Mit technischen Lösungen Security Awareness steigern
Autor: Luca Cremer | 25. Oktober 2022
Das Bedürfnis nach einem umfassenden Sicherheitsbewusstsein der Mitarbeiter steigt mit zunehmender Digitalisierung stetig an. Maßnahmen für mehr Security Awareness unterstützen Unternehmen bei der Abwehr von Cyber-Attacken. Wie Sie dieses mit technischen Lösungen erweitern können, erfahren Sie hier.
Security Awareness ist für jeden wichtig
Ein umfangreiches Sicherheitsbewusstsein ist für jeden Mitarbeiter von Bedeutung. Doch häufig wird davon ausgegangen, dass dieses Thema nur die Mitarbeiter der IT-Sicherheit betrifft. Dieser Irrglaube führt dazu, dass Richtlinien nicht bekannt sind und Sicherheitsbedrohungen erst spät oder gar nicht erkannt werden. Folglich bleibt es oft an den Chief Information Security Officers (CISO) hängen, diese Bedrohungen unter viel Stress abzuwenden und Schadensbegrenzung zu betreiben. Weisen jedoch alle Mitarbeiter Kenntnisse und Fähigkeiten auf, welche dabei unterstützen Sicherheitsbedrohungen abzuwehren, schützt diese das ganze Unternehmen vor Kompromittierung.
Security Awareness in der Praxis
Es gibt Kriterien, die bei der Umsetzung der Security Awareness Maßnahmen in der Praxis essenziell sind. Das Bayrische Landesamt für Sicherheit in der Informationstechnik rät dazu, folgende Punkte aufzunehmen:
- Grundlagen der Informations- und Datensicherheit (Rechtsnormen, DSGVO, BDSG, § 35 SGB I, § 30 AO)
- Die Sensibilisierung hinsichtlich der Zugangskontrolle zu Gebäuden und Gebäudeteilen
- Sicheres Surfen im Internet
- Umgang mit E-Mails, deren Anhängen und Links
- Gefährdung durch Phishing-Angriffe Umgang mit Passwörtern (Aufbau, Richtlinien, Vertraulichkeit)
- Schadsoftware und deren Verbreitungs- und Bedrohungspotenzial
- Aufbewahrung und Zugriffsschutz von (mobilen) Datenträgern
- Bedrohung durch Nutzung nicht zugelassener Software
- Social Engineering
- Verhalten beim Erkennen von Gefahren und sicherheitsrelevanten Ereignissen
Technische Lösungen für Security Awareness
In unseren Artikeln “Keine Angst vor Phishing – Die richtigen Trainings für Security Awareness” und “Security Awareness erhöhen – Wie Sie Mitarbeiter und Kollegen schulen können” haben wir bereits Schulungen und Trainings als Maßnahme zur Steigerung der Awareness vorgestellt. In diesem Artikel soll es um technische Lösungen gehen.
Die Schwachstelle “Mensch”
Ist der Mensch eine Schwachstelle der IT-Sicherheit? Leider ist die Antwort oft ein Ja. Um an vertrauliche Informationen zu kommen, setzten Hacker bei Cyberangriffen häufig auf Social Engineering. Sie nutzen die Emotionen ihrer Opfer und den Wert zwischenmenschlicher Beziehungen. So sind beispielsweise Phishing-Mail Empfänger eher dazu geneigt, einen Link oder eine angehängte Datei zu öffnen.
Ganz allgemein werden beim Social Engineering zwischenmenschliche Beeinflussungen eingesetzt, um bei Personen bestimmte Verhaltensweisen hervorzurufen.
Eine Studie von Bitkom vom August 2021 belegt, dass der Ursprung der Cyberattacken im Social Engineering liegt. Hacker nutzen diese Methode häufig, um über gefälschte Mails oder Websites Nutzer zur Weitergabe ihrer sensiblen Daten zu bewegen oder Malwares zu verteilen. Die Inhalte von Phishing-Angriffen können flexibel an aktuelle Geschehen angepasst werden und sind für das ungeschulte Auge häufig schwer zu identifizieren.
