[datensicherheit.de, 24.04.2025] Laut einer aktuellen Kaspersky-Umfrage unter Cyber-Sicherheitsexperten in Unternehmen in Deutschland zeigt sich ein klarer Bedarf an solchen Cyber-Sicherheitsstrategien, die über herkömmliche -Lösungen hinausgehen. „So halten 76 Prozent der Befragten Cyber-Immunität für eine sehr effiziente Strategie zum Schutz vor Angriffen auf Netzwerke und Systeme.“ Rund ein Drittel gehe davon aus, dass Cyber-Immunität entweder die Häufigkeit von Cyber-Angriffen (32%), deren negative Folgen (30%) oder beides (34%) reduzieren könne. Als Reaktion darauf hat Kaspersky angekündigt, das eigene Betriebssystem „KasperskyOS“ zu einer universellen Grundlage für die Entwicklung cyber-immuner Lösungen zu erweitern. Für diese Umfrage seien zwischen dem 27. Februar und 17. März 2025 weltweit insgesamt 850 Cyber-Sicherheitsexperten aus Unternehmen mit mindestens 500 Mitarbeitern befragt worden, darunter 50 Cyber-Sicherheitsverantwortliche in Deutschland.

Konzept der „Cyber Immunity“ für IT- und OT-Systeme erfordert „Security-by-Design“

Ziel der Kaspersky-Studie war es demnach herauszufinden, wie Unternehmen sich auf eine zunehmend unberechenbare Bedrohungslandschaft vorbereiten und welche neue Themen die Zukunft der IT-Sicherheit prägen. „Dabei ging die Studie der Frage nach, wie vertraut die Befragten mit dem Ansatz der Cyber-Immunität sind und wie sie dessen potenzielle Wirksamkeit für einen zuverlässigen Schutz vor Cyber-Bedrohungen einschätzen.“

Das Konzept der „Cyber Immunity“ beschreibt für Kaspersky jene IT- und OT-Systeme, welche aufgrund speziellerer Entwicklungsmethoden und architektonischer Anforderungen „secure-by-design“ sind und über eine eingebaute Widerstandsfähigkeit gegenüber Cyber-Angriffen verfügen. Dies minimiere die durch externe Cyber-Sicherheitslösungen verbundenen Kosten. „Demnach sind 78 Prozent der Befragten in Deutschland mit dem Begriff und dessen korrekter Bedeutung vertraut, davon 18 Prozent sogar sehr vertraut.“

„Von jenen, die den Ansatz der Cyber-Immunität kennen, halten 76 Prozent ihn für cyber-sicherheitsstrategisch sehr effizient, um die Möglichkeiten von Cyber-Kriminellen zu minimieren, in Unternehmensnetzwerke einzudringen und Systeme zu kompromittieren.“ Hinsichtlich der konkreten Vorteile zur Cyber-Abwehr sagt laut Kaspersky über ein Drittel (32%), dass Cyber-Immunität dazu beiträgt, die Häufigkeit von Cyber-Angriffen zu reduzieren und ähnlich viele (30%), dass diese die negativen Auswirkungen von Attacken reduziert. Ein weiteres Drittel (34%) halte beides für zutreffend.

Ablösung reaktiver Maßnahmen durch cyber-immune Sicherheitslösungen

Als Reaktion auf die gestiegene Nachfrage nach Cyber-Immunität in Unternehmen hat Kaspersky nun angekündigt, den Anwendungsbereich seines Betriebssystems „KasperskyOS“ von einer eingebetteten Plattform zu einer universellen Grundlage weiterzuentwickeln. „KasperskyOS wurde ursprünglich entwickelt, um Branchen, die einen besonders starken Schutz benötigen, den Aufbau von cyber-immunen Lösungen zu ermöglichen.“

Mittlerweile werde diese Plattform vielfältig und in allen Branchen mit modernen IT-Systemen eingesetzt und löse nicht nur Cyber-Sicherheitsherausforderungen, sondern verbessere auch die Widerstandsfähigkeit der Infrastruktur. Indem Kunden nun Lösungen direkt auf einer sicheren Plattform entwickeln könnten, eröffne ihnen Kaspersky einen bedeutenden Fortschritt in der Cyber-Sicherheit, der deutlich über das bloße nachträgliche Patchen von Schwachstellen und deren Behebung mit externen Cyber-Sicherheitslösungen hinausgehe.

„Die Ergebnisse unserer Umfrage bestätigen einen Wandel, den wir schon lange vorhergesagt haben: Unternehmen gehen über reaktive Tools hinaus und fordern Systeme, die secure-by-design sind“, so Dmitry Lukiyan, „Head of KasperskyOS Business Unit“. Er führt weiter aus: „Mit unserem Cyber-Immunity-Ansatz zur Entwicklung von ,Secure-by-Design’-Systemen gehen wir den nächsten Schritt: Wir erkennen Bedrohungen nicht nur, sondern verhindern sie strukturell. Durch die Erweiterung von ,KasperskyOS’ von einem eingebetteten System zu einer universell einsetzbaren Sicherheitsplattform helfen wir unseren Kunden, widerstandsfähige digitale Umgebungen aufzubauen, die einfacher zu verwalten und sicherer zu betreiben sind. Damit sind sie für die Herausforderungen von morgen gerüstet.“

Weitere Informationen zum Thema:

KasperskyOS
Operating system with Kaspersky Cyber Immunity properties for secure internet-enabled embedded systems

SWISSCYBERSECURITY.NET, 24.06.2024
Advertorial von BOLL: Cyber-Immunität schützt vor allen Bedrohungen

kaspersky, 13.02.2023
Kaspersky Cyber Immunity wird zum EU-Trademark (®)

kaspersky daily, Nikolay Pankov, 21.11.2019
Was versteht man unter Angewandter Cyberimmunität? / Was bedeutet Cyberimmunität in der Praxis und im industriellen Infrastrukturumfeld?

Computerworld, 28.02.2019
Swiss Cyber Security Days 2019 / Cyber-Immunität statt Cyber-Security / An den erstmals in Fribourg durchgeführten Swiss Cyber Security Days forderte IT-Sicherheits- Koryphäe Eugene Kaspersky in Anbetracht der Entwicklungen rund um Industrie 4.0 die Einführung von Cyber-Immunität. Simple Cyber-Security reiche nicht mehr.

[datensicherheit.de, 09.04.2025] Cyber-Bedrohungen entwickeln sich mit zunehmender Digitalisierung und Vernetzung rasant – mit den neuen Chancen erwachsen auch neue Risiken und die meisten Cyber-Angriffe haben vorrangig eine menschliche Komponente. Miro Mitrovic, „Area Vice President DACH“ bei Proofpoint, betont in seiner aktuellen Stellungnahme, dass sich rund 90 Prozent der Cyber-Angriffe auf menschliches Fehlverhalten zurückführen lassen. Um dieser Herausforderung zu begegnen, müssten Unternehmen ihre neuen Mitarbeiter von Anfang an in ihre Sicherheitsstrategie einbinden. Ein effektives Onboarding-Programm für Cyber-Sicherheit sei entscheidend, um neue Kollegen in die Lage zu versetzen, verdächtige Aktivitäten zu erkennen und angemessen darauf zu reagieren. Mitrovic gibt hierzu nachfolgend vier Tipps, mit denen deutsche Unternehmen ihre neuen Mitarbeiter bereits beim Onboarding in ihre Cyber-Verteidigung integrieren können.

