[datensicherheit.de, 26.02.2025] Ein neuer KnowBe4-Bericht soll die „verborgene Kraft des Informationsaustauschs bei der Gestaltung der Sicherheitskultur eines Unternehmens“ enthüllen – er zeigt demnach auf, wie Schulungen am Arbeitsplatz den Austausch von Informationen über Cyber-Sicherheit unter Kollegen fördern können und warum Unternehmen Hindernisse beseitigen sollten, damit dies auch außerhalb des Arbeitsplatzes geschieht.

Abbildung: KnowBe4

KnowBe4-Bericht „Cybersecurity Information Sharing as an Element of Sustainable Security Culture“ veröffentlicht (s.u.)

Mitarbeiter beschäftigten sich oft bereits im Privatleben mit Cyber-Sicherheitsinformationen

KnowBe4 hat am 26. Februar 2025 die Veröffentlichung des Forschungsberichts „Cybersecurity Information Sharing as an Element of Sustainable Security Culture“ bekanntgegeben, welcher von Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, und Dr. William Seymour, Dozent für Cyber-Sicherheit am King’s College London, verfasst wurde. „Der Bericht untersucht, wie Menschen Informationen über Cyber-Sicherheit konsumieren und weitergeben, und zeigt auf, welche Rolle Schulungen am Arbeitsplatz bei der Förderung des Informationsaustauschs unter Kollegen spielen.“

Viele Mitarbeiter beschäftigten sich bereits in ihrem Privatleben mit Cyber-Sicherheitsinformationen – „und wenn sie diese Informationen proaktiv weitergeben, spiegelt dies eine reife Sicherheitsmentalität wider“. Eine etablierte Sicherheitskultur fördere gute Gewohnheiten, gegenseitige Unterstützung und ein klares Risikobewusstsein. Durch die Untersuchung der Verbreitung von Cyber-Sicherheitsnachrichten könnten Organisationen wertvolle Erkenntnisse gewinnen, um ihre Abwehrkräfte zu stärken und das menschliche Risiko zu minimieren.

Durchschnittlich 57 Prozent der Befragten erhielten Cyber-Sicherheitsschulung

Der Bericht zeigt laut KnowBe4 auf, dass im Durchschnitt 57 Prozent der Befragten eine Cyber-Sicherheitsschulung erhalten haben – wobei 73 Prozent im Vereinigten Königreich, 60 Prozent in den USA, 55 Prozent in Deutschland und nur 38 Prozent in Frankreich eine solche Schulung erhalten hätten. Die Schulung am Arbeitsplatz habe sich auf den Informationsaustausch ausgewirkt, da 24 Prozent der geschulten Personen ihr Wissen anschließend mit ihren Kollegen geteilt und sich besser an Inhalte über Phishing erinnert hätten.

Weitere wichtige Erkenntnisse lt. KnowBe4:

• 95 Prozent der Befragten hätten mindestens einmal Inhalte zum Thema Cyber-Sicherheit gelesen oder gesehen.
• 77 Prozent hätten Informationen über Cyber-Sicherheit erhalten und 25 Prozent aktiv Informationen über Cyber-Sicherheit mit anderen geteilt.
• 22 Prozent der Arbeitnehmer fanden Informationen zur Cyber-Sicherheit auf Websites und 21 Prozent bei ihrem Arbeitgeber.
• Im Allgemeinen seien Arbeitgeber für alle Altersgruppen eine wichtige Quelle für Informationen über Cyber-Sicherheit, während Soziale Medien für die Altersgruppe der 18- bis 29-Jährigen ein wichtiger Kanal gewesen seien.

Eine Sicherheitskultur schaffen, welche über das Büro hinaus wirkt

„Mitarbeiter kümmern sich um Cyber-Sicherheit – und Unternehmen sollten das auch tun!“, rät Dr. Krämer und erläutert: „Erfolgreiche Programme zur Förderung des Sicherheitsbewusstseins erkennen an, dass engagierte Mitarbeiter eher bereit sind, wichtige Erkenntnisse mit ihren Kollegen zu teilen und so die Sicherheitskultur am Arbeitsplatz zu stärken.“ Durch die Bereitstellung hochwertiger, relevanter Inhalte und die einfache Weitergabe dieser Inhalte könnten Unternehmen ihre Mitarbeiter in die Lage versetzen, „fundierte Entscheidungen zu treffen, Risiken zu mindern und eine Sicherheitskultur zu schaffen, die über das Büro hinausgeht“.

Letztendlich gelte: „Je mehr man sich mit einem Thema beschäftigt, desto mehr möchte man es auch weitergeben.“ Wenn Beschäftigte angemessen für Cyber-Risiken sensibilisiert seien, sei es wahrscheinlicher, „dass sie offen mit anderen über das Thema kommunizieren und eine stärkere Sicherheitskultur am Arbeitsplatz schaffen“. Um eine stärkere Sicherheitskultur aufzubauen, sei es eben wichtig zu verstehen, „wie Mitarbeiter Informationen über Cyber-Sicherheit konsumieren und weitergeben“.

