:quality(80)/p7i.vogel.de/wcms/80/1a/801a74785fa8b164b2ee7c94e58d2b83/0114374196.jpeg "Mit der Übernahme von Whysec erweitert die Public Cloud Group den Cloud-Security-Bereich um Compliance. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/05/a0/05a0ebc9916d897217f31e8d67542b9a/0114061768.jpeg "Der Aruba Instant On 1960 ist ein stapelbarer Switch mit einer Portkapazität von 2,5 GB. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/d6/73/d67399a6cda0865e27b5761a0fb78fe4/0114290307.jpeg "Das Prinzip Lego-Kiste: Wer ohne Anleitung baut, braucht entsprechende Skills. (Bild: Daria Miroshnikova - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/f1/f0f170551c77eb436fa239f9f843ec61/0114333864.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/82/018287796cd5d03df3fc4ca15d6ed1e7/0114017613.jpeg "Bundesweit ist die Glasfaserquote von Juni 2022 bis Juni 2023 um mehr als neun Prozentpunkte auf 35,6 Prozent gestiegen. (Bild: Breko)")
:quality(80)/p7i.vogel.de/wcms/89/e6/89e6bebd0cb0b73066f32f6fa9cfd0a8/0114050426.jpeg "Führungskräfte haben erkannt, dass die Cloud nicht nur eine Infrastrukturlösung ist, sondern eine transformative Geschäftsplattform – trotzdem nutzen viele Unternehmen ihr Potenzial noch nicht vollständig aus. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/b4/9bb4e7b3393a377c715c5a0eaf35cdf6/0114252945.jpeg "„Expect Dragons“ – diese Zeiten sind im Cloud-Geschäft mehr oder weniger Geschichte. (Bild: Dusan Kostic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/8b/4a8b9d2e409dea08fd424980b590db58/0114138503.jpeg "Von jetzt auf Cloud. Der Markt ist stark, die Anforderungen komplex. Der Channel reagiert mit skalierbaren Services. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/54/ee54b4d03b7b6761d960f5f80c729d7f/0114272274.jpeg "Für Zocker und Grafikprojekte. Der neue 27-Zöller von AOC mit 1500-R-Krümmung, QHD und 165 Hz Bildwiederholrate. (Bild: Agon by AOC)")
:quality(80)/p7i.vogel.de/wcms/9e/54/9e54a3f9bc279e678d5b45b194b94ec3/0114039171.jpeg "Matrix42-CFO Marc Breitfeld: „Mit Enterprise Service Management lassen sich Ausgaben besser verwalten, Software wird effizient genutzt und Lizenzbestimmungen können mühelos eingehalten werden.“ (Bild: Matrix42)")
:quality(80)/p7i.vogel.de/wcms/49/78/4978f12bb7f97f1367024ace7123accf/0114282922.jpeg "(Bild: TXOne Networks)")
:quality(80)/p7i.vogel.de/wcms/42/57/4257157797438d98f9cdf0627597fce3/0114236633.jpeg "(Bild: NinjaOne)")
:quality(80)/p7i.vogel.de/wcms/10/10/10105123edce5a5f3eddb86069e4c9eb/0114006804.jpeg "(Bild: ALSO)")
Ein Leitfaden von KnowBe4 Die 10 Phasen der Security Awareness
In zehn Schritten zum sicheren Unternehmen? Ganz so einfach ist es leider nicht. Mit dem 10-Phasen-Modell möchte KnowBe4 den Partnern und Endkunden zumindest einen groben Fahrplan an die Hand geben, wie sie ihr Sicherheitsbewusstsein erhöhen können.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
Es ist kurz vor 17 Uhr. Beate hat langsam keine Lust mehr. In ihrem E-Mail-Postfach häufen sich die Bewerbungsanschreiben für eine neu ausgeschriebene Stelle. Sie arbeitet in der Personalabteilung eines mittelständischen Papierherstellers und möchte die Bewerbungen zwar gründlich prüfen, aber auch endlich Feierabend machen. Sie öffnet eine Nachricht. Im Anhang findet sie ein weiteren Lebenslauf, klickt ihn an, liest. So geht es noch eine halbe Stunde weiter, bis sie den Computer herunterfährt und nach Hause geht. Was Beate nicht weiß: Die letzte E-Mail war ein Phishing-Angriff. Und über Nacht verschafft sich daraufhin ein Cyberkrimineller Zugang zu Unternehmensdaten.
Das 10-Phasen-Modell
Doch diese E-Mail war bestimmt nicht der erste Angriff auf die Papierfabrik. Laut G Data, einem Anbieter für Security Awareness Trainings, begegnen einem Unternehmen täglich durchschnittlich 350 verschiedene Phishing-Mails, die sich als Bewerbungsschreiben oder Rechnungen tarnen. Dabei ist Security Awareness kein neuer Trend. Bereits 1992 hat die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) Guidelines für die Sicherheit von Informationssystemen veröffentlicht.
Auch der Anbieter KnowBe4 kann auf eine lange Erfahrung bei der Bereitstellung von Schulungsmaterialien für das Sicherheitsbewusstsein in Unternehmen zurückblicken. Seit zehn Jahren stellt KnowBe4 Kunden und Partnern eine Lernplattform bereit. Die Geschwindigkeit des Lernfortschritts ist dabei je nach Größe der Organisation, Firmensitz und Branche unterschiedlich. Dennoch konnte der Anbieter sich ähnelnde Muster feststellen und hat die Security Awareness in zehn Phasen unterteilt. Das Modell soll Unternehmen mögliche Schritte zeigen, wie sie sich in Richtung einer hohen Security Awareness entwickeln können.
1. Phase: Erhöhtes Bewusstsein bei Informationssicherheits- und IT-Experten
Auch wenn sie Experten sind, können IT-Fachleute von Phishing betroffen sein. Deswegen sollten vor allem sie ein hohes Maß an Sicherheitsbewusstsein haben und die Notwendigkeit in der Vermittlung der Security Awareness erkennen.
2. Phase: Bereitstellung von Awareness-Inhalten
Zu den ersten Maßnahmen in der Wissensvermittlung gehören laut KnowBe4 vor allem Präsentationen. Zwar sind die Ergebnisse dieser altmodischen Art der Vermittlung wenig zielführend. Sie wird von dem Hersteller dennoch als erster wichtiger Schritt eingestuft, um zumindest ein paar Grundlagen zu schaffen.
3. Phase: Plattform-Automatisierung
Statt Präsentation wird nun ein Learning Management System (LMS) eingeführt. Die Automatisierung der Prozesse zur Bereitstellung von Schulungen sowie personalisierter Inhalte ist der zweite Schritt und markiert die dritte Phase, in der sich das Unternehmen nun befindet. „Indem das wiederholende Testen der Mitarbeiter automatisiert erfolgt, haben die IT-Verantwortlichen mehr Zeit für die Entwicklung anderer Bereiche, zum Beispiel Threat Hunting“, ergänzt Jelle Wieringa, Security Awareness Advocate bei KnowBe4.
4. Phase: Kontinuierliches Testen
Mitarbeiter sollten nach den Schulungen regelmäßig über die Plattform getestet werden, um sicherzustellen, dass das erworbene Wissen tatsächlich erhalten geblieben ist.
5. Phase: Unterstützung durch Technologie
In dieser Phase werden die Schulungen durch Technologie ergänzt. KnowBe4 bietet hierfür den Phish-Alarm-Button an. Dieser wird in den E-Mail-Clients der Endbenutzer bereitgestellt, damit diese alle Phishing-E-Mails per Knopfdruck an das Incident Response Team oder das SOC melden können. „Technologie zur Unterstützung der Mitarbeiter dient in diesem Fall als Werkzeug, nur wer es richtig bedienen kann, kann es auch nutzen. Auch hierfür ist eine Schulung notwendig und die Mitarbeiter müssen ihre Erfahrung im Umgang damit machen, um es richtig einsetzen zu können. Am Ende aber muss immer der Mensch selbst entscheiden, die Technologie nimmt ihm das nicht ab“, sagt Wieringa.
6. Phase: Sicherheits-Orchestrierung
In der nächsten Phase werden die gemeldeten E-Mails in einen Sicherheits-Workstream integriert, der deren Risikoniveau bewertet. Im Falle einer Bedrohung greift die Software automatisiert in den Posteingang aller Benutzer ein, um bösartige Nachrichten unschädlich zu machen, bevor weiterer Schaden entsteht.
7. Phase: Management des Benutzerverhaltens
Mit detaillierten Risiko-Metriken sowohl über einzelne Benutzer als auch über Benutzergruppen können Unternehmen nun maßgeschneiderte Kampagnen erstellen, die auf dem beobachteten Risikoverhalten basieren. Darüber hinaus wird in dieser Phase auf falsches Passwortverhalten hingewiesen und individuelle Trainingsmodule werden an identifizierte Hochrisiko-Mitarbeiter versendet.
8. Phase: Adaptive Lernerfahrung
Die nächste Phase besteht darin, dass der Endbenutzer Zugriff auf eine individuelle Benutzeroberfläche erhält, auf der er seinen Risiko-Score sehen, Auszeichnungen erhalten und an weiteren Schulungen teilnehmen kann. In dieser Phase ermöglichen fortschrittliche Metriken auch ML- und KI-gesteuerte Kampagnen, bei denen jeder Benutzer ein hochgradig individualisiertes Security Awareness Training erhält.