Foto: Proofpoint

Miro Mitrovic: Ein flexibles Security-Awareness-Programm, das regelmäßig aktualisiert wird, ist darum unerlässlich!

Klare Definition eines Cyber-Vorfalls erforderlich

Mitrovic führt aus: „Ein wesentlicher Bestandteil jeder Einarbeitung sollte eine klare Definition dessen sein, was einen Cyber-Vorfall ausmacht – sei es eine ungewöhnliche Netzwerkaktivität, ein unbefugter Zugriffsversuch oder eine Phishing-Mail.“ Neue Mitarbeiter sollten ermutigt werden, verdächtige Aktivitäten sofort über die offiziellen Kanäle zu melden, damit das Sicherheitsteam schnell handeln kann. „Eine offene Kommunikationskultur, gepaart mit klaren Richtlinien, sorgt dafür, dass potenzielle Bedrohungen frühzeitig erkannt und entschärft werden.“

Cyber-Sicherheit sei keine exklusive Aufgabe der IT-Abteilung, sondern eine gemeinsame Verantwortung der gesamten Belegschaft. „Mit einem durchdachten Onboarding-Programm können Unternehmen nicht nur die Sicherheit ihrer Systeme verbessern, sondern auch eine nachhaltige Sicherheitskultur etablieren“, betont Mitrovic. Indem neue Mitarbeiter von Anfang an in die Sicherheitsstrategie eingebunden werden, könnten sie einen wertvollen Beitrag zum Schutz des Unternehmens leisten. Zu diesem Zweck gelte es die folgenden vier Tipps zu beachten:

1. Cyber-Sicherheitstipp: Kennwortsicherheit – die erste Verteidigungslinie stärken

Die Wahl eines sicheren Passworts sei eine der einfachsten und zugleich wirksamsten Maßnahmen, um unberechtigten Zugriff auf Unternehmenssysteme zu verhindern. Neue Mitarbeiter sollten lernen, einzigartige und komplexe Passwörter zu erstellen, die aus einer Kombination von Zahlen, Buchstaben und Sonderzeichen bestehen.

• Ergänzend sollte die Multi-Faktor-Authentifizierung (MFA) verpflichtend eingeführt werden, um eine zusätzliche Sicherheitsebene zu schaffen.

„Eine fundierte Einführung in das Thema Passwortsicherheit vermittelt nicht nur die technischen Grundlagen, sondern schärft auch das Bewusstsein dafür, dass jeder Einzelne aktiv zur Abwehr von Cyber-Bedrohungen beitragen kann.“

2. Cyber-Sicherheitstipp: Phishing und E-Mail-Betrug – Taktiken der Cyber-Kriminellen erkennen

Phishing-Angriffe gehörten zu den häufigsten Methoden Cyber-Krimineller, um an sensible Informationen zu gelangen. „Ob durch gefälschte E-Mails, SMS oder Anrufe – die Angreifer setzen auf psychologische Tricks, um Vertrauen zu schaffen und Mitarbeitende zur Preisgabe vertraulicher Daten zu bewegen.“

• Neue Kollegen sollten lernen, typische Warnsignale wie unerwartete Aufforderungen, verdächtige Links oder ein ungewöhnliches Branding zu erkennen.

Wichtig sei auch die Aufklärung über „Business Email Compromise“ (BEC) – eine raffinierte Methode, bei der sich Angreifer als Vorgesetzte oder Kollegen ausgeben. Grundsätzlich gilt laut Mitrovic: „Verdächtige Anfragen müssen immer persönlich über offizielle Kanäle bestätigt werden, bevor gehandelt wird!“

3. Cyber-Sicherheitstipp: Datenschutz und Gerätesicherheit – Schutz vertraulicher Daten

Der Schutz sensibler Unternehmensdaten beginne mit dem richtigen Umgang und der Sicherung von Geräten. Neue Mitarbeiter sollten umfassend über die Datenschutzrichtlinien des Unternehmens informiert werden.

• Dazu gehöre auch die Aufforderung, nur von der Organisation genehmigte Software zu verwenden, Geräte bei Nichtbenutzung zu sperren und verlorene oder gestohlene Geräte unverzüglich der IT-Abteilung zu melden.

Darüber hinaus sollten die Benutzer in sicherem Online-Verhalten geschult werden, beispielsweise öffentliche WLAN-Netzwerke zu meiden und Website-Adressen auf Sicherheitsmerkmale wie „https://“ und das Schlosssymbol hin zu überprüfen. „Diese einfachen Schritte tragen wesentlich dazu bei, die Angriffsfläche des Unternehmens zu minimieren.“

4. Cyber-Sicherheitstipp: Neu entwickelte Bedrohungen – Vorbereitungen auf das Unbekannte

Cyber-Kriminelle setzten zunehmend auf ausgeklügelte Taktiken wie KI-gestützte Angriffe, sogenannte Deepfakes und die Manipulation von Kollaborationstools wie „Teams“ oder „Slack“.

• Neue Mitarbeiter müssten für diese dynamischen Bedrohungen sensibilisiert werden und lernen, sich gegen täuschend echte Angriffe zu wappnen.

„Ein flexibles Security-Awareness-Programm, das regelmäßig aktualisiert wird, ist darum unerlässlich“, unterstreicht Mitrovic abschließend. Denn nur so könnten Unternehmen sicherstellen, dass ihre Mitarbeiter auf die neuesten Angriffsmethoden vorbereitet sind und schnell angemessen reagieren können.

Weitere Informationen zum Thema:

datensicherheit.de, 14.02.2025
Datenschutz-Schulungen: Ein Drittel der Unternehmen versäumt es, Mitarbeitern Aktualisierungen anzubieten / Zwar 87 Prozent der Unternehmen ihren Mitarbeitern Datenschutz-Schulungen an, aber nur 68 Prozent aktualisieren diese Materialien regelmäßig

datensicherheit.de, 09.12.2024
Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf / Sicherheitsteams sollten Anwendung von Identity-Security-Kontrollen neu überdenken

datensicherheit.de, 18.05.2024
Cyber-Angriff mittels Deepfake-Phishing: Mitarbeiter sensibilisieren, CEO-Imitationen zu erkennen! / Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht mit einer per Deepfake-Technologie gefälschten Stimme des CEO

datensicherheit.de, 26.11.2023
IT – Interner Täter: Mitarbeiter noch größere Gefahr als Hacker / In den vergangenen zwei Jahren mehr als ein Drittel aller Cyber-Sicherheitsvorfälle in Deutschland auf Fehlverhalten von Mitarbeitern zurückzuführen

datensicherheit.de, 04.04.2023
Selbstüberschätzung: Mitarbeiter gefährden Cyber-Sicherheit in Unternehmen / Mehr als die Hälfte der Erwachsenen in Deutschland der Meinung, überdurchschnittliche Kenntnisse in Sachen Cyber-Sicherheit zu besitzen

Von unserem Gastautor Greg Hansbuer, Regional Manager Germany Austria Switzerland at DataManagement

[datensicherheit.de, 31.03.2025] Die Umfrage „Preparedness Gap: Warum Cyber-Recovery einen anderen Ansatz erfordert als Disaster Recovery“ von Commvault und ESG aus dem Jahr 2024 unterstreicht die große Komplexität moderner Cyberresilienz. Nur 26 % der Befragten sind zuversichtlich, alle geschäftskritischen Anwendungen und Daten schützen zu können. Und nur 20 % sind überzeugt, alle für den Betrieb erforderlichen Apps und Daten zu schützen. 85 % geben an, dass eine Wiederherstellung ohne die Einrichtung einer Cleanroom-Umgebung ein erhebliches Risiko einer erneuten Infektion birgt. Ähnlich viele Befragte (83 %) befürchten, dass eine überstürzte Wiederherstellung nach einem Cyber-Vorfall wertvolle Beweise zerstören könnte. Die Lehre daraus? Konforme und zuverlässige Cyber-Resilienz und Backups sind keine leichte Aufgabe.

Cyberresilienz als Antwort auf immer raffiniertere Cyberangriffe

Mangelndes Risikobewusstsein bei gleichzeitig zunehmenden und immer raffinierteren Cyberangriffen machen eine solide Backup- und Recovery-Strategie für die Kontinuität des Geschäftsbetriebs unerlässlich. Die Bedrohung durch Ransomware, der anhaltende Trend zu SaaS-Anwendungen wie Office 365 und Salesforce und die Frage nach der Sicherheit von Cloud-Daten zeigen, dass ein funktionierendes Backup wichtiger denn je ist.

Greg Hansbuer, Regional Manager Germany Austria Switzerland at DataManagement Professionals, Bild: privat

Diese fünf Tipps helfen bei der Auswahl einer Backup-Lösung

1. Eine einzige Backup-Lösung einsetzen.
   Wenn sich Unternehmen bei einem Vorfall auf mehrere Backup-Pakete verlassen müssen, wirkt sich dies oft negativ auf die Qualität aus. Da Backups in Unternehmen lange Zeit vernachlässigt wurden, sind die Managementkapazitäten oft nicht ausreichend, um die Lösung ordnungsgemäß zu warten. Darüber hinaus kostet eine Lösung mit mehreren Paketen zusätzlichen Speicherplatz, da globale Effizienztechniken fehlen.
2. Sicherstellen, dass das Backup vollständig ist.
   Es klingt einfach, aber es passiert immer noch viel zu oft, dass IT-Teams vergessen, einen neuen Server in das Backup aufzunehmen. Dies kann aus verschiedenen Gründen geschehen, wie Arbeitsüberlastung oder Kommunikationsfehler. Ein vollständiges Backup ist jedoch unerlässlich, um Datenverluste zu vermeiden. Das Backup muss zu einem festen Bestandteil von Projekten und Implementierungen werden.
3. Eine Backup-Richtlinie erstellen.
   Auch dies ist eine Selbstverständlichkeit, aber allzu oft entspricht die Praxis nicht den Erwartungen. Grundlegende Fragen wie die Häufigkeit und Aufbewahrung von Backups gilt es zu besprechen und die Ergebnisse festzuhalten. Ebenso ist darauf zu achten, dass die Anforderungen und Wünsche jährlich mit dem Setup übereinstimmen.
4. Neueste Technologie für die Backup-Lösung einsetzen.
   Infrastruktur, Virtualisierung, Container, Microservices, Cloud und Serverless – dies sind nur einige der Stichworte des modernen IT-Alltags. Geschäftskritische Daten in allen Umgebungen müssen gesichert werden. Die IT-Abteilung muss sicherstellen, dass ihre Backup-Lösung dafür eingerichtet ist. Dies erfordert es, bei der Einführung neuer Technologien frühzeitig in einem Projekt oder Prozess das Thema Backup aktiv anzusprechen. Zu berücksichtigen sind auch Aspekte wie Deduplizierung, Live-Wiederherstellung und Speicherintegration, um das Backup gut und effizient zu machen.
5. Testen, testen, testen
   Mindestens zweimal im Jahr ist es sinnvoll, eine Reihe von Szenarien zu testen. Nichts ist ärgerlicher, als nicht zu wissen, ob eine Wiederherstellung funktioniert oder wie lange sie dauert, wenn man sie wirklich braucht. Wenn möglich, ist es vorteilhaft, diese Tests zu automatisieren und sich Berichte erstellen zu lassen.
   Vermehrte Cyberkriminalität, die wachsende Unverzichtbarkeit digitaler Daten für den Geschäftsbetrieb und die wachsende Beliebtheit von Cloud-Services haben sich auch die Anforderungen für das Backup erweitert. Recovery muss sicherstellen, dass die Anforderungen der Behörden erfüllt werden und dass nur kontaminationsfreie Daten wiederhergestellt werden. Gerade für die Bereiche Disaster Recovery und Cyber Recovery bieten sich Cloud-Backups an, weil sie einem vom betroffenen Unternehmen getrennten Standort liegen. Die Daten sind meistens mit Air Gap und Verschlüsselungen besonders „gehärtet“ worden. Auch kann die Wiederherstellung eins Cloud-Backups in der Cloud effizient die Geschäftskontinuität sicherstellen.

Spezialisierte Anbieter stellen unterschiedliche Varianten der Offsite-Cloud-Speicherung bereit. Darüber hinaus bieten Hybrid-Cloud-Lösungen die Produktion der Apps, Files und Datenbanken als Notfallbetrieb an. Weitere wichtige Funktionen sind Compliance und Sicherheit. Cloud-Backups erfüllen gesetzliche Anforderungen (z.B. DSGVO) und bieten durch Verschlüsselungen sowie physische Sicherheitsmaßnahmen Schutz vor unbefugtem Zugriff.

Darüber hinaus skalieren Cloud-Lösungen besser als On-prem-Backups, die weiterhin für operationale Backup- und Restore-Tätigkeiten mit LAN-Geschwindigkeit notwendig bleiben, falls Unternehmen sich noch in der Cloud-Transformation befinden. Last but not least werden Kosten für den Betrieb eines weiteren Rechenzentrums sowie Hardware- und Admin-Kosten eingespart. In Summe muss eine Backup-Strategie die Risiken minimieren, Daten sicher speichern und langfristig den Geschäftsbetrieb gewährleisten.

Compliance-Fragen beim Backup

Ein aktuell kontrovers diskutiertes Thema ist die Fragestellung, ob deutsche bzw. europäische Unternehmen in erster Linie auf heimische Anbieter setzen sollten, wenn es um Backups in- bzw. aus der Cloud geht. Die klassischen US-Anbieter unterliegen dem CLOUD Act, der US-Behörden Zugriffsrechte auf gespeicherte Daten einräumt. Dies steht in krassem Widerspruch zur DSGVO. Das Trans Atlantic Data Privacy Framework (TADPF) sollte diesen Widerspruch überwinden, steht jedoch – auch aufgrund der aktuellen politischen Lage in den USA – auf instabilem Fundament. Fällt das TADPF, so entsteht quasi über Nacht ein Compliance-Risiko. Europäische Unternehmen sind also gut beraten, sich jetzt über alle Aspekte ihrer Cyber-Resilienz-Strategie Gedanken zu machen.

Weitere Informationen zum Thema:

DMP–Data Management Professionals
Your data in safe hands

[datensicherheit.de, 25.03.2025] KnowBe4 warnt in einer Stellungnahme vom 18. März 2025, dass den meisten Bildungseinrichtungen die Ressourcen für solide und umfassende Cyber-Sicherheitsprogramme fehlen – Grundlage für diese Erkenntnis ist der neue KnowBe4-Bericht „From Primary Schools to Universities, The Global Education Sector is Unprepared for Escalating Cyber Attacks“. Auch andere Cyber-Sicherheitsexperten teilen demnach die Sorge um die Cyber-Fragilität des Bildungssektors: Unter anderem habe Check Point Research festgestellt, dass dieser 2024 offenbar die am stärksten von Cyber-Angriffen betroffene Branche gewesen sei. In jedem Fall hat die Zahl der Cyber-Angriffe in diesem Sektor hat stark zugenommen.

Foto: KnowBe4

Stu Sjouwerman zum Thema „Human Risk“: Alle Personen mit Zugriff auf IT-Systeme sollten über die richtigen Tools, die richtige Ausbildung und das richtige Bewusstsein verfügen, um sich vor Cyber-Bedrohungen zu schützen!

Zentrale Ergebnisse des KnowBe4-Berichts zur Cyber-Bedrohung im Bildungssektor:

• Sowohl Schulen als auch Hochschulen verlassen sich bei „Software-as-a-Service“, „Cloud“-Speicherung und IT-Diensten häufig auf Drittanbieter
  Dies stelle ein Risiko dar, da Schwachstellen oder Verstöße in den Systemen von Drittanbietern zu einem späteren Zeitpunkt alle Einrichtungen betreffen könnten, die diese Dienste nutzen – häufig unbemerkt.
• Kombination moderner und alter IT-Systeme öffnet Einfallstor für Angreifer
  Die Suche nach einem Einfallstor für Angreifer werde durch die Tatsache erleichtert, dass Schulen und Universitäten aufgrund begrenzter Ressourcen und des zunehmenden Bedarfs an Modernisierungen häufig moderne und alte IT-Systeme miteinander kombinierten – „was dazu führen kann, dass hochsensible personenbezogene Daten auf veralteten Systemen verbleiben, die ausgenutzt werden können!“
• In ihrem „Data Breach Investigations Report (DBIR) 2024“ untersuchte Verizon insgesamt 30.458 Sicherheitsvorfälle
  Laut diesem Report waren von diesen 10.626 bestätigte Datenschutz-Verletzungen: Davon seien 1.780 Vorfälle (17%) Angriffe auf das Bildungssystem und 1.537 (14%) bestätigte Datenverstöße gewesen, womit das Bildungssystem zu den fünf am stärksten betroffenen Branchen weltweit zähle.
• Im Jahr 2023 beobachteten die Forscher von Trustwave 352 Ransomware-Angriffe auf Bildungseinrichtungen
  Phishing sei laut der betreffenden Trustwave-Studie die am häufigsten verwendete Methode, um in eine Organisation einzudringen.

Bildungseinrichtungen: Ein noch nie dagewesenes Maß an Cyber-Risiken

Der vorliegende KnowBe4-Bericht soll die erheblichen Auswirkungen von Sicherheitsschulungen auf die Verringerung des „Human Risks“ in Bildungseinrichtungen aufzeigen: „Nachdem sie ein Jahr oder länger an nachhaltigen Schulungen und Phishing-Simulationen teilgenommen hatten, sank die Anfälligkeit der Mitarbeiter in kleinen Bildungseinrichtungen für Phishing-Angriffe drastisch – von 33,4 Prozent auf 3,9 Prozent.“

„Die heutige Bildungsumgebung wird zunehmend digital, was die Angriffsfläche von Bildungseinrichtungen vergrößert und ein noch nie dagewesenes Maß an Cyber-Risiken schafft“, kommentiert Stu Sjouwerman, „CEO“ von KnowBe4. Er führt hierzu aus: „Bildungseinrichtungen sind aufgrund eines allgemeinen Ressourcenmangels unbeabsichtigt zu Hauptzielen für hochentwickelte Bedrohungsakteure geworden.“

Der am meisten konkrete und effektivste Schritt, den eine Bildungseinrichtung zum Schutz wichtiger und sensibler Daten unternehmen kann, besteht laut Sjouwerman darin, sicherzustellen, dass alle Personen, die auf die IT-Systeme zugreifen, über die richtigen Tools, die richtige Ausbildung und das richtige Bewusstsein verfügen, um sich vor Cyber-Bedrohungen zu schützen und das „Human Risk“ zu reduzieren.

Weitere Informationen zum Thema:

KnowBe4
From Primary Schools to Universities, the Global Education Sector is Unprepared for Escalating Cyber Attacks

TRUSTWAVE, Serhii Melnyk, 21.01.2025
The New Face of Ransomware: Key Players and Emerging Tactics of 2024

CHECK POINT, 13.08.2024
Research: Check Point Research Warns Every Day is a School Day for Cyber Criminals with the Education Sector as the Top Target in 2024

verizon business, 2024
Data Breach Investigations Report 2024

datensicherheit.de, 16.09.2020
Europas Bildungswesen vermehrt im Visier der Hacker / Verlagerung des Unterrichts ins Internet macht diesen Bereich sehr attraktiv für Hacker

datensicherheit.de, 07.09.2020
E-Learning: Bildungseinrichtungen vor Bedrohungen schützen / Matthias Canisius fordert „Sicherheitskultur des Misstrauens und der Wachsamkeit“ angesichts wachsender Bedrohungen durch Cyber-Angriffe

datensicherheit.de, 04.06.2020
DDoS: Bildungseinrichtungen im Dauerstress / Laut NETSCOUT besteht bezüglich Cybersecurity „immer Prüfungszeit“

datensicherheit.de, 12.05.2020
Cloud: Datenaustausch gefährdet IT-Sicherheit im Bildungssektor / 54 Prozent der Mitarbeiter in Bildungseinrichtungen nutzen Cloud-Anwendungen zum Austausch sensibler Daten

datensicherheit.de, 16.12.2018
Krypto-Jacking: Bedrohung vor allem für das Bildungswesen / NTT Security warnt vor Missbrauch von IT-Systemressourcen durch Cyber-Kriminelle

[datensicherheit.de, 18.03.2025] Aktuelle Erkenntnisse des Branchenverbands Bitkom e.V. deuten auf eine starke Zurückhaltung privater Internet-Nutzer in IT-Sicherheitsfragen hin: „Ob VPN-Zugang auf dem Smartphone oder Virenscanner auf dem PC – für den zusätzlichen Schutz der privaten digitalen Geräte gibt die Mehrheit der deutschen Internetnutzerinnen und -nutzer nur ein paar Euro im Monat aus, im Schnitt sind es 5,10 Euro.“

Abbildung: Bitkom e.V.