Weitere Informationen zum Thema:

KnowBe4
Thought Leadership Series: Security Behavior Insights / Cybersecurity Information Sharing as an Element of Sustainable Security Culture

datensicherheit.de, 31.10.2024
Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist / Häufigkeit von Cyber-Angriffen – insbesondere auf das Gesundheitswesen – nimmt zu

datensicherheit.de, 12.05.2022
Datenschutz als Ausdruck der Kultur / Daniel Fried sieht beim Thema Datenschutz kulturelle Unterschiede immer deutlicher hervortreten

datensicherheit.de, 29.04.2020
KnowBe4-Studie: Führungskräfte schätzen starke Sicherheitskultur / Definition und Umsetzung sind jedoch umkämpft

[datensicherheit.de, 05.12.2024] „KI-basierte Deepfakes haben sich im letzten Jahr als effektives Täuschungsinstrument etabliert. Vom rudimentären E-Mail-Spoofing wurden sie zu einer hochentwickelten Phishing-Technik weiterentwickelt, die manipulierte Audio- und Videodaten einsetzt.“ James Tucker, „Head of CISO International“ bei Zscaler, geht in seiner aktuellen Stellungnahme auf die Ursprünge sogenannter Deepfakes ein – diese ließen sich dabei auf die inhärenten Schwachstellen der E-Mail-Technologie zurückführen, welcher es an robusten Mechanismen zur Überprüfung der Absenderidentität fehle. Dieses seit Langem bestehende Problem habe Angreifern den Weg geebnet, KI für immer gefährlichere Angriffe in Kombination mit dem Dauerbrenner „Social Engineering“ zu nutzen.

Foto: Zscaler

James Tucker: „Demokratisierung“ der Deepfake-Technologie mittels KI macht sie zur ernsthaften Bedrohung!

Deepfake-Erzeugung per KI auch für Personen mit geringem Know-how leicht machbar

Tucker erläutert: „Deepfakes werden in den zwei Formaten Audio und Video für Betrugsmanöver eingesetzt. Während Audiomanipulationen seit über einem Jahrzehnt bekannt sind und sich in jüngster Zeit zu Telefonanrufen weiterentwickelt haben, sind gefälschte Videos auf Basis von öffentlich zugänglichen Videoschnipseln, die mit Hilfe von KI manipuliert werden, erst in jüngster Zeit prominenter aufgetreten.“

Die Erzeugung künstlicher Nachrichten für Personen mit unterschiedlichem technischen Know-how sei leicht machbar, denn die KI-Tools übernähmen die Arbeit.

Diese „Demokratisierung“ der Deepfake-Technologie mache sie zur ernsthaften Bedrohung. Die Werkzeuge zur Erstellung überzeugender Fälschungen befänden sich damit in den Händen eines Personenkreises, welcher „die ethischen Implikationen des Einsatzes missachtet“.

Deepfake-Schadenspotenzial geht weit über bloße Falschinformationen und Zahlungsanweisungen hinaus

Die Folgen von Deepfakes gingen weit über bloße Falschinformationen und Zahlungsanweisungen an Malware-Akteure hinaus: „Die neuen Deepfakes untergraben das Vertrauen in jegliche Interaktion grundlegend, sei es im persönlichen oder beruflichen Umfeld!“

Damit wackele das Vertrauen in den Eckpfeilern der menschlichen Kommunikation. Wenn Menschen nicht mehr zwischen Realität und Fiktion unterscheiden könnten, beginne das soziale Gefüge zu bröckeln.

Ein hypothetisches Szenario laut Tucker: „Ein Manager setzt KI ein, um einen Videobericht auf der Grundlage tatsächlicher Daten zu erstellen. Die Informationen mögen zwar korrekt sein, aber die Erstellung einer synthetischen Darstellung untergräbt die Authentizität der Kommunikation und hinterlässt bei den Team-Mitgliedern ein unbehagliches Gefühl.“

Deepfakes können als Waffe eingesetzt werden

Dieser Vertrauensverlust in die neuen Möglichkeiten der Inhaltserstellung sei nicht auf harmlose Szenarien beschränkt: „Deepfakes können als Waffe eingesetzt werden, um das Vertrauen absichtlich zu unterminieren und damit zu ernsthaften Rufschädigungen oder genereller Verunsicherung beitragen!“

Fälle manipulierter, aus dem ursprünglichen Kontext gerissener Bilder hätten bereits zu Rechtsstreitigkeiten und einem Aufschrei in Sozialen Medien geführt.

Die Möglichkeit, solche Inhalte schnell und mit hoher Reichweite viral gehen zu lassen, verstärke deren Wirkung und schaffe eine „Kultur der Zweifelhaftigkeit“. Damit würden Deepfakes zu einer ernsthaften Bedrohung, welche weit über finanziellen Schaden hinausgehe.

Weitreichende psychologische Deepfake-Auswirkungen

Die psychologischen Folgen von Deepfakes könnten sowohl für die Gesellschaft als auch für den Einzelnen enorm sein. Die Verbreitung gefälschter pornographischer Inhalte ziele beispielsweise auf die Würde und Privatsphäre der Menschen ab und hinterlasse lang anhaltende emotionale Narben.

Darüber hinaus könnten manipulierte politische Inhalte zu Misstrauen gegenüber öffentlichen Personen und Institutionen führen und die demokratischen Prozesse untergraben. „Wenn die Worte eines Politikers in einem gefälschten Kontext verwendet werden, löst dies eine gesellschaftliche Vertrauenskrise aus. Denn wenn selbst Aussagen von öffentlich agierenden Personen gefälscht werden können, wem kann man dann noch vertrauen und wie kann der Einzelne einen Deepfake erkennen oder nachweisen?“

Die jüngere Generation sei besonders gefährdet: Ihr Leben werde zunehmend von Bildschirmen und ihrer Interaktion über die Sozialen Medien bestimmt. Diese Zielgruppe muss demnach besonders angeleitet werden, welche Inhalte authentisch sind und welchen Vertrauen geschenkt werden darf. Sie bewegten sich am Rande einer Welt, „in der die Realität verzerrt erscheinen und mit dem Risiko sozialer Isolation und psychischer Probleme einhergehen kann“. Angesichts dieser wachsenden Probleme bestehe Handlungsbedarf.

