Untersuchung von KnowBe4 zeigt, dass 76 Prozent der Mitarbeiter von Unternehmen ihr Passwort wiedeverwenden

[datensicherheit.de, 02.02.2021] Die Ergebnisse einer Untersuchung von KnowBe4 Research zeigen, dass nur 24 Prozent der Mitarbeiter ihre Passwörter speichern. Dies legt nahe, dass viele Mitarbeiter ihre Passwörter wiederverwenden. „Wer an mehreren Stellen das gleiche, einfache Passwort verwendet, macht sich zur leichten Beute für Hacker“, warnt Kai Roer, CEO von KnowBe4 Research (ehemals CLTRE).

Kai Roer, CEO von KnowBe4 Research, Bild: KnowBe4

Bewertung der Sicherheitskultur

KnowBe4 Research bewertet die Sicherheitskultur von Unternehmen und hat die Antworten von über 160.000 weltweit befragten Personen ausgewertet. Diese Zahlen zeigen, dass drei von vier Personen ihre Passwörter nicht aufschreiben. Gleichzeitig zeigen andere Umfragen, dass nur knapp 25 Prozent einen Passwortmanager zum Speichern ihrer Passwörter verwenden, während die Hälfte versucht, sich diese zu merken. Die Daten von KnowBe4 Research zeigen, dass mehr als vier von fünf Personen im Bank-, Beratungs- und Technologiesektor ihre Passwörter nicht aufschreiben oder speichern.

Es ist alarmierend und ein wenig überraschend, dass Bank-, Beratungs- und Technologieunternehmen den höchsten Anteil an Mitarbeitern haben, die ihre Passwörter nicht aufschreiben.

Foto: KnowBe4

„Die Bedeutung einer guten Passwort-Hygiene wird oft übersehen. Es stimmt zwar, dass viele verschiedene Passwörter schwer zu merken sind. Aber Passwörter werden überall verwendet und schützen sehr wertvolle Informationen über eine Person oder diejenigen, die dieser Person wichtig sind. Das ist etwas, das wir uns ins Gedächtnis rufen müssen. Mit so vielen einfach zu bedienenden Tools da draußen, die uns helfen, gibt es keinen wirklichen Grund, warum Sie nicht sorgfältiger mit Passwörtern umgehen sollten“, ergänzt Jelle Wieringa, Security Awareness Advocate bei KnowBe4.

Widersprüchliche Ratschläge

Die Ratschläge zu Passwort-Routinen sind über die Jahre nicht besonders konsistent gewesen, während sich die Anzahl der Websites und Systeme, die ein Login-Passwort erfordern, exponentiell vervielfacht hat. Jahrelang rieten Unternehmen ihren Mitarbeitern, ihre Passwörter NICHT aufzuschreiben. Dann wurden sie gebeten, komplexe und einzigartige Passwörter zu erstellen. Komplexe Passwörter sind schwer zu merken, weshalb viele Mitarbeiter sich dazu entschließen, Passwörter wiederzuverwenden.

Der wichtigste Schritt ist, die Passwörter irgendwo zu speichern, wo niemand sonst Zugriff hat. Zum Beispiel auf einem Mobiltelefon oder einem guten, altmodischen Notizbuch. Sogenannte „Passwort-Manager“, Software, die sich die Passwörter merkt, sind ebenfalls eine sichere und empfehlenswerte Lösung.

Drei Tipps für gute Passwörter:

1. Erstellen Sie einzigartige, etwas längere Passwörter. Die sicherste Lösung ist, für jeden Dienst, den Sie nutzen, ein einzigartiges Passwort zu erstellen. Passwörter müssen nicht aus einem einzigen Wort bestehen, sondern können ein einfacher Satz oder eine zufällige Folge von Ziffern, Buchstaben und Sonderzeichen sein.
2. Schreiben Sie Ihr Passwort an einem Ort auf, zu dem niemand sonst Zugang hat. Bei vielen eindeutigen Passwörtern kann es schwierig sein, sich alle zu merken. Schreiben Sie sie auf, aber stellen Sie sicher, dass niemand sonst Zugriff auf die Liste hat.
3. Verwenden Sie einen Passwort-Manager. Dies ist ein sicherer Weg, um zu vermeiden, dass Sie sich komplexe, eindeutige Passwörter merken müssen. Es gibt viele gute Programme und Anwendungen. Wenden Sie sich an Ihre IT-Abteilung bei der Arbeit; dort wird man Sie beraten können.

