• English
Shop

| | Cloud Solutions, IT Security Comments Off on Ganzheitliche Security durch Awareness bei den Mitarbeitenden

Ganzheitliche Security durch Awareness bei den Mitarbeitenden

In den letzten Security-Beiträgen haben wir erfahren, wie wichtig ein umfassender Zero-Trust-Ansatz für eine sichere Cloud-Umgebung ist. Dabei handelt es sich um ein Sicherheitskonzept, das auf dem Grundsatz „Trust no one, verify everything“ beruht. Kurz beschrieben bedeutet dies, dass jede Anfrage als potenzielle Bedrohung behandelt und daher explizit verifiziert werden muss. 

Awareness bei den Mitarbeitenden

Es gibt viele Anbieter:innen und Lösungen, die versprechen, die Sicherheit Ihrer Umgebung durch deren Einsatz drastisch zu verbessern. Das gilt auch für einen sauberen und umfassenden Zero-Trust-Ansatz, der das Risiko einer Kompromittierung Ihrer Umgebung stark reduzieren kann. Diese Versprechen bedeuten aber nicht, dass keine Angriffe mehr in Ihre Umgebung durchdringen können, denn es gibt immer wieder neue Zero-Day-Exploits, welche Lücken in den Schutzlösungen ausnutzen, und auch der menschliche Faktor spielt bei einem Angriff eine große Rolle. 

In diesem Blog-Artikel wollen wir uns dem menschlichen Faktor widmen, der bei der Betrachtung Ihrer Unternehmenssicherheit nicht vernachlässigt werden darf. Denn Awareness bildet ein Schlüsselelement für eine sichere Umgebung. 

Was bedeutet “Awareness und warum ist es so wichtig? 

Awareness bedeutet, dass man sich bewusst ist, welche Risiken und Gefahren für die Sicherheit einer Umgebung bestehen und wie man sich davor schützen kann. Awareness umfasst sowohl das Wissen über die technischen Aspekte der Sicherheit als auch das Verhalten und die Haltung der Nutzer:innen und Administrierende. Das Sicherheitsbewusstsein ist also nicht nur eine Frage des Wissens, sondern auch der Motivation und der Kultur in einer Organisation.  

Awareness ist besonders wichtig. Viele Sicherheitsprobleme werden durch menschliche Fehler oder Unachtsamkeit verursacht. Oft sind es nicht die technischen Schwachstellen, die ausgenutzt werden, sondern die menschlichen. Angriffe auf eine Organisation setzen immer stärker auf Phishing, Social Engineering Methoden & Co. Awareness kann dabei helfen, genau diese Art von Angriffen zu verhindern oder zumindest zu erschweren. 

Was bedeutet “Awareness”?

Von besonderer Bedeutung ist hierbei auch die Tatsache, dass bei einem Szenario wie einem Zero-Day-Exploit, wo eine technische Schwachstelle ausgenutzt wird, die menschliche Komponente dazu beitragen kann, das Problem zu lösen und einzudämmen. Wenn Nutzer:innen wissen, worauf sie achten müssen, wie sie verdächtige Nachrichten oder Webseiten erkennen können und wie sie sich im Zweifelsfall verhalten sollen, können sie viele Fallen vermeiden. Außerdem sind Nutzer:innen, die ein gewisses Sicherheitsbewusstsein haben, offener für die Einführung von neuen Technologien, wie z. B. den zweiten Faktor bei der Anmeldung zum Steigern der Sicherheit im Unternehmen. 

Was hat das ganze nun mit dem TeamsPhisher zu tun? 

Im Rahmen der Pandemie hat sich die Arbeitskultur weltweit drastisch geändert. Heutzutage ist es nahezu gang und gebe teilweise von zu Hause aus zu arbeiten und Collaboration Tools zu nutzen. Eine der am meisten genutzten Kollaborationslösungen bildet aktuell Teams (laut Statista 2022, täglich 270 Millionen Benutzer:innen weltweit).  

Vor Kurzem ist bei Teams eine Sicherheitslücke aufgetaucht, die externen Absendenden von Nachrichten ermöglicht, schadhafte Dateien an interne Mitarbeiter:innen in Teams zu versenden. Dabei sieht dies in der Regel aus, als würde diese Datei von einer internen Person zugesendet werden. Aktuell gibt es keine aktive Schutzlösung von Microsoft, welche diese Sicherheitslücke schließt. Hier ist die Empfehlung von Microsoft, den Chat mit externen Personen grundsätzlich zu blockieren, es sei denn, er ist unbedingt notwendig. Beim Einsatz der Funktion sollte in diesem Fall auf die Awareness der Mitarbeitende in der Organisation gesetzt werden.  