Maßnahmenkatalog gegen Deepfakes

Als Reaktion auf das zunehmende Aufkommen sogenannter Deepfakes sei es erforderlich, KI nicht nur für die Erstellung, sondern auch für die Erkennung von künstlich erstellten Inhalten einzusetzen. In den kommenden Jahren werde die Zahl derjenigen Unternehmen steigen, „die KI-Technologien speziell zum Aufspüren von Deepfakes entwickeln“. Darüber hinaus seien insbesondere in der Europäischen Union (EU) regulatorische Maßnahmen zu erwarten, welche „Standards und Schutzmaßnahmen gegen die böswillige Nutzung dieser Technologie festlegen“.

Digitale Wasserzeichen sein eine Möglichkeit, welche zur Authentifizierung von Inhalten beitragen könne. „Das ist immerhin ein Anfang, wobei für höhere Sicherheit ein mehrschichtiger Ansatz erforderlich ist, der neben der KI-Verifizierung auch persönliche Identifikatoren wie eindeutige Schlüsselwörter umfasst.“ Ein solcher Schutz funktioniere ähnlich wie die Zwei-Faktor-Authentifizierung (2FA), „die derzeit bereits als Passwortschutz verwendet wird“.

„Bis diese Technologien jedoch ausgereift sind, spielt Aufklärung die entscheidende Rolle im Kampf gegen die negativen Auswirkungen von Deepfakes“, so Tucker. Die Schulung in der Erkennung gefälschter audiovisueller Inhalte sollte fester Bestandteil der beruflichen und akademischen Lehrpläne werden, „damit sich die Gesellschaft in diesem tückischen Umfeld gegen negative Auswirkungen wappnet“.

Ab 2025 werden Deepfakes zu noch mehr Verwirrung und Misstrauen führen

Im kommenden Jahr – 2025 – werden Deepfakes laut Tucker „zu noch mehr Verwirrung und Misstrauen führen“. Die Gesellschaft werde sich mit diesen Herausforderungen auseinandersetzen müssen. Diskussionen über Regulierung und Schutz würden dementsprechend an Bedeutung gewinnen.

Langfristig müssten Nutzer auf KI-Tools zur Erkennung von Deepfakes auf persönlichen Geräten setzen. Dadurch könne einer „Kultur der Umsicht“ Vorschub gewährt werden, „bevor gefälschte Inhalte über Soziale Kanäle verbreitet werden“. Letztendlich müsse die Gesellschaft mit der Entwicklung neuer Technologien Schritt halten und mit einer Antwort auf deren negative Aspekte reagieren. Der Kampf gegen Deepfakes erfordere persönliche Aufmerksamkeit und technologische Innovation, da die Folgen von Untätigkeit schwerwiegend sein könnten.

Tucker gibt abschließend zu bedenken: „Einmal verlorenes Vertrauen in technische Kommunikationskanäle und Inhalte lässt sich nur schwer zurückgewinnen. Das ,Zero Trust’-Prinzip hat gezeigt, wie Organisationen es schaffen können, das Vertrauen in digitale Interaktionen wiederherzustellen.“

Weitere Informationen zum Thema:

datensicherheit.de, 20.11.2024
Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff / Aktueller Bericht thematisiert globale Trends und Techniken des Identitätsbetrugs, welche Unternehmen im Jahr 2025 bedrohen werden

datensicherheit.de, 08.10.2024
Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe / BlackBerry erörtert das Gefahrenpotenzial KI-gestützter Deepfake-Angriffe auf Unternehmen und stellt Abwehrmaßnahmen vor

datensicherheit.de, 29.08.2024
Drei präventive Schutzmaßnahmen gegen CEO-Fraud und Deepfake-Angriffe / Detlev Riecke gibt Unternehmen Empfehlungen, um Chance eines erfolgreichen KI-gestützten Deepfake-Angriffs erheblich zu mindern

datensicherheit.de, 21.05.2024
Deepfakes: Paragraf zum Persönlichkeitsschutz soll im Strafgesetzbuch Aufnahme finden / Noch können Deepfakes erkannt werden – aber Optimierung schreitet voran

datensicherheit.de, 18.05.2024
Cyber-Angriff mittels Deepfake-Phishing: Mitarbeiter sensibilisieren, CEO-Imitationen zu erkennen! / Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht mit einer per Deepfake-Technologie gefälschten Stimme des CEO

[datensicherheit.de, 21.09.2023] Die Zentral- und Landesbibliothek Berlin (ZLB) lädt zu einer Online-Gesprächsreihe ein, welche sich mit der Bewahrung des digitalen Kulturerbes befasst: Die Auftaktveranstaltung mit dem Titel „Wie sammelt die ZLB digitales Kulturgut?“ findet am 5. Oktober 2023 statt. Bis zum Jahresende 2023 stehen noch zwei weitere Online-Talkrunden auf dem Programm: „Who is missing?“ am 7. November und „Think with us! Partizipation in der Webarchivierung“ am 5. Dezember 2023, jeweils um 18 Uhr.