Ergebnisse einer Bitkom-Umfrage: Private Ausgaben für IT-Sicherheit

Repräsentative Befragung von 1.021 Internetnutzern Ende 2024 / Anfang 2025

Mehr als die Hälfte (56%) zahle weniger als fünf Euro monatlich, ein Viertel (25%) fünf bis zehn Euro und neun Prozent elf bis 20 Euro. Sechs Prozent nutzten kostenlose Sicherheitslösungen, Zwei Prozent wüssten es nicht oder wollten dazu nichts sagen. „Und weitere drei Prozent schützen ihre Geräte gar nicht.“

Dies seien Ergebnisse einer Befragung von 1.021 Personen ab 16 Jahren in Deutschland, die das Internet nutzen, im Auftrag des Digitalverbands Bitkom. Diese habe im Zeitraum von Kalenderwoche 49 2024 bis Kalenderwoche 2 2025 stattgefunden. Die Gesamtumfrage sei repräsentativ.

„Die Hersteller der Smartphone- und Computer-Betriebssysteme haben in der Vergangenheit viele Schutzfunktionen integriert. Dennoch sollte jeder zumindest seine Sicherheitseinstellungen prüfen und überlegen, an welchen Stellen auch kostenpflichtige Dienste einen Mehrwert bieten können – insbesondere wenn die Geräte für sensible Aufgaben wie etwa Online-Banking verwendet werden“, kommentiert Felix Kuhlenkamp, IT-Sicherheitsexperte beim Bitkom.

Internetnutzer machen es Cyber-Kriminellen oft zu leicht

Häufig machten es Internetnutzer Cyber-Kriminellen zu leicht: „So prüfen sieben Prozent ihre Online-Konten – wie etwa E-Mail, Online-Shopping oder Social-Media-Accounts – so gut wie nie auf verdächtige Aktivitäten, 24 Prozent seltener als einmal im Monat. Weitere 27 Prozent tun dies mindestens einmal im Monat, nur 29 Prozent mindestens einmal pro Woche und zehn Prozent täglich.“

Auch beim Installieren von Updates seien viele nachlässig: „Fünf Prozent machen das so gut wie nie, sechs Prozent nur dann, wenn es Probleme gibt, und weitere 20 Prozent unregelmäßig.“ Ein Drittel (35%) installiere hingegen regelmäßig Updates, 30 Prozent sogar unmittelbar nach Verfügbarkeit.

Kuhlenkamp führt aus: „So wie man zu Hause nicht Fenster und Türen offenlässt, so sollte man auch Smartphone und Computer vor unbefugten Eindringlingen schützen! Dazu gehört sowohl die Nutzung aktueller Softwareversionen als auch der Einsatz geeigneter Schutzsoftware gegen Phishing-Mails und Schadsoftware.“ Ebenso wichtig sei die regelmäßige Kontrolle von Accounts und Geräten auf verdächtige Aktivitäten.

Nur 37 Prozent der Internetnutzer in der Lage, ihre digitalen Geräte selbst ausreichend zu schützen

Viele fühlten sich mit dem Thema aber auch schlicht überfordert. Nur 37 Prozent sähen sich selbst in der Lage, ihre digitalen Geräte ausreichend vor Angriffen Cyber-Krimineller zu schützen.

„Und 54 Prozent wissen nicht, an wen sie sich wenden können, wenn sie Opfer von Cyber-Angriffen werden.“ Rund die Hälfte (48%) würde gerne eine Fortbildung zur Cyber-Sicherheit machen, um sich im Internet besser zu schützen.

„Wie man sich vor Cyber-Angriffen schützt, sollte bereits in der Schule vermittelt werden. Es gibt aber auch eine Vielzahl von Informations- und Schulungsmöglichkeiten, etwa bei Volkshochschulen oder in Online-Kursen. Wer sich schlecht vorbereitet fühlt, sollte sich dort anmelden“, rät Kuhlenkamp abschließend.

Weitere Informationen zum Thema:

bitkom
Oft hapert es bereits an einfachen Schutzmaßnahmen

[datensicherheit.de, 18.03.2025] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur nächsten Online-„Awareness“-Veranstaltung ein. Bei diesem Web-Seminar – mit dem Titel „Sicherheit wird bei uns im Unternehmen großgeschrieben! Oder?“ – soll demnach ein Anwendungsfall vorgestellt werden, bei dem ein Mitarbeiter dasselbe Passwort für private und berufliche Anwendungen verwendet…

Abbildung: it’s.BB e.V.

Der it’s.BB-Netzwerkpartner CCVOSSEL präsentiert anhand eines Fallbeispiels potenzielle Folgen und Schutz-Maßnahmen für Unternehmen

Die Unannehmlichkeit wird zum Albtraum für Unternehmen: Angreifer verschaffen sich Zugang

Was in diesem Fallbeispiel „als kleine Unannehmlichkeit“ beginnt, wird dann zu einem schieren Albtraum für sein Unternehmen: „Ein Angreifer verschafft sich Zugang und loggt sich unbemerkt in das Firmennetzwerk ein – und das während der regulären Arbeitszeiten.“

Der it’s.BB-Netzwerkpartner CCVOSSEL zeigt den Teilnehmern anhand dieses Beispiels, welche Folgen dies haben kann und welche Maßnahmen es zu verhindern helfen.

„Sicherheit wird bei uns im Unternehmen großgeschrieben! Oder?“

Mittwoch, 2. April 2025, von 16.00 bis 17.00 Uhr
Teilnahme kostenlos, Online-Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
– Alina Strybko, Netzwerkmanagerin it’s.BB e.V.

16.10-16.45 Uhr
„Geschichte aus der Praxis: Ein reales Szenario“
„Ein realer Hackerangriff in drei Akten: Wie externe Akteure und eine Reihe kleiner Fehler zu einem vollständigen Ausfall führten – und welche Maßnahmen diesen hätten verhindern können“
„Schwachstellenscan vs. Penetrationstest“
„Welche Maßnahmen empfehlen wir“
– Christian Hauses und Christian Lawicka, CCVOSSEL GmbH

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Zur Anmeldung:

eventbrite, it’s.BB e.V. (IT-Sicherheitsnetzwerk Berlin-Brandenburg)
Mittwoch, 2. April / Sicherheit wird bei uns im Unternehmen großgeschrieben! Oder?

[datensicherheit.de, 04.03.2025] Laut einer aktuellen Umfrage des Branchenverbands Bitkom e.V. ist die Mehrheit der Internetnutzer in Deutschland in den vergangenen zwölf Monaten Opfer von Cyber-Kriminalität geworden: „61 Prozent haben damit persönlich Erfahrung machen müssen, 36 Prozent blieben verschont.“ Dies sei das Ergebnis einer Befragung von 1.021 das Internet nutzenden Personen ab 16 Jahren in Deutschland im Auftrag des Digitalverbands Bitkom. Damit setze sich ein leicht rückläufiger Trend fort. Vor einem Jahr hätten noch 67 Prozent angegeben, Opfer von Cyber-Kriminalität geworden zu sein, vor zwei Jahren seien es sogar 75 Prozent gewesen. Die Umfrage habe im Zeitraum 49. Kalenderwoche 2024 bis zweite Kalenderwoche 2025 stattgefunden und sei repräsentativ.