Möglichkeiten und Grenzen der technischen Lösungen
Die technischen Lösungen gehören nicht zu den klassischen IT-Security-Awareness-Maßnahmen, wie die Schulungen, Trainings und Simulationen. Jedoch sind sie besonders hilfreich, um die Schwachstelle “Mensch” zu reduzieren. Diese Lösungen sind unabhängig von den Awareness-Maßnahmen, reduzieren oder eliminieren jedoch sämtliche Schwachstellen, die Unternehmen noch aufweisen. Unterstützung wird vor allem im Bereich Sicherheit der Mitarbeiter gewährleistet, ohne dass diese auf alles selbst achten müssen. Folglich sind Mitarbeiter häufiger weniger genervt und verspüren sogar eine Erleichterung am Arbeitsplatz.
Mithilfe technischer Lösungen kann das trockene Thema der IT-Sicherheit den Mitarbeitern nähergebracht werden, ohne dass sie für alles selbst verantwortlich sind.
Die technischen Lösungen zielen darauf ab, den Mensch als festen Bestandteil in langfristige Sicherheitsstrategien zu integrieren.
Dies ist eine auf Anwenderinnen und Anwender außerhalb der IT-Abteilung zugeschnittene Fortbildung zu IT-Security im Alltag. In kurzen und verständlichen Units können die Teilnehmenden sich das notwendige Wissen aneignen, mit dem Kursmaterial auf Wunsch vertiefen und so ganz ohne IT-Ausbildung entscheidend zur IT-Sicherheit beitragen.
Diesen Kurs liefern wir über unsere Partner-Platform Lecturio aus.
Konkrete Lösungen
Um die Mitarbeiter zu entlasten, können technische Lösungen auf verschiedene Art und Weise im Unternehmen Platz finden.
Passwortrichtlinien und Passwort-Safe
Zu den konkreten Anwendungsfällen gehören zum Beispiel die Passwortrichtlinien oder auch die Passwortsafes.
Passwortrichtlinien müssen immer mit Bedacht gewählt werden. Hier kommt es nicht auf die Länge der Passwörter, die Anzahl an Buchstaben, Zeichen und Zahlen an oder dass es alle zwei Wochen geändert wird. Unstrukturierte Richtlinien können dazu führen, dass Mitarbeiter ihre Passwörter in den angegebenen Zeitabständen nur minimal abändern, wodurch diese an Sicherheit verlieren. Wichtig ist es, die Passwortrichtlinien nach effektiven Schemata zu bestimmen.
Unternehmen können zusätzlich einen Passwortsafe verwenden. Dieser sollte standardmäßig genutzt werden. Hier werden Passwörter nach vorher eingestellten Kriterien generiert und regelmäßig geändert. Dazu kommt, dass die Passwörter abgespeichert werden. Das Risiko, dass Mitarbeiter sich ein kompliziertes Passwort ausdenken und dieses dann irgendwo aufschreiben, wo es für unautorisierte Dritte zugänglich ist, wird eliminiert. Ebenso entfällt das Risiko eines einfachen, unsicheren Passworts.
Single Sign-On und Multi-Faktor-Authentifizierung (MFA)
Eine weitere Möglichkeit bieten die Single Sign-On (SSO) und die Multi-Faktor-Authentifizierung (MFA). Single Sign-On steht für die einmalige Authentifizierung eines Mitarbeiters an einem Arbeitsplatz auf allen Rechnern und Diensten. Danach kann der Mitarbeiter von seinem Arbeitsplatz aus – ohne erneute Anmeldung – auf alle Geräte und Konten zugreifen, für die er lokal berechtigt ist.
Die Multi-Faktor-Authentisierung ist ähnlich der Zwei-Faktor-Authentisierung. Hier findet eine Überprüfung der Zugangsberechtigung durch mehrere unabhängigen Eingaben statt.
Ebenfalls sollte immer darauf geachtet werden, dass beim Verlassen des Arbeitsplatzes der Bildschirm gesperrt wird. Dieser Vorgang kann manuell durchgeführt oder durch Kopplung an ein mobiles Endgerät automatisiert werden.
Unternehmen sollten außerdem immer sicherstellen, dass beinahe identische Domains direkt vom Unternehmen gesperrt werden, sodass niemand diese für Cyberangriffe missbrauchen kann.
Wir unterstützen Sie gerne beim Aufbau einer Security-Awareness-Strategie und bei konkreten Maßnahmen. Schreiben Sie uns eine Mail an info@rz10.de oder stellen Sie uns eine unverbindliche Anfrage: Anfrage stellen.