheitsfaktor
Entwickeln Unternehmen jedoch ein Bewusstsein für die neuen Bedrohungen, dann würden die Mitarbeiter vom Risikofaktor zum Verteidiger der Firmen-IT: „Entscheidend ist eine Unternehmenskultur, in der Mitarbeiter sich trauen verdächtige Vorfälle und E-Mails zu melden und Rücksprache zu halten“, betont Dehning.
Die IT-Verantwortlichen könnten dann die tatsächliche E-Mail-Adresse und gegebenenfalls das S/MIME-Zertifikat überprüfen. Auch wenn eine zweifelhafte Überweisung bereits raus ist, sollten sich Mitarbeiter bei Verantwortlichen mit ihrem Verdacht melden. Je schneller ein erfolgreicher Betrug ans Licht komme desto höher sei die Chance, das Geld zurück zu bekommen.
Damit die Mitarbeiter neue Verhaltensweisen verinnerlichen, sollten sie kontinuierlich wiederholt werden, fordert Dehning. Regelmäßige Schulungen oder monatliche Mitarbeiterversammlungen hielten das Bewusstsein für aktuelle Bedrohungen aufrecht.
Zusätzlich zur Sensibilisierung ihrer Mitarbeiter sollten Unternehmen nicht zu viele Daten auf der Website oder über Soziale Netzwerke preisgeben. Denn diese könnten für Angriffe instrumentalisiert werden.
Oliver Dehning: Mitarbeiter müssen sich trauen können, verdächtige Vorfälle zu melden!
Faktor Mensch auf den „Internet Security Days 2017“
Der Faktor Mensch soll laut eco auch eines von vier Schwerpunktthemen der „Internet Security Days“ (ISD) vom 28. bis 29. September 2017 in Brühl sein.
Mit einem „Call for Papers“ suchen die Veranstalter demnach bis Mitte April 2017 Referenten.
Weitere Informationen zum Thema:
Willkommen zu den Internet Security Days 2017:
Fachmesse, Konferenz, Networking, Spaß
Internet Security Days
Konferenz, Ausstellung und Networking zu den Sicherheitstrends für heute und morgen (Call for Papers)
datensicherheit.de, 05.11.2011
Faktor Mensch: Personelle Engpässe sowie mangelnde Fachkompetenz der Mitarbeiter als Risikofaktoren
Aktuelles, Experten - Feb. 4, 2025 0:50 - noch keine Kommentare
„AI Act“: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft
weitere Beiträge in Experten
- AI Act: eco-Kommentar zum Inkrafttreten – nationale Gesetzgebung muss Vision und Praxis vereinen!
- Datenschutzkonferenz: Hilfestellungen für effektive Anonymisierung und Pseudonymisierung personenbezogener Daten geplant
- Zwei der weltweit größten Cybercrime-Foren mit über zehn Millionen registrierten Nutzern abgeschaltet
- KI: Jeder Achte glaubt, dass Anwälte weitgehend überflüssig werden könnten
- BLZK-Kritik an ePA: Vertrauen in Datenschutz verspielt
Aktuelles, Branche, Studien - Feb. 7, 2025 0:31 - noch keine Kommentare
Industrie sollte Cyber-Sicherheit ihrer Geräte, Maschinen und Anlagen dringend auf ihre Agenda 2025 setzen!
weitere Beiträge in Branche
- Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken!
- IT-Sicherheit: Gedanken zum Generationenkonflikt
- Finanzsektor: Herausforderungen und zugleich Chancen durch DORA
- AI Act der EU verbietet bestimmte KI-Systeme und verpflichtet zur -Kompetenz
- Phishing auch bei Smartphones Sicherheitsrisiko Nr. 1
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren