Aktuelles, Branche, Veranstaltungen - geschrieben von dp am Mittwoch, März 8, 2017 14:30 - noch keine Kommentare
Mensch und IT: Vom Risiko- zum Sicherheitsfaktor
eco-Verband sieht Unternehmenskultur als grundlegend für ganzheitliche IT-Security an
[datensicherheit.de, 08.03.2017] Nach einer Meldung vom eco – Verband der Internetwirtschaft e.V. unterschätzen viele Unternehmen menschliche Faktoren bei der IT-Risikobewertung. Die Mitarbeiter sollten aber zu Verteidigern der Firmen-IT werden.
IT-Sicherheit umfassend denken!
Bei der IT-Security verließen sich viele mittelständische Unternehmen noch zu sehr auf rein technische Lösungen. Insbesondere den menschlichen Faktor unterschätzten viele bei der Risikobewertung. Immer wieder ermöglichten so Mitarbeiter Cyber-Kriminellen erfolgreiche Angriffe – beispielsweise indem sie in verdächtigen E-Mails auf Links oder auf die Anhänge klickten und so einen Erpressungstrojaner ins Haus holten.
„Insbesondere kleinere Unternehmen vernachlässigen es, bei der IT-Sicherheit umfassend zu denken und eine Unternehmenskultur zu schaffen, die Mitarbeiter für Bedrohungslagen sensibilisiert“, erläutert Oliver Dehning, Leiter der „Kompetenzgruppe Sicherheit“ im eco – Verband der Internetwirtschaft e.V.
Kombinierte technische und menschliche Angriffsvektoren
Beim „CEO-Fraud“ etwa nutzten Cyber-Kriminelle menschliche Eigenschaften wie Hilfsbereitschaft, Neugier und Angst aus. Aufgrund gefälschter E-Mails und Telefonanrufe überwiesen Mitarbeiter hohe Summen ins Ausland. Diese Form der personalisierten Manipulation („Social Engineering“) habe Hochkonjunktur und ergänze immer stärker technische Angriffe.
„Cyber-Kriminelle kombinieren heute technische und menschliche Angriffsvektoren“, sagt Dehning. Durch die hohe Zahl der attackierten Firmen verbuchten die Kriminellen immer wieder Erfolge. Bis zu 40 Millionen Euro hätten einzelne deutsche Mittelständler bereits auf diesem Wege verloren. Dehning: „Insbesondere Unternehmen, die ihre Strukturen und die Sicherheit ihrer digitalen Arbeitswege nicht den aktuellen Anforderungen angepasst haben, sind gefährdet.“
Bewusstsein schaffen: Der Mensch als Sicherheitsfaktor
Entwickeln Unternehmen jedoch ein Bewusstsein für die neuen Bedrohungen, dann würden die Mitarbeiter vom Risikofaktor zum Verteidiger der Firmen-IT: „Entscheidend ist eine Unternehmenskultur, in der Mitarbeiter sich trauen verdächtige Vorfälle und E-Mails zu melden und Rücksprache zu halten“, betont Dehning.
Die IT-Verantwortlichen könnten dann die tatsächliche E-Mail-Adresse und gegebenenfalls das S/MIME-Zertifikat überprüfen. Auch wenn eine zweifelhafte Überweisung bereits raus ist, sollten sich Mitarbeiter bei Verantwortlichen mit ihrem Verdacht melden. Je schneller ein erfolgreicher Betrug ans Licht komme desto höher sei die Chance, das Geld zurück zu bekommen.
Damit die Mitarbeiter neue Verhaltensweisen verinnerlichen, sollten sie kontinuierlich wiederholt werden, fordert Dehning. Regelmäßige Schulungen oder monatliche Mitarbeiterversammlungen hielten das Bewusstsein für aktuelle Bedrohungen aufrecht.
Zusätzlich zur Sensibilisierung ihrer Mitarbeiter sollten Unternehmen nicht zu viele Daten auf der Website oder über Soziale Netzwerke preisgeben. Denn diese könnten für Angriffe instrumentalisiert werden.
Oliver Dehning: Mitarbeiter müssen sich trauen können, verdächtige Vorfälle zu melden!
Faktor Mensch auf den „Internet Security Days 2017“
Der Faktor Mensch soll laut eco auch eines von vier Schwerpunktthemen der „Internet Security Days“ (ISD) vom 28. bis 29. September 2017 in Brühl sein.
Mit einem „Call for Papers“ suchen die Veranstalter demnach bis Mitte April 2017 Referenten.
Weitere Informationen zum Thema:
Willkommen zu den Internet Security Days 2017:
Fachmesse, Konferenz, Networking, Spaß
Internet Security Days
Konferenz, Ausstellung und Networking zu den Sicherheitstrends für heute und morgen (Call for Papers)
datensicherheit.de, 05.11.2011
Faktor Mensch: Personelle Engpässe sowie mangelnde Fachkompetenz der Mitarbeiter als Risikofaktoren
Aktuelles, Experten, Veranstaltungen - Jul 27, 2024 0:58 - noch keine Kommentare
ULD-Sommerakademie 2024 in Kiel: Digitale Datenräume und Archive im Fokus
weitere Beiträge in Experten
- NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
Aktuelles, Branche, Veranstaltungen - Jul 27, 2024 0:46 - noch keine Kommentare
Schutz persönlicher Daten: SOPHOS lädt zu Web-Seminar mit der Ethischen Hackerin Rachel Tobac ein
weitere Beiträge in Branche
- Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren