Security-Awareness: Drei Tipps wie CIOs die menschliche Firewall ihres Unternehmens stärken können
Renee Tarun, Deputy CISO/ Vice President Information Security bei Fortinet, gibt drei Tipps, wie CISOs durch eine konkrete Sicherheitskultur die menschliche Firewall in ihrem Unternehmen stärken können.
Unabhängig davon, ob sie sich dessen bewusst sind oder nicht, können Mitarbeiter ein erhebliches Risiko für die Sicherheit von Unternehmensnetzwerken und deren gespeicherte Daten darstellen: Um Cyber-Kriminellen die Tür zu öffnen, reicht es, auf einen Link zu klicken oder eine Datei herunterzuladen, ohne zuvor zu prüfen, ob diese schädlich ist. Beschäftigte, die von zu Hause aus arbeiten und nicht an den Schreibtisch nebenan gehen können, um die Meinung zu einer verdächtig aussehenden E-Mail einzuholen, sind anfälliger für Social-Engineering-Angriffe.
CISOs müssen ihren Mitarbeitern vermitteln, welche Rolle sie bei der Sicherheit ihres Unternehmensnetzwerks spielen. Das Risiko unabsichtlicher Insider-Bedrohungen lässt sich dadurch reduzieren. Unabhängig von ihrer Position sollten alle Beschäftigten die Auswirkungen eines Sicherheitsereignisses verstehen und wissen, wie es das Unternehmen und sie persönlich beeinflussen kann. Denn aufmerksame Mitarbeiter funktionieren als menschliche Firewall und können Cyber-Bedrohungen abwehren. Die folgenden drei Maßnahmen eignen sich, um alle Mitarbeiter für eine unternehmensweite Sicherheitskultur zu motivieren:
1. Schulungen zur Cyber-Sensibilisierung priorisieren
Weil sie funktionieren sind Social-Engineering-Angriffe in Unternehmen weit verbreitet. Laut des Data Breach Investigations Report 2019 von Verizon haben etwa ein Drittel aller Datenschutzverletzungen auf die eine oder andere Weise mit Phishing zu tun. Um Mitarbeiter für dieses Risiko zu sensibilisieren, müssen CISOs über häufige Angriffsarten, wie Phishing, Spear-Phishing, Smishing oder andere Betrügereien im technischen Support aufklären. Mitarbeiter müssen die Bedrohungen sowie deren Warnsignale erkennen. Dies ist entscheidend, damit sie nicht Opfer gefälschter E-Mails oder bösartiger Websites werden. Das NSE-Schulungsinstitut von Fortinet bietet einen kostenlosen Schulungsservice für IT-Security-Awareness an, um Mitarbeiter über die zunehmenden Risiken von Cyber-Attacken und die Erkennung von Bedrohungen aufzuklären. Zusätzlich sollten auch simulierte Phishing-Übungen Teil der Sensibilisierungsmaßnahmen sein. Sie dienen dazu, das Wissen zu testen und festzustellen, welche Mitarbeiter möglicherweise mehr Unterstützung benötigen.
2. Partnerschaft zwischen Sicherheitsteam und Abteilungen schaffen
Cyber-Sicherheit kann nicht allein auf den Schultern der Sicherheits- und IT-Teams lasten. Während das Sicherheitsteam der Experte in Bezug auf die Risikobestimmung und die Bedrohungen ist, liegt es bei anderen Abteilungen, benutzerfreundliche Richtlinien zu entwickeln. Diese müssen sowohl im Büro als auch vom Remote-Arbeitsplatz aus leicht zu befolgen sein. Alle Personen müssen die Sicherheitsrichtlinien und bewährten Praktiken kennen. Mitarbeiter, die sich als Teil des Teams fühlen, vermeiden eher Verhaltensweisen, die zu den genannten Problemen führen. Beispielsweise achten sie stärker darauf, ihre Standardpasswörter zu ändern und sichere Passwörter zu nutzen. Je mehr Mitarbeiter diesem Beispiel folgen, desto stärker wird die menschliche Firewall, die als erste Verteidigungsfront des Unternehmens fungiert.
3. Eindeutige Best Practices festlegen
Nachdem die Mitarbeiter darüber aufgeklärt sind, worauf sie im Falle eines Social-Engineering-Angriffs achten müssen, benötigen sie eine Anleitung für das weitere Vorgehen. Eine verdächtig aussehende E-Mail ist einfach zu ignorieren oder zu löschen, aber was ist mit den normal erscheinenden E-Mails, bei denen Unsicherheit herrscht? In diesem Fall sollten CISOs ihre Mitarbeiter dazu ermutigen, sich konkrete Fragen zu stellen: Kenne ich den Absender? Habe ich diese E-Mail erwartet? Ruft diese E-Mail eine starke Emotion wie Aufregung oder Angst hervor? Werde ich dazu aufgefordert dringend zu handeln?
Die Empfänger sollten folgende Schritte unternehmen, um sich selbst und ihr Unternehmen zu schützen:
• bevor auf einen Link geklickt wird, mit dem Mauszeiger darüber schweben, um zu sehen, ob er echt ist.
• unerwartete Anhänge nicht öffnen, sondern stattdessen den Absender anrufen und überprüfen, ob er die E-Mail tatsächlich gesendet hat.
• alle verdächtigen E-Mails dem IT- oder Sicherheitsteam melden.
Die aktive Aufklärung der Mitarbeiter hilft jedem CISO negative Auswirkungen zu vermeiden.
CISOs legen den Grundstein für eine starke Sicherheitskultur, indem sie der Schulung aller Mitarbeiter und der Zusammenarbeit zwischen den Abteilungen und dem Security-Team Priorität einräumen. Verdächtiges Verhalten zu erkennen, Geräte auf dem neuesten Stand zu halten und sicheres Cyber-Verhalten zu üben, sollte in die Prozesse aller Aufgabenbereiche integriert werden, um zu gewährleisten, dass die menschliche Firewall funktioniert.
Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist
Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.