Weitere Informationen zum Thema:

datensicherheit.de, 29.01.2021
„Change Your Password Day“ am 1. Februar: Tipps für starke Passwörter

datensicherheit.de, 29.04.2020
KnowBe4-Studie: Führungskräfte schätzen starke Sicherheitskultur

KnowBe4
Measure to Improve – Security Culture Report 2020

In dem Bericht „2020 What keeps you up at Night“ wurden 300 B2B-IT-Entscheidungsträger in Deutschland zu den wichtigsten Risiken im Cyberspace befragt / Ransomware, Einhaltung von Compliance (DSGVO, etc.), Insider-Angriffe und der Nutzer selbst wurden als die vier größten Risiken genannt

[datensicherheit.de, 14.07.2020] KnowBe4, Anbieter einer Plattform für Security Awareness Trainings und simuliertes Phishing, veröffentlicht die Ergebnisse seiner Umfrage „2020 What keeps you up at Night“. Die Studie wurde vom Marktforschungsinstitut Innofact AG im Februar 2020 mit 300 B2B-IT-Entscheidern durchgeführt. Die Zahlen zeigen, dass es innerhalb deutscher Unternehmen eine Reihe gemeinsamer Themen gibt, die mit dem Wandel von Cyberangriffen, der Verfügbarkeit von Sicherheitslösungen und dem wachsenden Druck zur Einhaltung von Compliance-Vorschriften zusammenhängen. Im Durchschnitt waren 51 Prozent der Unternehmen in gewissem Maße besorgt über ein im Fragebogen angesprochenes Sicherheitsproblem. Trotz dieser Tatsachen antwortete nur etwa die Hälfte (47 Prozent) der Befragten, dass ihr Unternehmen ein Security Awareness Training anbietet.

Die wichtigsten Eckdaten der Umfrage sind:

• Unachtsame Nutzer spielen eine entscheidende Rolle bei der Frage, ob deutsche Unternehmen im Bereich IT-Security besorgt sind. Die Sorge vor Cyberangriffen in diesem Zusammenhang ist um durchschnittlich 206 Prozent angestiegen.
• Ransomware führt die Liste der Angriffstypen an, wobei 63 Prozent der deutschen Unternehmen eine gewisse Besorgnis zu dieser Angriffsart zum Ausdruck bringen.
• Trotz der Problematik „unachtsame Benutzer“ haben lediglich 47 Prozent der befragten Unternehmen Security Awareness Trainings im Einsatz.
  Dreizehn verschiedene Arten von Cyberangriffen bereiten durchschnittlich 59 Prozent der deutschen Unternehmen Sorgen.
• Die Einhaltung der Compliance-Vorgaben ist für 48 Prozent der Unternehmen nach wie vor eine Herausforderung, obwohl die Einzelheiten der Richtlinien schon seit geraumer Zeit bekannt sind.
• Die Personalbeschaffung in den Bereichen Sicherheit und IT scheint für 60 Prozent der Unternehmen eine Herausforderung zu bleiben, herbeigeführt durch unzureichende Budgets und mangelnde Unterstützung der Unternehmensführung.
  Sicherheitsstrategie und Sicherheitskultur

Sicherheitsstrategie und Sicherheitskultur sind zwar vorhanden, aber es bedarf noch weiterer Bemühungen. Durchschnittlich 49 Prozent der Befragten gaben an, dass sie an Sicherheitsinitiativen arbeiten oder damit beginnen müssen, und 59 Prozent von ihnen verfügen noch gar nicht über eine ausgereifte Sicherheitsstrategie.