Abbildung: ZLB

Bewahrenswertes Digital-Vermögen: Kultur liegt zunehmend in digitaler Form vor und Digitales repräsentiert Kultur unserer Zeit!

Ab Herbst 2023 gesetzlicher Auftrag, digitale Publikationen aus Berlin zu sammeln und zu bewahren

Kultur liegt zunehmend auch in digitaler Form vor und Digitales repräsentiert die Kultur unserer Zeit: Dazu gehören u.a. Blogs, Webseiten, PDFs, E-Books, E-Journals, E-Papers… Die Formate und Inhalte digitaler Veröffentlichungen sind gewiss so vielfältig, wie die Menschen, welche sie benutzen.

Ab Herbst 2023 hat die sogenannte digitale Landesbibliothek den gesetzlichen Auftrag, digitale Publikationen aus Berlin zu sammeln und zu bewahren. Die Vorbereitungen dafür laufen demnach seit drei Jahren.

Einführung in aktuelle Arbeitsweise der digitalen Landesbibliothek

In diesem Zusammenhang stehen zahlreiche Fragen im Raum: „Aber wie kommt das E-Book in die digitale Landesbibliothek? Was wird ab Ende des Jahres gesammelt? Warum wird anderes (noch) nicht gesammelt? Wie funktioniert die Ablieferung digitaler Publikationen? Und wo und wie sind sie dann auffindbar?“

Im Rahmen der Online-Veranstaltung soll die aktuelle Arbeitsweise der digitalen Landesbibliothek vorgestellt werden, wie auch ihre Kooperationen mit der Deutschen Nationalbibliothek und das E-Pflicht-Portal zur Ablieferung.

Auftakt am 5. Oktober 2023: Wie die ZLB digitales Kulturgut sammelt

„#1 Wie sammelt die ZLB digitales Kulturgut?“
Donnerstag 05.10.2023, 16.00Uhr, online, in Deutsch
Anmeldung erforderlich per E-Mail an leonie [dot] rodrian [at] zlb [dot] de

„Im Anschluss beantworten wir Fragen und freuen uns über Rückmeldungen.“ Außerdem möchten die Organisatoren mit Interessierten in einem aktiven Format darüber diskutieren, wie digitale Kulturgutbewahrung in der Zukunft aussehen soll: „Welche Formate spielen in Ihrer und Eurer digitalen Praxis eine Rolle und müssen in 200 Jahren unbedingt noch zugänglich sein?“

Weitere Informationen zum Thema:

zlb
Digitales Kulturgut / Collect and Connect

[datensicherheit.de, 12.05.2022] Digitale Technologie werde mittlerweile überall auf der Welt eingesetzt und kein Kontinent bleibe unberührt. „Obwohl es unglaublich schwierig ist, den Wert der digitalen Wirtschaft zu beziffern, wird er nach verschiedenen Schätzungen der Vereinten Nationen (UNO) auf etwa vier bis 15 Prozent des weltweiten Bruttoinlandsproduktes (BIP) geschätzt“, berichtet Daniel Fried, „GM & SVP EMEA and Worldwide Channels“ bei Veeam Software, in seiner aktuellen Stellungnahme zum Datenschutz als Ausdruck von Kultur. Ideen, wie dauerhafte Konnektivität und „Cloud“ hätten im Allgemeinen dazu gedient, die Globalisierung zu fördern und eine verbindende Rolle für Menschen und Unternehmen in verschiedenen Teilen der Welt zu spielen. „In den letzten Jahren haben wir jedoch festgestellt, dass die kulturellen Unterschiede immer deutlicher hervortreten“, so Fried.

Foto: Veeam Software

Daniel Fried ist überzeugt, dass es bei Technologie und Wirtschaft immer um Menschen geht!

Datenschutz als ein Menschenrecht im EMEA-Gebiet

Vor allem im sogenannten EMEA-Gebiet (Wirtschaftsraum Europa, Naher Osten und Afrika) – angeführt vom Europäischen Gerichtshof (EuGH) – sei die Idee, „dass Daten problemlos von einem Ort zum anderen fließen dürfen“, stark in Frage gestellt worden. In diesem Teil der Welt sei der Schutz der Privatsphäre ein Menschenrecht, welches im Widerspruch zum Konzept der frei fließenden Daten und der sogenannten Sharing Economy stehe.

Die im Mai 2018 verabschiedete Datenschutz-Grundverordnung (DSGVO) sei das erste Beispiel für einen wirklich robusten und strafbewehrten Rechtsrahmen, welcher auf gemeinsamen Grundsätzen des Datenschutzes beruhe. Fried kommentiert: „Mehr als drei Jahre später zeigt die DSGVO weiterhin ihre Zähne und Unternehmen, die sie nicht einhalten, müssen mit hohen Geldstrafen rechnen.“

Allzu oft würden deshalb solche Vorschriften wie die DSGVO und die kürzlich erfolgte Aufhebung des „Privacy Shield“ durch die EU im Jahr 2020 als Hindernisse angesehen. Fried: „Dies liegt möglicherweise daran, dass Daten die Währung der digitalen Wirtschaft sind und Einschränkungen ihrer Nutzung als Angriffe auf kapitalistische Freiheiten und Innovationen angesehen werden.“

Datenschutz: Kommerzielle Datennutzung muss geregelt werden

Dies sei jedoch eine verengte Sichtweise auf das, „was die digitale Wirtschaft wirklich ist“. Daten würden oft als „Währung“ von hochgradig monetarisierbaren Rohstoffen wie Öl und Gold bezeichnet.