Diese aktuelle Gegebenheit bildet keinen Ausnahmefall.  Zero-Day-Exploits und Sicherheitslücken haben zunächst das Ziel, einen internen Mitarbeitende zu kompromittieren. In den meisten Situationen sind Mitarbeitende daher diejenigen, die die Möglichkeit bieten, potenzielle Kompromittierungen der Umgebung zu verhindern. Dies erfordert jedoch eine angemessene Schulung in Sicherheitsbewusstsein. Denn bei einem großangelegten Angriff muss nur einer der Mitarbeitende des Unternehmens richtig reagieren, um einem potenziellen Sicherheitsvorfall entgegenwirken zu können. 

Der sepago Awareness Ansatz

„Keine Lösung ist perfekt. Es gibt immer ein Zero-Day Exploit oder eine Angriffs-Methode, welche Dinge durchlässt. Aber genauso wie ein User das schwächste Glied in der Kette sein kann, so kann er auch die rettende Einheit sein. Indem er potenziell schadhafte Mails und Angriffe meldet. 

Neben der technischen Implementierung einer umfangreichen Defender Suite ist die Schulung Ihrer Mitarbeitenden sowie die Schaffung von Bewusstsein über potenzielle Angriffe ein Teil einer ganzheitlichen Sicherheitsstrategie. Mit verschiedenen Maßnahmen können Sie sowohl das Wissen als auch das Verhalten der Nutzer:innen und Administrierende nachhaltig ändern. 

Die folgenden Methoden haben sich in unserer Praxis bewährt: 

  • Schulungen und Trainings: Durch regelmäßige Schulungen und Trainings können Nutzer:innen und Administrierende über die aktuellen Sicherheitsrisiken und -maßnahmen informiert werden. Dabei sollte nicht nur theoretisches Wissen vermittelt werden, sondern auch praktische Übungen und Tests durchgeführt werden, um das Gelernte anzuwenden und zu überprüfen.
  • Phishing Kampagnen: Mithilfe von Phishing Kampagnen können Nutzer:innen und Administrierende auf spielerische und kreative Art für das Thema Sicherheit sensibilisiert werden. Mithilfe von passend ausgearbeiteten Kampagnen, z. B. während einer WM oder der Durchführung von Pen-and-Paper-Simulationen, können bestimmte Angriffsszenarien und Methoden abgebildet werden, damit Nutzer:innen diese direkt realistisch an ihrem Arbeitsplatz durchleben. Gleichzeitig werden ihm direkt konkrete Handlungsmethoden für die Zukunft aufgezeigt. 
  • Feedback und Belohnung: Durch Feedback und Belohnung können Nutzer:innen und Administrierende für ihr sicheres Verhalten gelobt und weitere Handlungsmöglichkeiten erläutert werden. Beispielsweise können Nutzer:innen Feedback erhalten, wenn sie eine Phishing-Mail richtig erkannt oder gemeldet haben. Oder sie können Belohnungen erhalten, wenn sie bestimmte Sicherheitsziele erreicht haben. Dadurch wird das positive Verhalten verstärkt und Nutzer:innen erinnern sich leichter an das gelernte.

Bei der sepago vereinen wir den Ansatz der technischen Umsetzung sowie der organisatorischen Begleitung und Schulung in einem ganzheitlichen Konzept. 

sepago Awareness Ansatz

Unsere IT-Security Consulting bildet die technische Basis für ihr Sicherheitskonzept. Die Organisationsberatung rundet dieses Angebot mit einem auf Sie angepassten Schulungs- und Trainingsansatz ab, damit Ihre Nutzer:innen in Zukunft bestens auf potenzielle Angriffe vorbereitet sind. Nehmen Sie gerne Kontakt mit uns auf und lassen Sie und gemeinsam Ihre Sicherheitsstrategie schon heute umsetzen. 

 

Wenn Sie Fragen haben oder weitere Informationen über die Security durch Awareness bei den Mitarbeitenden wünschen, dann kontaktieren Sie uns gerne! Wir freuen uns auf Ihre Anfrage!