9. Phase: Aktive Beteiligung der Mitarbeiter an der Gesamtsicherheitslage
Hier wird sich der Benutzer seiner Rolle in der Verteidigung des Unternehmens bewusst und entscheidet sich aktiv für zusätzliche Schulungen, um seinen Risiko-Score zu reduzieren. Mittlerweile hat der Anwender die Erkenntnis, dass er selbst zum Endpunkt geworden ist.
10. Phase: Der Mitarbeiter als menschliche Firewall
Jeder Mitarbeiter ist sich der Risiken im Zusammenhang mit der Cyber-Sicherheit ausreichend bewusst und trifft jeden Tag intelligente Sicherheitsentscheidungen, die auf einem klaren Verständnis dieser Risiken basieren.
Awareness ist individuell
„Eine Einschätzung, in welcher Phase sich ein Unternehmen gerade befindet, ist auch für Fachleute nicht immer leicht zu treffen“, beginnt Wieringa auf die Frage hin, in welcher Phase der Security Awareness sich die Papierfabrik befindet, in der Beate arbeitet. „Es mag so aussehen, als ob bestimmte Aspekte einer Phase vorhanden sind, aber es bleibt meist offen, wie gut diese implementierten Prozesse funktionieren. Ein Beispiel zur Veranschaulichung. Ein Unternehmen setzt automatisierte Phishing-Kampagnen ein, die auf eine bestimmte Abteilung abgestimmt sind. Aber für die anderen Abteilungen sind noch gar keine Kampagnen entwickelt worden. Die Mitarbeiter der verschiedenen Abteilungen tauschen sich allerdings untereinander aus. Reicht es also nur eine bestimmte Abteilung zu schulen, um eine neue Phase zu erreichen? Nein, es ist im Gegenteil wichtig alle Abteilungen zu schulen, um als Unternehmen eine neue Phase zu erreichen.“
Wenn Führungskräfte oder IT-Verantwortliche wissen möchten, in welcher Phase sie sich konkret befinden, empfiehlt Wieringa Tools wie Business-Impact-Analysen, Cybersecurity-Reifegrad-Modellierungs-Frameworks oder Compliance Assessments. „Es ist weniger wichtig zu wissen, wo man steht, als vielmehr, wo man hin will. Die Verantwortlichen sollten lieber über eine Roadmap nachdenken und die gesamte Organisation in diese Roadmap mit einbeziehen. Das 10 Phasen Modell ist ein Werkzeug, das Unternehmen in diesem Prozess verwenden können, um der Geschäftsführung aufzuzeigen, was Security Awareness leisten kann und soll.“
Das finale Ziel der Schulungen ist Wieringa zufolge die menschliche Firewall. Jeder Mitarbeiter sollte sich im Klaren darüber sein, warum seine Rolle für die Security wichtig ist und wie er sich verhalten oder bei der täglichen Arbeit agieren sollte. „Die meisten Organisationen kommen aus einer Position, in der Cyber-Sicherheit oft als ein IT-Problem angesehen wird. Daher denken die Geschäftsführer, dass die IT-Verantwortlichen das Problem lösen sollten. Das ist ein Irrtum. Cyber-Sicherheit ist etwas, das die gesamte Organisation betrifft. Jeder Mitarbeiter, in der gesamten Organisation, muss aktiv dazu beitragen.“
Irgendwann wird Beates Fehler auffallen. Noch nicht am nächsten Montagmorgen und vielleicht auch noch nicht an dem Montag darauf. Hat die Papierfabrik Glück, bemerkt jemand den Angriff so schnell wie möglich und leitet entsprechende Gegenmaßnahmen ein. Eine langfristige Maßnahme sollten unternehmensübergreifende Security-Awareness-Schulungen sein. Bis dahin kann der Hacker sich nun ungestört im Firmennetzwerk bewegen.
(ID:47128528)
:quality(80)/p7i.vogel.de/wcms/9a/91/9a915e42feeb206931bad4565001d5a0/0113166447.jpeg "IBM zeigt in einem Report: Die Kosten für Sicherheitsvorfälle steigen. Ein Weckruf für Unternehmen weltweit, eine proaktive Haltung zur Cybersicherheit einzunehmen und in fortschrittliche Bedrohungserkennungssysteme sowie Security-Awareness-Schulungen zu investieren. (Bild: Bo Dean - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/a6/90a6e5e4db1d34282e758c919182fcd8/0105619455.jpeg "Deepfakes sind realistisch wirkende Medieninhalte (Audio und/oder Video), die durch Verwendung Künstlicher Intelligenz abgeändert und verfälscht worden sind. (Bild: Who is Danny - stock.adobe.com)")