„Sie unterscheiden sich jedoch stark von diesen Werten, denn sie reichen in ihrer Eigenschaft von ,höchst vertraulich‘ und ,sehr persönlich‘ bis hin zu ,unentzifferbar‘ und ,völlig nutzlos‘. Ihr Wert schwankt somit und ist vom jeweiligen Standpunkt abhängig“, erläutert Fried und führt weiter aus:

„Was Daten, insbesondere personenbezogene Daten, mit unpersönlichen Objekten wie Öl und Geld gemeinsam haben, ist, dass ihre kommerzielle Nutzung geregelt werden muss.“

Datenschutz und Vertrauen kulturelle Eckpfeiler der europäischen Gesellschaft

Genauso wie Banken auf das Geld ihrer Kunden aufpassen müssten, seien Unternehmen, die Daten nutzen, um wertvolle, verwertbare Erkenntnisse zu gewinnen, verpflichtet, diese Daten zu schützen. Es handele sich um einen Gesellschaftsvertrag, der durch Verordnungen wie die DSGVO gesetzlich durchsetzbar werde.

Um in EMEA-Gebiet daher wirklich erfolgreich zu sein, müssten Technologie- und „Cloud“-Anbieter verstehen, „dass Datenschutz und Vertrauen ein kultureller Eckpfeiler der europäischen Gesellschaft sind“. Sowohl globale als auch regionale Anbieter müssten sich der Feinheiten des europäischen Datenschutzes und der Souveränität der Bürger bewusst sein, um die Erwartungen ihrer Kunden angemessen erfüllen zu können.

Das von Vertretern aus Wirtschaft, Wissenschaft und Politik initiierte Projekt „GAIA-X“ beispielsweise habe zum Ziel, einen Vorschlag für eine europäische Dateninfrastruktur der nächsten Generation zu erarbeiten. Fried unterstreicht: „Die Vision ist es, ein digitales Ökosystem zu schaffen, in welchem Daten und Dienste in einer vertrauensvollen Umgebung für Europa und darüber hinaus zur Verfügung gestellt, gesammelt und gemeinsam genutzt werden können.“

Kulturelle Einstellungen zum Datenschutz auf der ganzen Welt als Herausforderung für große Technologie-Unternehmen

Die Auswirkungen auf „Cloud“-Anbieter, welche im EMEA-Gebiet tätig sind, könnten schädlich sein, „wenn der Eindruck entsteht, dass ihre eigenen Methoden der Datenerfassung, des Datenaustauschs und des Datenschutzes nicht mit den europäischen Datenschutzwerten übereinstimmen“.

Fried macht deutlich: „Dies ist ein gutes Beispiel für meine Überzeugung, dass es bei Technologie und Wirtschaft immer um Menschen geht.“ Die kulturellen Einstellungen zum Datenschutz auf der ganzen Welt seien eine Herausforderung, mit der sich die großen Technologie-Unternehmen noch immer auseinandersetzen müssten. Sie habe eine immense und komplexe Geschichte, die auf den sozialen, politischen und wirtschaftlichen Erfahrungen jeder einzelnen Nation beruhe.

„Tatsache ist, dass der Schutz der Privatsphäre ein Menschenrecht ist, das von großen Technologie-Unternehmen nicht mit Füßen getreten werden darf“, so Fried abschließend. Vor allem die „Cloud“-Branche müsse sich dies zu eigen machen und nicht dagegen ankämpfen, wenn sie das rasante Wachstum des letzten Jahrzehnts fortsetzen möchte.

Weitere Informationen zum Thema:

datensicherheit.de, 29.04.2020
KnowBe4-Studie: Führungskräfte schätzen starke Sicherheitskultur / Definition und Umsetzung sind jedoch umkämpft

datensicherheit.de, 17.09.2019
CI4-Akteur Dirk Pinnow: Sicherheit 4.0 undenkbar ohne Lernkultur / Auf dem Weg zur Industrie 4.0 bevorzugt aus fremden Fehlern lernen, aber auch auf Zwischenfälle gut vorbereitet sein

[datensicherheit.de, 08.01.2022] Cyber-Angriffe breiten sich offensichtlich immer weiter aus und verursachen Chaos in Unternehmen, die versuchen, mit dem Schutz ihrer Systeme, Netzwerke und Infrastruktur Schritt zu halten. Mitarbeiter gelten dann zumeist als die sogenannte letzte Verteidigungslinie, wenn es um den Schutz von Unternehmen geht, denn bekanntermaßen kann ein falscher Klick auf einen Link oder das Herunterladen eines bösartigen Anhangs im schlimmsten Fall das gesamte Unternehmen zu Fall bringen. Erich Kron, „Security Awareness Advocate“ bei KnowBe4, geht in seiner Stellungnahme nachfolgend auf die besten Möglichkeiten für Unternehmen ein, Mitarbeiter für die Abwehr von Cyber-Angriffen zu schulen.

Foto: KnowBe4

Erich Kron: Thema Sicherheit in den täglichen Gewohnheiten der Mitarbeiter verankern!

Häufige und konsequente Schulungen zum Sicherheitsbewusstsein durchführen!