Abbildung: Bitkom e.V.

Bitkom-Umfrage zur Cyber-Kriminalität: Betrug beim Online-Shopping, Phishing und Schadsoftware die häufigsten Delikte

Anstrengungen für Cyber-Sicherheit müssen erhöht werden – privat und in Unternehmen

„Die Bedrohungslage im Internet verschärft sich, die rückläufigen Zahlen deuten darauf hin, dass die Menschen aufmerksamer sind und sich besser schützen“, erläutert der Bitkom-Präsident, Dr. Ralf Wintergerst.

Aber weiterhin werde eine deutliche Mehrheit der Deutschen jedes Jahr Opfer von Cyber-Kriminellen. Dr. Wintergerst unterstreicht: „Wir müssen unsere Anstrengungen für Cyber-Sicherheit erhöhen, im Privaten und in den Unternehmen. Außerdem müssen unsere Behörden so ausgestattet werden, dass sie Kriminalität im Netz mindestens so gut bekämpfen können wie in der analogen Welt.“

Häufigste Cyber-Delikte: Betrug beim Online-Shopping, Phishing und Schadsoftware

Von drei Delikten sind Internetnutzer demnach am häufigsten betroffen: „36 Prozent wurden beim Online-Kauf betrogen, bei 30 Prozent haben sich Angreifer per Kurznachricht, Mail oder Telefonanruf durch sogenanntes Phishing persönliche Informationen verschafft und bei 24 Prozent wurden Smartphones oder Computer mit Schadprogrammen wie Viren infiziert.“ Dahinter folgten mit deutlichem Abstand das Ausspionieren von Zugangsdaten für Onlinedienste (9%) sowie der Betrug von Verkäufern beim Online-Handel (6%).

Bei fünf Prozent hätten sich andere im Internet unter ihrem Namen ausgegeben, fünf Prozent seien Konto- oder Kreditkartendaten im Internet gestohlen und missbraucht worden, drei Prozent seien online sexuell belästigt worden, zwei Prozent persönlich bedroht. Auch von neuen Angriffen mit Hilfe Künstlicher Intelligenz (KI) werde berichtet – so seien drei Prozent mit einem sogenannten Deepfake getäuscht worden, also einem KI-generierten Video oder Foto. Am Ende der Rangliste rangierten die Infektion des eigenen Computers oder Smartphones mit Ransomware sowie die unberechtigte Nutzung des eigenen Online-Bankings (je 2%).

Quishing als neuer Cyber-Angriffsvektor

Ebenfalls zwei Prozent seien Opfer einer neuen Betrugsmasche geworden, bei der Offline- und Online-Welt miteinander verschwimmen würden – dem sogenannten Quishing. Dabei würden QR-Codes verteilt, etwa auf vermeintlichen amtlichen Schreiben oder Strafzetteln an Autos. Wer diese mit dem Smartphone einscannt, werde auf eine betrügerische Online-Seite geleitet und dort zum Beispiel zur Zahlung von Gebühren oder zur Eingabe persönlicher Daten verleitet. „Betrug mit QR-Codes ist ein Beispiel dafür, wie Cyber-Kriminelle immer neue Wege finden, um Menschen zu täuschen und ihnen Schaden zuzufügen. Quishing ist noch zu wenig bekannt und darüber müssen wir mehr informieren“, so Dr. Wintergerst.

Im Durchschnitt sei den Opfern von Cyber-Kriminalität in den vergangenen zwölf Monaten ein Schaden von 219 Euro entstanden. 60 Prozent der Betroffenen gäben an, dass ihnen persönlich ein Schaden entstanden sei – „dieser beträgt im Schnitt 181 Euro“. Vier Prozent sagten, dass ein Schaden von Dritten übernommen worden sei, etwa einem Online-Händler oder der Bank. Deren durchschnittlicher Schaden liege bei 609 Euro. Bei einem Viertel (25%) sei kein finanzieller Schaden entstanden, 13 Prozent hätten dazu keine Angaben machen wollen oder können.

Cyber-Kriminalität mit hoher Dunkelziffer

Nur rund ein Viertel (26%) der von Cyber-Kriminalität Betroffenen hätten Strafanzeige bei der Polizei erstattet. Acht Prozent hätten sich an andere Behörden gewandt, wie etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI), und drei Prozent hätten einen Rechtsanwalt aufgesucht. „Bei Cyber-Kriminalität haben wir in den offiziellen Statistiken eine hohe Dunkelziffer, weil viele Menschen sich nicht an Behörden wenden oder juristische Schritte ergreifen“, erläutert Dr. Wintergerst.

Häufiger suchten Betroffene Hilfe im persönlichen Umfeld oder änderten persönliche Verhaltensweisen. Fast die Hälfte (46%) habe das Gespräch mit Freunden oder Familie gesucht, 39 Prozent hätten Passwörter oder andere Sicherheitsinformationen geändert, elf Prozent hätten durch Social-Media-Posts oder Beiträge auf Online-Plattformen auf die kriminellen Vorgänge aufmerksam gemacht und drei Prozent seien auf Forderungen der Kriminellen wie etwa Lösegeldzahlungen eingegangen. „Zudem haben sich 42 Prozent an das Unternehmen gewandt, dessen Plattform für die kriminellen Aktivitäten genutzt wurde, und zwölf Prozent haben ihr Account dort gelöscht oder gekündigt. Rund ein Fünftel (22%) hat aber überhaupt nicht reagiert.“

Weitere Informationen zum Thema:

datensicherheit.de, 03.06.2024
BKA meldet erfolgreichen internationalen Schlag gegen Cyber-Kriminalität / Laut BKA 100 cyber-kriminelle Server beschlagnahmt und 1.300 Domains außer Gefecht gesetzt

datensicherheit.de, 20.04.2024
World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität / Sicherheit digitaler Infrastrukturen gewährleisten und grenzüberschreitende Cyber-Kriminalität effektiv bekämpfen

datensicherheit.de, 04.04.2023
Cyber-Kriminalität: Gruppen regulären Unternehmen zunehmend ähnlicher / Kriminelle Gruppierungen beginnen mit zunehmender Größe ähnliche Prozesse wie die legaler Unternehmen zu entwickeln

[datensicherheit.de, 02.03.2025] Laut einer Stellungnahme von Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, vom 19. Februar 2025 haben vor Kurzem Cyber-Sicherheitsforscher der Öffentlichkeit im Blog-Beitrag „New Facebook Copyright Infringement Phishing Campaign“ (s.u.) eine neue, groß angelegte Phishing-Kampagne vorgestellt, welche auf „Facebook Business“-Nutzer abzielt: „Seit dem 20. Dezember 2024, so die Forscher, wurden mehrere tausend E-Mails mit Benachrichtigungen über angebliche Urheberrechtsverletzungen, an Mitarbeiter von Unternehmen mit ,Facebook Business’-Account versandt.“ Mehr als 12.000 Opfer seien bislang ausgemacht worden – beheimatet fast ausnahmslos in den USA (45,0%), der EU (45,5%) und Australien (9,5%). Da auch Vorlagen für Phishing-E-Mails in chinesischer und arabischer Sprache existierten, sei aber auch ein deutlich größerer Opferkreis denkbar.