Die mit Abstand größte Sorge von IT-Führungskräften stellt der Benutzer selbst dar. 71 Prozent der IT-Entscheidungsträger sind besonders besorgt über das Risiko, dass Benutzer Passwörter mehrfach nutzen, und 67 Prozent sind besorgt über unachtsame Benutzer im Allgemeinen. Die Benutzer müssen zunächst ihre Rolle in der Sicherheitsstrategie des Unternehmens verstehen und dann lernen, Phishing-Angriffe, das Klicken auf unsichere Links, die Angabe von Zugangsdaten für gefälschte Websites und die mehrfache Nutzung von Passwörtern zu unterlassen. Das alles beginnt mit dem Etablieren einer Sicherheitskultur.

Detlev Weise, Senior Adviser, Bild: KnowBe4

„Unternehmen können die neuesten Sicherheitslösungen einführen und Millionen für das IT-Budget ausgeben, aber wenn ihre Mitarbeiter immer noch auf jeden Link klicken, der in ihren Posteingang kommt, dann bringt das alles nichts. Da nur 47 Prozent der Befragten angeben, dass sie ein Security Awareness Training im Einsatz haben, wird diese Situation nicht rechtzeitig bewältigt werden können. Unternehmen aller Größen müssen Security Awareness Trainings einführen und sollten ihre Benutzer regelmäßig auf die Erkennung von Phishing-Mails schulen, um das Gefahrenbewusstsein der Mitarbeiter zu schärfen und Sicherheit als Teil ihrer Arbeitsaufgaben und Unternehmenskultur zu integrieren. Nicht oder nicht ausreichend geschulte Anwender stellen eine potenzielle Bedrohung für ihr Unternehmen dar. Das muss sich ändern: Die Mitarbeiter sollten die erste und stärkste Verteidigungslinie im Unternehmen darstellen“, erläutert Detlev Weise, Senior Adviser bei KnowBe4.

Weitere Informationen zum Thema:

KnowBe4
WHAT KEEPS YOU UP AT NIGHT – REPORT 2020

datensicherheit.de, 30.05.2019
Fünf Tipps für Cyber-Versicherungs-Policen

Krisenzeiten als Stolperstein und Bewährungsprobe

[datensicherheit.de, 30.04.2020] „datensicherheit.de“ kooperiert mit dem German Mittelstand e.V. und dem Fachmagazin für IT-Lösungen „manage it“ im Rahmen der neuen Online-Serie „Theiners SecurityTalk“ auf YouTube und im Livestream. Die Auftaktsendung wurde am 8. April 2020 aufgezeichnet und steht Interessierten bis heute zur Ansicht bereit. Die mittlerweise vierte Episode vom 29. April 2020 unter dem Titel „Welchen Sicherheitsbedrohungen sind Unternehmen aktuell ausgesetzt?“ war aktuellen, d.h. durch die „Corona“-Krise verstärkten IT-Trends im Kontext von Sicherheitskultur gewidmet.

Deutschlands Mittelstand als Schutzziel

Mehr denn je gilt es gerade in Krisenzeiten, Deutschlands Mittelstand zu schützen und zu stärken, denn die kleinen und mittleren (KMU) wie auch die etwas größeren familiengeführten Unternehmen sind die Säule des Wohlstands in Deutschland.
Doch chronische und akute Krisen fordern den Mittelstand extrem heraus und bedrohen ihn in seiner Existenz. Jedoch sind Flexibilität, Kreativität und Innovationsgeist seine Erfolgsrezepte, Krisen zu meistern und durchzustarten – technische sowie organisatorische Prävention und erprobte Notfall- und Wiederanlaufpläne sind hierzu grundlegende Erfolgsfaktoren.

KMU-Wertschöpfungspotenziale schützen und entfalten

In jeder Episode sollen konstruktive Impulse im Sinne einer „Best Practice“ gegeben, also exemplarisch konkrete Handlungsmöglichkeiten aufgezeigt werden, Vorsorge zu treffen, schwierigen Zeiten zu trotzen, Krisen zu managen sowie Durststrecken durchzuhalten und ganz generell unter Nutzung moderner Informations- und Kommunikationstechnik nebst zeitgemäßer ORGA die eigenen Wertschöpfungspotenziale zu entfalten.
Am 29. April 2020 wurde nun die Frage lebhaft diskutiert, welchen Sicherheitsbedrohungen mittelständische Unternehmen aktuell ausgesetzt sind. Es diskutierten u.a.:

• Georg Lindner – Dr. Hörtkorn, München
• Carsten J.  Pinnow – Herausgeber „datensicherheit.de“
• Philipp Schiede – Herausgeber „manage it“
• Andreas Kunz – IT-Sicherheits- und Datenschutzberater, CEO Connecting Media
• Detlev Weise – KnowBe4
• Jens Pälmer – palo alto networks

Carsten J. Pinnow betonte in einer Eingangsstellungnahme die Notwendigkeit, die drei Säulen betrieblichen Handelns – Mensch, Management, Maschine – im Kontext einer Sicherheitskultur gezielt auszubalancieren.

Weitere Informationen zum Thema:

datensicherheit.de, 29.04.2020
KnowBe4-Studie: Führungskräfte schätzen starke Sicherheitskultur / Definition und Umsetzung sind jedoch umkämpft

datensicherheit.de, 28.04.2020
Studie „SolarWinds IT Trends Report 2020: The Universal Language of IT“ vorgestellt / Report zeigt den steigenden Bedarf an qualifizierten deutschen Technikexperten für hybride IT-Umgebungen

datensicherheit.de, 08.04.2020
Neues, interaktives Online-Format: „Theiners SecurityTalk“

Definition und Umsetzung sind jedoch umkämpft

[datensicherheit.de, 29.04.2020] KnowBe4 veröffentlicht die Ergebnisse der Studie mit dem Titel „The Rise of Security Culture“. Im November 2019 wurde Forrester Consulting mit der Evaluierung der Sicherheitskultur in globalen Unternehmen beauftragt. Forrester führte eine Online-Umfrage mit 1.161 Befragten durch, die mindestens Führungsaufgaben im Sicherheits- oder Risikomanagement wahrnehmen. Die Studie ergab, dass Führungskräfte den Wert einer starken Sicherheitskultur kennen, aber mit der Geschwindigkeit der wirtschaftlichen Entwicklung Schwierigkeiten bei der Definition und Umsetzung haben.

Bild: KnowBe4

Perry Carpenter, Chief Evangelist und Strategy Officer von KnowBe4

„KnowBe4 verfügt weltweit über die meisten Daten zur Sicherheitskultur aller Organisationen. Dies ist der Beginn unserer Bemühungen, noch mehr Forschung im Zusammenhang mit der Sicherheitskultur zu entwickeln“, sagt Perry Carpenter, Chief Evangelist und Strategy Officer von KnowBe4. „Unser Ziel ist es, den Führungskräften im Sicherheitsbereich nicht nur dabei zu helfen, die Nuancen zu verstehen, die mit dem zusammenhängen, was Sicherheitskultur tatsächlich beinhaltet, sondern auch praktische Strategien anzubieten, um zu verstehen, wie ihre Sicherheitskultur im Vergleich zu der in anderen Organisationen aussieht und was sie tun können, um diese zu verbessern.“

„Als jemand, der eine ganze Organisation auf der Grundlage einer Sicherheitskultur aufgebaut hat, kann ich viele der Facetten des Aufbaus und der Aufrechterhaltung einer erfolgreichen Sicherheitskultur innerhalb einer Organisation einschätzen“, sagt Kai Roer, Befürworter der Sicherheitskultur, KnowBe4 und Geschäftsführer von CLTRe. „Diese Studie hat uns gezeigt, dass eine starke Sicherheitskultur eine Geschäftspriorität ist, an deren genauer Definition die Führungskräfte noch arbeiten. Das vielleicht überraschendste Ergebnis der Studie war, dass Geschäftsprinzipien, nicht Risikominderung, die Hauptmotivation für den Aufbau einer starken Sicherheitskultur war.“

Zu den wichtigsten Ergebnissen gehören:

• Sicherheit ist eine Geschäftspriorität, wobei 94 Prozent der Befragten angaben, dass die Sicherheitskultur wichtig für den Geschäftserfolg ist.
• Sicherheitskultur ist nicht allgemein definiert. Die Befragten wurden in fünf verschiedene Gruppen aufgeteilt, die alle ähnliche, aber unterschiedliche Definitionen von Sicherheitskultur haben.
• Die Entscheidungsträger sind in ihrer derzeitigen Sicherheitskultur zu selbstbewusst. 92 Prozent der Führungskräfte im Sicherheitsbereich gaben an, dass sie eine eingebettete Sicherheitskultur in ihren Organisationen haben; allerdings erleben dieselben Führungskräfte immer noch Sicherheitsvorfälle und müssen ihre Sicherheitsstrategien erst mit ihren allgemeinen Geschäftsstrategien zusammenführen.
• Eine starke Sicherheitskultur wird zu einer hohen Kundenzufriedenheit führen. 63 Prozent der Befragten erwarten eine Zunahme des Kundenvertrauens als Ergebnis einer gefestigten Kultur. Mehr als die Hälfte erwartet, dass sie den Wert ihrer Marken steigern wird.

Weitere Informationen zum Thema:

KnowBe4
Studie „The Rise of Security Culture“

datensicherheit.de, 20.01.2020
Allianz-Studie: Cybercrime als Sicherheitsrisiko Nummer 1

datensicherheit.de, 11.03.2014
Studie: BYOD-Trend hält an – Sicherheitskultur weiter mangelhaft

Sicherheitskultur ist ein wichtiger Aspekt für Unternehmen

Von unserem Gastautor Perry Carpenter, Chief Evangelist & Strategy Officer bei KnowBe4

[datensicherheit.de, 14.06.2019] Es gibt in der Cybersicherheit etwas, das sich nicht lernen lässt, schon gar nicht durch irgendwelche Online-Kurse: Erfahrungswerte. Im Allgemeinen werden Meetings, Webinare, Mittagessen und Lernen, Teamaktivitäten oder sogar alltägliche Interaktionen mit einer Technologie als ereignisbasierte Erfahrung betrachtet. Der Schlüssel ist, dass dies Situationen sind, in die Menschen ein- und aussteigen.

Besprechungen, Präsentationen und Lunch-and-Learnings

In der Regel gibt es keinen Bildschirm, der den Referenten von den Teilnehmern trennt. Die Formate sind offener und interaktiver, so dass im Veranstaltungsraum ein größeres Gefühl von Emotion und geteilter Empathie entsteht. Inhalte wie Erfahrungen können direkt geteilt werden, aber der Referent hat auch den Vorteil, dass er direkt mit seinem Publikum interagiert. Dies kann dazu beitragen, ein Vertrauensverhältnis zwischen den Mitarbeitern und dem IT-Sicherheitsteam zu fördern. Dies sind großartige Foren zum Geschichten erzählen, Fragestunden, Austausch über aktuelle Themen und vieles mehr.

Bild: KnowBe4

Perry Carpenter, Chief Evangelist & Strategy Officer bei KnowBe4

Gespräche mit Referenten sind immer gut, aber nicht immer notwendig. Eine Führungskraft aus dem eigenen Unternehmen kann auch darüber referieren, wie wichtig die IT-Sicherheit für den Erfolg des Unternehmens ist. Darüber hinaus können IT-Sicherheitsmitarbeiter kurze Vorträge über Sicherheitsvorfälle halten, die entweder erfolgreich waren und in der Öffentlichkeit präsent sind oder aber eigenen, die das Team vereiteln konnte. Das Wichtigste bei alledem ist, die Menschen einzubeziehen.

Der Vorgesetzte kann (und sollte) auch Wege finden, Sicherheitsereignisse und -themen in regelmäßig stattfindende Meetings zu integrieren, an denen er oder sie möglicherweise nicht selbst teilnehmen kann.

Tabletop-Übungen

Tabletop-Übungen (TTXs) sind äußerst flexibel. Tabletop-Übungen können ganz einfach erstellt werden. Sie dauern zwischen ein paar Minuten bis hin zu einem ganzen Tag. Im Wesentlichen handelt es sich dabei um Denkübungen, die um ein „Was wäre wenn“-Szenario herum aufgebaut sind.