Krons Rat: „Sicherheitsexperten in Unternehmen schulen ihre Mitarbeiter am besten darin, nach Cyber-Angriffen Ausschau zu halten, indem sie häufige und konsequente Schulungen zum Sicherheitsbewusstsein durchführen.“
Wenn die Unternehmen ihren Mitarbeitern simulierte Phishing-Angriffe sendeten, dann verstünden diese, wie ein echter Cyber-Angriff aussehen könnte.
So könnten sie diese Fähigkeit auf eine Weise üben, „die für das Unternehmen kein Risiko darstellt“. Eine geeignete Meldestruktur für Mitarbeiter, welche verdächtige Phishing-E-Mails, Vishing-Anrufe oder andere Arten von Angriffen melden, sei ebenfalls entscheidend für die Sicherheit eines Unternehmens.

Vorbereitet sein, dass Mitarbeiter im Home-Office schlechte Sicherheitspraktiken anwenden!

Die Herausforderungen bei der Abwehr von Cyber-Angriffen seien durch die Popularität der Fernarbeit im Zuge der „COVID-19-Pandemie“ erheblich gestiegen. Aus diesem Grund sei die Kommunikation zwischen Unternehmen und Mitarbeitern von größter Bedeutung. „In einer klaren Kommunikation sollte dargelegt werden, welche Erwartungen an die Mitarbeiter gestellt werden, die zu einer Remote-Arbeitsstruktur übergegangen sind, und wie diese logistisch funktionieren wird“, betont Kron.
Es könne vorkommen, dass Mitarbeiter bei der Fernarbeit schlechte Sicherheitspraktiken anwendeten. „Beispielsweise nutzen sie ihre Geräte gemeinsam, haben Unternehmensdaten auf persönlichen Geräten, sperren ihren Computer nicht, wenn sie ihn unbeaufsichtigt lassen oder nutzen Unternehmensgeräte für private Zwecke“, erläutert Kron. Diese Arten von Problemen würden oft übersehen werden. Abgesehen von der Technologie könnten auch physische Aufzeichnungen und „Assets“ den Weg in die Wohnungen der Mitarbeiter gefunden haben.
Es sei auch schwierig festzustellen, „ob sensible Informationen ausgedruckt und gesichert oder sicher entsorgt wurden“. Aus technologischer Sicht sei es ratsam, die Unternehmensgeräte, die über einen längeren Zeitraum nicht mit dem Unternehmensnetz verbunden waren, „auf ihre ,Hygiene‘ zu überprüfen und sicherzustellen, dass sie gepatcht sind und keine unerwünschten oder bösartigen Anwendungen enthalten“.

Konsequenter Aufbau einer Sicherheitskultur!

„Es ist entscheidend, dass die Richtlinien einer Organisation den Mitarbeitern klar vermittelt und auf leicht verständliche Weise wiederholt und verstärkt werden.“ Eine einmalige Schulung zu einem beliebigen Aspekt, sei es Sicherheit, Umstellung auf Fernarbeit oder neue Verfahren, reiche indes nicht aus. Vielmehr sollten Unternehmen dies weniger als Schulung, sondern vielmehr als eine Art interne Marketingmaßnahme betrachten, „bei der kleine, leicht verdauliche Botschaften über einen längeren Zeitraum hinweg über verschiedene Kommunikationskanäle vermittelt werden“.
Kron führt aus: „Eine starke Sicherheitskultur entsteht, wenn die Mitarbeiter verstehen, warum Sicherheit wichtig ist, und wenn sie über die Mittel und die Ausbildung verfügen, um ihre Aufgaben auf sichere Weise zu erledigen.“
Das Thema Sicherheit sollte in den täglichen Gewohnheiten der Mitarbeiter verankert sein und durch Botschaften von Führungskräften innerhalb des Unternehmens verstärkt werden. „Nur dann kann am ,Safer Internet Day‘ – und an jedem anderen Tag des Jahres – mit dem nötigen Maß an Sicherheit gearbeitet werden“, so Kron abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 14.09.2020
Mitarbeiter-Zugriff: 45% nutzen Privatgeräte für Unternehmensdaten / Studie von Trend Micro: Über 13.000 Remote-Mitarbeiter in 27 Ländern befragt

datensicherheit.de, 09.09.2020
kaspersky-Training zeigt: Mitarbeiter überschätzen eigene IT-Kenntnisse / Mitarbeiter machen 90 Prozent der Fehler – aber in der Überzeugung, das Richtige zu tun

datensicherheit.de, 01.09.2020
Mitarbeitergeräte: Tickende Zeitbomben nach dem Home-Office / Wechsel vieler Mitarbeiter in das Home-Office zu Beginn der „Corona“-Kontaktbeschränkungen oft überhastet

[datensicherheit.de, 19.06.2020] Kürzlich das bayerische Kultusministerium – und jetzt auch das Schweizer Medieninstitut für Bildung und Kultur, die Genossenschaft educa.ch: „Stück für Stück erobert der amerikanische Software-Gigant Microsoft staatliche Kultusbehörden in Europa“, kritisiert Andrea Wörrlein, Geschäftsführerin und Verwaltungsrätin bei der Virtual Network Consult AG (VNC) mit Sitz in der Schweiz, Deutschland und Indien. Nach eigenen Angaben entwickelt VNC auf Open Source basierende Unternehmensanwendungen und möchte sich „als offene und sichere Alternative zu den etablierten US-Softwaregiganten“ positionieren.