Foto: KnowBe4

Dr. Martin J. Krämer empfiehlt Unternehmen, die unzähligen ihnen innewohnenden „Human Risks“ im Blick zu behalten und bestmöglich zu managen

Ein Link leitet das Opfer zu einer als „Facebook“-Support getarnten Webseite weiter

Für den Versand ihrer E-Mails nutzten die Angreifer den automatisierten E-Mail-Marketing-Service von „Salesforce“ – ganz legitim, ohne gegen die Nutzungsbedingungen oder die Sicherheitssysteme des Dienstes zu verstoßen. Da sie die Absender-ID nicht änderten, würden ihre E-Mails mit der Adresse „noreply [at] salesforce [dot] com“ gebrandet. „Ihren Opfern – und deren Sicherheitssystemen – erscheinen die Absender so absolut legitim und seriös“, warnt Dr. Krämer.

Er führt weiter aus: „Anders wahrscheinlich – in vielen Fällen – die Aufmachung der E-Mails. Den Kopf der Benachrichtigung ziert ein Fake-,Facebook’-Logo – in unzähligen Varianten, einige schlechter, andere besser gestaltet. Der E-Mail-Text dagegen, klingt dann wieder serös.“ Dem Opfer werde erklärt, dass sein Unternehmen auf „Facebook Business“ eine Urheberrechtsverletzung begangen habe. Es folge die Aufforderung, einen Link anzuklicken.

„Der Link leitet das Opfer dann zu einer Phishing-Webseite, getarnt als ,Facebook’-Supportseite, weiter.“ Dort werde es dazu aufgefordert, für eine Überprüfung seines Kontos seine Anmeldedaten einzugeben – ansonsten müsse Facebook das Unternehmens-Konto löschen.

Angriffskampagne auf „Facebook Business“ reiht sich ein in die zahlreichen Phishing-Attacken vergangener Jahre

„Haben sich die Cyber-Kriminellen in den Besitz der ,Credentials’ gebracht, ist es ihnen ein Leichtes, sich Zugang zum ,Facebook’-Unternehmenskonto zu verschaffen und – im schlimmsten Fall – die Kontrolle über die Seite zu übernehmen.“ Die Angreifer könnten dann etwa Inhalte löschen oder ändern, Nachrichten manipulieren oder auch Änderungen an den Sicherheitseinstellungen vornehmen. Im schlimmsten Fall könne sich das Opfer dann nicht mehr in sein eigenes Konto einwählen. Die möglichen Folgen seien ein Stillstand des Online-Vertriebs und Vertrauensverluste bei Partnern, Zulieferern und Kunden.

Diese Attacke auf „Facebook Business“ reihe sich ein in die zahlreichen Phishing-Angriffskampagnen der vergangenen Jahre, welche es auf die „Credentials“ von Business-Plattformen abgesehen hätten. „Erinnert sei hier nur an die unzähligen Kampagnen der letzten Monate, die ,LinkedIn’- und ,Xing’-Accounts zum Gegenstand hatten.“

Unternehmen aller Branchen – auch und gerade die kleinen und mittleren – könne nur geraten werden, hier möglichst rasch gegenzusteuern, ihr Human-Risk-Management besser in den Blick und in den Griff zu bekommen. „Denn nach wie vor stellen gestohlene Anmeldedaten das Einfallstor Nr. 1 eines jeden erfolgreichen Cyber-Angriffs dar!“, so Dr. Krämer.

Moderne Anti-Phishing-E-Mail-Lösungen kombinieren KI mit Crowdsourcing

Die eigenen Mitarbeiter, wie in den vergangenen Jahren in vielen Unternehmen nur allzu häufig geschehen, von Zeit zu Zeit einem Phishing-Trainingkurs zu unterziehen, genüge nicht mehr. Um die Risiken der eigenen Mitarbeiter umfassend im Blick und im Griff zu behalten, müsse das Human-Risk-Management professioneller, zielgerichteter, kontinuierlicher aufgestellt werden.

Längst ließen sich Phishing-Trainings, -Schulungen und -Tests, KI sei Dank, personalisieren, zuschneiden auf die spezifischen Schwachstellen der einzelnen Mitarbeiter, und automatisiert – und damit kontinuierlicher – zum Einsatz bringen.

Moderne Anti-Phishing-E-Mail-Lösungen kombinierten KI mit sogenanntem Crowdsourcing, um so selbst neueste „Zero Day“-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangten. Dr. Krämers abschließender Kommentar: „Mit solchen und ähnlichen Lösungen wird es Unternehmen auch in Zukunft gelingen, die unzähligen ,Human Risks’, die jedem Unternehmen nun einmal innewohnen, im Blick zu behalten und bestmöglich zu managen.“

Weitere Informationen zum Thema:

CHECK POINT, Harmony Email & Collaboration team, 06.02.2025
SECURITY / New Facebook Copyright Infringement Phishing Campaign

KnowBe4, 19.11.2024
KnowBe4 Tackles Human Risk Management: Introducing HRM+: The All-in-One Human Risk Management Platform / HRM+ revolutionizes cybersecurity risk management for the AI era by making it personalized, relevant and adaptive

datensicherheit.de, 25.02.2025
Neue Phishing-Kampagne: Warnung vor Angriffen auf hochrangige X-Konten / Attacken auf „X“-Accounts u.a. von Politikern, Technologieunternehmen und Krypto-Währungen

datensicherheit.de, 23.02.2025
Phishing-Saison 2025: IT-Entscheider sollten sich auf KI-gesteuerte Kampagnen vorbereiten / Agentenbasierte KI-Modelle sind eine spezielle Form Künstlicher Intelligenz (KI), bei der diese in Form vieler autonomer Einheiten operieren

datensicherheit.de, 20.02.2025
Zimperium-Studie: Deutliche Zunahme von Mobile-Phishing-Angriffen / Neuer „zLabs Mishing Report“ ermittelt Anstieg von Betrug per SMS, QR-Code oder E-Mail

[datensicherheit.de, 28.02.2025] Das Einloggen mit dem Passwort „123456“ gilt zum Schrecken von IT-Experten immer noch als ein geläufiges Verfahren. „Und es ist immer noch schlecht!“ Die zunehmende Technisierung des Manufacturings erzeuge neue Angriffsvektoren. Der IT-Sicherheitscluster e.V. widmet sich daher 2025 nach eigenen Angaben den Facetten digitaler Identitäten sowie der „Operational Technology“ (OT) und zudem den Konsequenzen für die Cyber-Sicherheit.

Abbildung: IT-Sicherheitscluster e.V.

Der IT-Sicherheitscluster e.V. lädt zum 28.04.2025 ins Regensburger Jahnstadion ein

Es gilt, das Bewusstsein für die Notwendigkeit von Maßnahmen gegen Cybercrime zu stärken

Der „4. Regensburger Cybersecurity Kongress“ soll demnach das Bewusstsein stärken für die Notwendigkeit von Maßnahmen gegen Cybercrime – einerseits durch Fachexpertise, andererseits durch die Einbindung der regionalen Wirtschaft und überregionaler Akteure.