Einer der besten Vorteile eines TTX ist, dass er es den Mitarbeitern ermöglicht, ihre Reaktionen auf Szenarien zu einem Zeitpunkt zu üben, an dem die Anforderungen nicht hoch sind. Ihre Reaktionen und Antworten können untersucht werden, und die Trainer oder Führungskräfte können entscheiden, wie sie die Trainings-, Nachrichten- und Spielbücher am besten ergänzen können, basierend auf was sie gesehen und gehört haben.

Innerhalb von nur wenigen Minuten auf Google, merkt man, dass es eine Menge guter Ressourcen gibt, wie man Tabletop-Übungen erstellt. Und viele von ihnen kommen aus dem Bereich der Notfallvorsorge, weil dieser Bereich immer wieder Pläne und Prozesse entwickeln muss, wie man mit dem nächsten großen „Was wäre wenn“ umgehen kann. Trainer und Führungskräfte können diese Materialien als Modell für die Erstellung personalisierter Cybersicherheits- und physischer Sicherheitsszenarien verwenden.

Rituale

Rituale existieren, um die Kulturen des Unternehmens zu verkörpern und zu erhalten, kann es von Vorteil sein, einen Teil der sicherheitsrelevanten Botschaften oder Aktivitäten in vorher festgelegte Unternehmensrituale zu integrieren. Wenn jeden Morgen ein Treffen stattfindet, sollten Anstrengungen unternommen werden, um Sicherheitsupdates zu integrieren. Rituale dienen auch dazu, organisatorische Werte wie den Service zu kodifizieren. Kann ein Security Messaging in bereits bestehende Service-Rituale integriert werden? Oder könnten vielleicht sogar neue Rituale geschaffen werden, die sich an populären Ritualen innerhalb des Unternehmens orientieren?

Spiele

Sicherheitsthemenspiele sind gut geeignet, um den Mitarbeitern zu helfen, Sicherheitsthemen durch eine andere Perspektive zu betrachten. Die lustigen, herausfordernden und variablen Belohnungen, die mit Spielen verbunden sind, helfen komplexe Botschaften zu transportieren. Beispiele für Spiele können computerbasierte oder physische Spiele wie Gefahrenerkennung, Rätsel lösen, Kartenspiele mit Szenarien und so weiter sein. Vor allem aber sollen die Spiele Spaß machen, aus dem Alltäglichen gemacht werden und lohnend sein.

Dies sind nur einige wenige Beispiele, wie man so etwas wie Erfahrungen anderer Dritter nutzen kann, um die Sicherheitskultur in einem Unternehmen positiv zu beeinflussen. Auf Grundlage der Organisationskultur können Wege gefunden werden, um immersive, ansprechende Erfahrungen zu schaffen, die bei den Mitarbeitern ankommen und sie in eine menschliche Firewall verwandeln.

Weitere Informationen zum Thema:

datensicherheit.de, 15.04.2019
Kulturträger: Wege das Sicherheitsbewusstsein im Unternehmen zu stärken

datensicherheit.de, 07.11.2018
Security Awareness: Tipps für ein funktionierendes Sicherheitsbewusstsein im Unternehmen

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

[datensicherheit.de, 11.03.2014] Rund 35 Prozent der auch beruflich genutzten Smartphones gehören den Mitarbeitern. So lautet ein Ergebnis der Studie „2013 Mobile Enterprise Risk Survey“ von Absolute Software. Der BYOD-Trend sei somit in den Unternehmen angekommen. Allerdings mangele es weiterhin an entsprechenden Sicherheitsmaßnahmen. Von der Umsetzung einer BYOD-Strategie seien viele Unternehmen noch meilenweit entfernt.