Foto: VNC

Andrea Wörrlein: Open Source als offene und sichere Alternative zu etablierten US-Softwaregiganten

Teurer Rückschritt: Mitarbeiter persönlich zu lizensieren

Über die Bedingungen und Konditionen des Rahmenvertrags sei nur soviel bekannt, „dass jetzt jeder Mitarbeiter persönlich lizensiert werden muss“.
Die Gesamtkosten dafür lägen insgesamt in einem zweistelligen Millionenbereich in Schweizer Franken. Diese Entscheidung sei ein teurer Rückschritt gegenüber der vorherigen Vollzeitäquivalent-Pauschale, so Wörrlein.

Open Source steht für Transparenz und Offenheit

Um so unverständlicher, dass die Behörde dazu angeblich ebenso wenig exakte Angaben machen könne (oder wolle) wie zu datenschutzrechtlichen Fragen. Wörrlein: „Mit Transparenz und Offenheit, wie wir das aus der Open-Source-Szene kennen, hat das wenig zu tun.“
Die Frage, warum sich immer mehr staatliche Bildungsorganisationen „in die kostspielige Abhängigkeit von proprietären US-Systemen begeben, statt europäischen Alternativen eine faire Chance zu geben“, erwartet nach Ansicht der VNC-Geschäftsführerin „dringend plausible Antworten“.

Weitere Informationen zum Thema:

VNClagoon
Blog

datensicherheit.de, 20.11.2014
Ponemon-Studie: IT-Fachkräfte bevorzugen Open-Source-Software

[datensicherheit.de, 03.12.2010] Am 25. Oktober 2010 stellte die Redaktion von datensicherheit.de erste Überlegungen für ein „10-Punkte-Diskussionspapier zum gesellschaftlichen FairPlay im Informationszeitalter“ online, aus dem am Ende ein umfassendes Positionspapier entstehen soll. In lockerer Reihenfolge werden nun die einzelnen Punkte ausgearbeitet und zur weiteren Diskussion und Modifikation vorgestellt:

2. Nein zu Macht- und Größenwahn!
Das Internet als hochdynamisches Netzwerk von Netzwerken muss Menschen aller Erdteile, Regionen und Kulturen gleichberechtigt und in gleicher Verantwortung zur Verfügung stehen.

Das Internet befindet sich erst am Anfang seiner Entwicklung – viefach stehen doch noch immer spielerische Aspekte im Vordergrund, vernebeln Unterhaltungsanwendungen das Wertschöpfungspotenzial dieses globalen Netzwerks von Netzwerken. Die symbolhafte Darstellung des Internets als Wolke („cloud“) verdeutlicht sehr gut, dass es schwer zu fassen ist, ständig Umfang und Form verändert – und eben keinen zentralen Eigentümer oder Verwalter hat.

Das Internet ist per se international orientiert. Alle Versuche von Staaten, daraus abkapselnd einen überwachten, angeblich geschützten Bereich als nationales Extranet zu schaffen, erscheinen angesichts der System- und Strukturkrise insbesondere der westlichen Industriestaaten geradezu als absurd – will man etwa mental zurück ins 19. Jahrhundert?
Man stelle sich vor, bei dem Aufkommen der Telefonie hätten die Staaten damals überregionale Gespräche verboten, weil sich ja per Telefon Terroristen (ehedem „Anarchisten“) oder gewöhnliche Kriminelle hätten verabreden bzw. von Bürgern im damaligen Verständnis unflätige Äußerungen hätten ausgetauscht werden können… Dann wäre die Telefonie auf reine Interhaus-Anwendungen in Betrieben und Behörden beschränkt geblieben und hätte nie nationale oder gar internationale Bedeutung erlangt.
Für eine weitere Analogiebetrachtung bietet sich die Briefpost an – eigentlich müsste man doch angesichts von Droh- und Erpessungsbriefen, betrügerischen Angeboten, Hetzpamphleten etc., die noch immer immer in Papierform versendet werden, nun konsequenterweise fordern, dass bei allen Briefen, Postkarten, Bücher- und Warensendungen usw. zumindest die Absender- und Empfängeradresse gescannt und für Jahre auf Vorrat gespeichert werden? In der Zeit des „Kalten Krieges“ gab es ja wohl in Ost wie West staatliche Zensurstellen bei der Post, die grenzüberschreitende Sendungen prüften; das Know-how dürfte also noch vorhanden sein.

Wir wissen aber aus der Geschichte, dass technisch und organisatorisch ausgelebter Überwachungswahn volkswirtschaftlich finanziert werden muss. Es mag technisch möglich sein, die Freiheit des Internets zu erdrosseln und damit die Entfaltung des Wertschöpfungspotenzials zu ersticken – letztlich würde dies aber das betreffende System als historischen Fehler der menschlichen Entwicklung entlarven und dieses mit der Zeit auf den „Müllhaufen der Geschichte“ befördern, auf dem schon so viele von Macht- und Größenwahn getriebene Regime gelandet sind.