Der Kongress finde in bewährter Partnerschaft mit dem Amt für Wirtschaft und Wissenschaft der Stadt Regensburg, dem Polizeipräsidium Oberpfalz sowie der Industrie- und Handelskammer Regensburg für Oberpfalz/Kelheim und der Handwerkskammer Niederbayern-Oberpfalz statt.

4. Regensburger Cybersecurity-Kongress – Save the Date!

„4. Regensburger Cybersecurity-Kongress“
Montag, 28. April 2025, 9.00 bis 17.00 Uhr
Agenda folgt!
Jahnstadion Regensburg
Franz-Josef-Strauß-Allee 22
93053 Regensburg
Online-Anmeldung erforderlich (s.u.), Teilnahme kostenlos.

Zur Anmeldung:

IT-Sicherheitscluster e.V. auf eveeno
4. Regensburger Cybersecurity-Kongress – Save the Date / Montag, 28. Apr. 2025 von 09:00 bis 17:00 / Regensburg

datensicherheit.de, 10.02.2025
Vorankündigung des IT-Sicherheitscluster e.V.: 4. Regenburger Cybersecurity-Kongress am 28. April 2025 / Der IT-Sicherheitscluster e.V. empfiehlt bereits jetzt Anmeldung – Agenda folgt

[datensicherheit.de, 26.02.2025] Ein neuer KnowBe4-Bericht soll die „verborgene Kraft des Informationsaustauschs bei der Gestaltung der Sicherheitskultur eines Unternehmens“ enthüllen – er zeigt demnach auf, wie Schulungen am Arbeitsplatz den Austausch von Informationen über Cyber-Sicherheit unter Kollegen fördern können und warum Unternehmen Hindernisse beseitigen sollten, damit dies auch außerhalb des Arbeitsplatzes geschieht.

Abbildung: KnowBe4

KnowBe4-Bericht „Cybersecurity Information Sharing as an Element of Sustainable Security Culture“ veröffentlicht (s.u.)

Mitarbeiter beschäftigten sich oft bereits im Privatleben mit Cyber-Sicherheitsinformationen

KnowBe4 hat am 26. Februar 2025 die Veröffentlichung des Forschungsberichts „Cybersecurity Information Sharing as an Element of Sustainable Security Culture“ bekanntgegeben, welcher von Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, und Dr. William Seymour, Dozent für Cyber-Sicherheit am King’s College London, verfasst wurde. „Der Bericht untersucht, wie Menschen Informationen über Cyber-Sicherheit konsumieren und weitergeben, und zeigt auf, welche Rolle Schulungen am Arbeitsplatz bei der Förderung des Informationsaustauschs unter Kollegen spielen.“

Viele Mitarbeiter beschäftigten sich bereits in ihrem Privatleben mit Cyber-Sicherheitsinformationen – „und wenn sie diese Informationen proaktiv weitergeben, spiegelt dies eine reife Sicherheitsmentalität wider“. Eine etablierte Sicherheitskultur fördere gute Gewohnheiten, gegenseitige Unterstützung und ein klares Risikobewusstsein. Durch die Untersuchung der Verbreitung von Cyber-Sicherheitsnachrichten könnten Organisationen wertvolle Erkenntnisse gewinnen, um ihre Abwehrkräfte zu stärken und das menschliche Risiko zu minimieren.

Durchschnittlich 57 Prozent der Befragten erhielten Cyber-Sicherheitsschulung

Der Bericht zeigt laut KnowBe4 auf, dass im Durchschnitt 57 Prozent der Befragten eine Cyber-Sicherheitsschulung erhalten haben – wobei 73 Prozent im Vereinigten Königreich, 60 Prozent in den USA, 55 Prozent in Deutschland und nur 38 Prozent in Frankreich eine solche Schulung erhalten hätten. Die Schulung am Arbeitsplatz habe sich auf den Informationsaustausch ausgewirkt, da 24 Prozent der geschulten Personen ihr Wissen anschließend mit ihren Kollegen geteilt und sich besser an Inhalte über Phishing erinnert hätten.

Weitere wichtige Erkenntnisse lt. KnowBe4:

• 95 Prozent der Befragten hätten mindestens einmal Inhalte zum Thema Cyber-Sicherheit gelesen oder gesehen.
• 77 Prozent hätten Informationen über Cyber-Sicherheit erhalten und 25 Prozent aktiv Informationen über Cyber-Sicherheit mit anderen geteilt.
• 22 Prozent der Arbeitnehmer fanden Informationen zur Cyber-Sicherheit auf Websites und 21 Prozent bei ihrem Arbeitgeber.
• Im Allgemeinen seien Arbeitgeber für alle Altersgruppen eine wichtige Quelle für Informationen über Cyber-Sicherheit, während Soziale Medien für die Altersgruppe der 18- bis 29-Jährigen ein wichtiger Kanal gewesen seien.

Eine Sicherheitskultur schaffen, welche über das Büro hinaus wirkt

„Mitarbeiter kümmern sich um Cyber-Sicherheit – und Unternehmen sollten das auch tun!“, rät Dr. Krämer und erläutert: „Erfolgreiche Programme zur Förderung des Sicherheitsbewusstseins erkennen an, dass engagierte Mitarbeiter eher bereit sind, wichtige Erkenntnisse mit ihren Kollegen zu teilen und so die Sicherheitskultur am Arbeitsplatz zu stärken.“ Durch die Bereitstellung hochwertiger, relevanter Inhalte und die einfache Weitergabe dieser Inhalte könnten Unternehmen ihre Mitarbeiter in die Lage versetzen, „fundierte Entscheidungen zu treffen, Risiken zu mindern und eine Sicherheitskultur zu schaffen, die über das Büro hinausgeht“.

Letztendlich gelte: „Je mehr man sich mit einem Thema beschäftigt, desto mehr möchte man es auch weitergeben.“ Wenn Beschäftigte angemessen für Cyber-Risiken sensibilisiert seien, sei es wahrscheinlicher, „dass sie offen mit anderen über das Thema kommunizieren und eine stärkere Sicherheitskultur am Arbeitsplatz schaffen“. Um eine stärkere Sicherheitskultur aufzubauen, sei es eben wichtig zu verstehen, „wie Mitarbeiter Informationen über Cyber-Sicherheit konsumieren und weitergeben“.

Weitere Informationen zum Thema:

KnowBe4
Thought Leadership Series: Security Behavior Insights / Cybersecurity Information Sharing as an Element of Sustainable Security Culture

datensicherheit.de, 31.10.2024
Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist / Häufigkeit von Cyber-Angriffen – insbesondere auf das Gesundheitswesen – nimmt zu

datensicherheit.de, 12.05.2022
Datenschutz als Ausdruck der Kultur / Daniel Fried sieht beim Thema Datenschutz kulturelle Unterschiede immer deutlicher hervortreten

datensicherheit.de, 29.04.2020
KnowBe4-Studie: Führungskräfte schätzen starke Sicherheitskultur / Definition und Umsetzung sind jedoch umkämpft