Für seine Studie „2013 Mobile Enterprise Risk Survey“ hat Absolute Software, Anbieter von Lösungen zur Verwaltung und zum Schutz von Computern und mobilen Geräten, rund 750 Mitarbeiter von Unternehmen in Deutschland mit mehr als 1.000 Beschäftigten zur beruflichen Nutzung von Smartphones befragt. Dabei antworteten fast 65 Prozent, dass diese Geräte von der Firma bereitgestellt werden. Umgekehrt verwenden somit immerhin rund 35 Prozent für geschäftliche Zwecke ihre privaten Endgeräte.

Der BYOD-Siegeszug hält also an und das damit verbundene Sicherheitsrisiko für Unternehmen liegt auf der Hand. Es kann nur beseitigt werden, wenn eine effiziente Einbindung der privaten, mobilen Endgeräte in die Unternehmens-IT und die Umsetzung einer Sicherheitsstrategie erfolgt. „Und hier liegt noch vieles im Argen. Unsere Studie zeigt ganz klar, dass viele Unternehmen das Thema ‚Sicherheit der mobilen Endgeräte’ nach wie vor nicht ausreichend ernst nehmen“, betont Margreet Fortuné, Regional Manager DACH, Benelux & Eastern Europe bei Absolute Software.

So beschreibt fast ein Drittel der Befragten die Sicherheitskultur im eigenen Unternehmen auch als „moderat“ beziehungsweise „lax“. Der Mangel an Sicherheitsstrategien zeigt sich beispielsweise auch daran, dass ebenfalls nur rund ein Drittel der Unternehmen überhaupt eine Policy für den Umgang mit gestohlenen Geräten festgelegt hat, obwohl sich auf diesen unter Umständen wichtige Daten befinden.

„BYOD wird für viele Unternehmen auch in der nächsten Zeit ein zentrales Thema bleiben“, so Fortuné. „Hauptaufgabe wird es dabei sein, die Sicherheit der Daten zu gewährleisten. Möglich ist dies nur mit der Entwicklung und konsequenten Umsetzung einer BYOD-Policy.“

Absolute Software empfiehlt bei der Implementierung einer BYOD-Lösung ein schrittweises Vorgehen: Ausgehend von einer Definition der IT-Anforderungen über eine Festlegung gültiger Richtlinien bis zu einer Technologie-Implementierung zur Umsetzung der Policies. Bei der Definition der Anforderungen geht es zum Beispiel um Formfaktoren, Betriebssysteme oder Netzwerk-Zugriffsmöglichkeiten. Im Hinblick auf den Aspekt Richtlinien sind Mobile Device Policies aufzustellen und auch entsprechende Vereinbarungen mit den Mitarbeitern zu treffen. Bei der Technologie-Implementierung wie der Einführung einer Mobile-Device-Management (MDM)-Software sind folgende Faktoren zu berücksichtigen: Plattformflexibilität, Administrationsoptionen und Sicherheit.

Fortuné erklärt: „Auf jeden Fall sollte ein Unternehmen zunächst sämtliche internen IT-Anforderungen und die rechtlichen Rahmenbedingungen klären, bevor es eine MDM-Software implementiert. Auch diese sollte dann aber im Hinblick auf ihr Funktionsspektrum genauestens evaluiert werden, um alle privaten und unternehmenseigenen mobilen Geräte auf geeignete Weise verwalten und sichern zu können. Die große Vielfalt von Endgeräten und Betriebssystemen macht es heute zudem erforderlich, dass eine zukunftsweisende MDM-Lösung nicht nur Aspekte des traditionellen Mobile Device Management abdeckt, sondern zusätzlich auch Mobile Application und Content sowie Security, Change und Configuration Management bietet.“

Weitere Informationen zum Thema:

Absolute Software
2013 Mobile Enterprise Risk Survey

[datensicherheit.de, 26.02.2013] Der Hightech-Verband BITKOM hat die Unternehmen in Deutschland dazu aufgerufen, schwerwiegende Angriffe auf ihre IT-Systeme freiwillig den Behörden zu melden. „Die Sicherheitsbehörden brauchen aktuelle Informationen über gravierende Cyberangriffe, um Gegenmaßnahmen entwickeln und die Nutzer warnen zu können“, sagt BITKOM-Präsident Prof. Dieter Kempf mit Blick auf die jüngsten Attacken auf Unternehmen in den USA und Deutschland. In den vergangenen Wochen berichteten Unternehmen wie Apple, Microsoft und Facebook von Hacker-Angriffen, in Europa bestätigten EADS und ThyssenKrupp entsprechende Vorfälle. Entscheidend ist dabei aus Sicht des BITKOM, dass Meldungen an staatliche Stellen vertraulich behandelt werden. „Wir brauchen eine neue IT-Sicherheitskultur in der Wirtschaft, die auf Transparenz und Kooperation setzt“, sagt Kempf. „Und wir brauchen Sicherheitsbehörden, die von ihrer technologischen und personellen Ausstattung her in der Lage sind, Cyberangriffe abzuwehren und die Unternehmen in ihren eigenen Sicherheitsaktivitäten wirksam zu unterstützen.“ Laut einer BITKOM-Umfrage sind fast drei Viertel aller deutschen Unternehmen grundsätzlich dazu bereit, bei IT-Sicherheitsvorfällen mit den Behörden zusammenzuarbeiten.

Ein entsprechendes Meldesystem für IT-Sicherheitsvorfälle hat die ITK-Branche in Deutschland in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits etabliert. Dazu wurde die Allianz für Cybersicherheit gegründet, die die Zusammenarbeit von Sicherheitsbehörden, Forschungseinrichtungen und Wirtschaft beim Kampf gegen die Cyberkriminaliät koordiniert. Hier können Angriffe freiwillig und anonym gemeldet werden. „Das Meldesystem muss in der Fläche bekannt gemacht werden, damit auch der Mittelstand entsprechend sensibilisiert wird.“ Der BITKOM setzt hier auf den Aufbau regionaler Netzwerke in Kooperation mit Sicherheitsbehörden, Kammern und anderen Institutionen.

Laut einer BITKOM-Umfrage verzeichneten 40 Prozent der Unternehmen in Deutschland bereits Angriffe auf ihre IT-Systeme oder andere IT-Sicherheitsvorfälle. Viele Unternehmen sind auf solche Situationen schlecht vorbereitet. Die Hälfte der Befragten gab an, dass sie keinen Notfallplan für IT-Sicherheitsvorfälle hat. Und ein Drittel der Unternehmen gestehen ein, dass sie Nachholbedarf beim Thema IT-Sicherheit haben. „Die Unternehmen müssen sehr schnell auf neue Gefahren reagieren“, sagte Kempf. Besonders gefährlich seien derzeit so genannte Drive-by-Downloads. Dabei laden sich Internetnutzer beim Besuch manipulierter Webseiten unbewusst Schadsoftware auf den eigenen Rechner. Bei einigen der jüngsten Attacken war die Schadsoftware auf speziellen Webseiten für Software-Entwickler versteckt.

Gesetzliche Meldepflichten von IT-Sicherheitsvorfällen sieht der BITKOM dagegen weiterhin kritisch. „Wir brauchen nicht für jedes Sicherheitsproblem ein neues Gesetz“, sagte Kempf. „Gesetzliche Meldepflichten für IT-Sicherheitsvorfälle sollten sich auf die Betreiber Kritischer Infrastrukturen beschränken.“ Eine vorübergehende Unterbrechung von Online-Diensten infolge eines Cyberangriffs sei nicht mit Angriffen auf Telekommunikationsnetze, Verkehrswege oder die Energieversorgung zu vergleichen.

Meldepflichten von IT-Sicherheitsvorfällen gibt es in Deutschland bereits für die Betreiber von Telekommunikationsnetzen nach dem Telekommunikationsgesetz. Nach dem Bundesdatenschutzgesetz müssen außerdem Vorfälle gemeldet werden, wenn personenbezogene Daten betroffen sind. Das ist zum Beispiel der Fall, wenn die Zugangsdaten oder Kreditkartendaten gestohlen werden. Anonyme und freiwillige Meldungen von IT-Sicherheitsvorfällen sind beim BSI möglich. Die Meldestelle ist auf der Website der Allianz für Cybersicherheit erreichbar.