Unter Punkt 1 haben wir bereits ausgeführt, dass es beim „Cyberspace“ keineswegs um einen oft so polemisch kolportierten „rechtsfreien Raum“ geht – aber noch vor der Erörterung technischer Schutzmaßnahmen und rechtlicher Regeln geht es vor allem um einen von Verantwortung geprägten, mit Sicherheitskultur erfüllten Raum!
Ebenso wie es keiner nationalstaatlichen oder multinationalen Institution ansteht, sich des Internets zu bemächtigen, muss der Besitzgier eines Oligopols aus Providern von IT-Diensten und deren Streben nach der Deutungshoheit über das Internet entschieden begegnet werden!

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2010
datensicherheit.de entwickelt Positionspapier zum gesellschaftlichen FairPlay im Informationszeitalter / Einbindung der Leserschaft und der Kooperationspartner

[datensicherheit.de, 05.05.2009] Gerne wird das Thema „Datensicherheit“, also die sichere Erhebung, Verarbeitung, Abspeicherung, Versendung und Nutzung von Informationsträgern, auf rechtliche und technische Aspekte reduziert – mit dem Ergebnis eines Unzufriedenheit stiftenden Unbehagens. An Gesetzen und Technik besteht doch nun wahrlich kein Mangel in unserer Zeit!
Wäre es nicht für eine Bürgergesellschaft des 21. Jahrhunderts zukunftstauglicher, vorrangig Gesetze und Verordnungen auf ihre Brauchbarkeit hin zu prüfen und dann auf ein Mindestmaß zu reduzieren, anstatt immer wieder neue Gesetze bzw. Gesetzesänderungen durch die Legislative zu peitschen, ganz so, als tagte noch das altehrwürdige 1848er-Paulskirchenparlament und müsste erst noch eine grundlegende Rechtsordnung geschaffen werden?
Es lohnt sich schon, gelegentlich das „Grundgesetz“ in die Hand zu nehmen und Artikel 1 (1), „Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.“, zu lesen, zu verstehen und danach zu handeln; so auch bei der gegenwärtigen Diskussion um die Sperrung des Zugangs zu Websites mit mutmaßlich kinderpornographischem Inhalt.
Was vor 20 Jahren mit der DDR in der materiellen Welt scheiterte, kann doch jetzt nicht Erfolgsrezept im virtuellen Raume werden: Niemand wird ernsthaft bestreiten, dass alle menschliche Abgründigkeit sich auch im Internet spiegelt und es dort auch kriminelle und perverse Inhalte gibt, die mit keinem noch so liberalen Verständnis mehr in Einklang zu bringen sind; dagegen jetzt aber eine virtuelle Sperre als Lösung des Problems anzubieten, kann nur blinder Aktionismus sein, der das eigentliche Ziel, nämlich den realen Schutz von Kindern bzw. gar deren Rettung, aus den Augen verloren hat!
Da könnten Deutschlands Städte ja gleich auch um alle ihre Viertel mit Kriminalitätsschwerpunkten Mauern bauen, weil man sich gegenüber Glücksspiel, Drogen-, Menschen- oder Waffenhandel ohnmächtig fühlt und diese Ohnmacht in Beton gießt. Statt also gegen die eigentlichen Kriminellen vorzugehen, werden alle Bürger, die sich diesem neuen „Sperrgebiet“ auch nur nähern, unter Generalverdacht gestellt und hysterisch zu Handlangern des Verbrechens gestempelt.
Wenn die Mehrheit der Bürger dieses Landes und auch hoffentlich der den Bürgern eigentlich dienenden Behörden die Kernaussage des Artikels 1 GG (s.o.) ernst nimmt, sollte es doch wohl möglich sein, gegen die Betreiber von Websites mit nachgewiesen kriminellem Inhalt entschieden vorzugehen und sich nicht nur vor Wahlen um Rettung und Wohl der Opfer, der gequälten Kinder, nachhaltig zu bemühen.
Die Technik zur Ermittlung, Beweissicherung und Bekämpfung virtueller wie realer Kriminalität ist da. Angesichts der Milliardensummen, mit denen dieser Tage sonst so locker jongliert wird, bleibt es ein Rätsel, wieso unsere
Strafverfolgungsbehörden häufig so unzureichend ausgerüstet sind.
Es ist eben eine kulturelle Frage, wie wichtig wir unsere Grundordnung nehmen, wie breit der Konsens in elementaren Fragen ist, etwa zum Umgang mit hilfsbedürftigen Menschen in unserer Gesellschaft und zur Durchsetzung der Grundrechte auf physische und psychische Unversehrtheit Schutzbefohlener. Missbrauch und Misshandlung von Menschen sind jedes kultivierten und zivilisierten Gemeinwesens unwürdig! Ebenso deren Instrumentalisierung und die Aushebelung der Unschuldsvermutung. In zweifelsfrei erwiesenen Fällen könnte unser Staat sicher das Strafmaß verschärfen, wenn Leib und Leben anderer Menschen bedroht werden; aber auch die Verletzung der Reputation und Würde eines Menschen z.B. durch Vorverurteilung oder gar Vortäuschung eines Vergehens ist eine kriminelle Bedrohung der Existenz.
Im Andenken an 1989 tun wir gut daran, uns auf die bewährten Grundsätze dieses Staates zu besinnen und Aktionismus, Hysterie sowie Paranoia zu wehren und Kultur in den Alltag der Bürger, Behörden, Unternehmer und Politiker einkehren zu lassen. Das schafft dann Sicherheit und Wohlgefühl – mit weniger Formalismus und Technik.

Dirk Pinnow ist Mit-Initiator und -Herausgeber von datensicherheit.de

– Abdruck honorarfrei. Belegexemplar erbeten. –