Aktueller Channel Fokus:

Business Continuity

IT-SECURITY Management & Technology Conference 2019

Die Verteidigungsstrategien müssen ­anspruchsvoller werden

| Autor: Dr. Andreas Bergler

Sead Avdibasic, Sales Manager, IT-Seal
Sead Avdibasic, Sales Manager, IT-Seal (Bild: IT-Seal)

IT-Seal testet, sensibilisiert und schult Mitarbeiter von Kunden-Unternehmen. Als Partner der IT-SECURITY Management & Technology Conference 2019 stellt der Anbieter die Awareness-Lösungen im neu gegründeten „Cyber Security Loft“ vor.

Warum ist Social Engineering so ein wichtiges Thema? Ist für die Unternehmenssicherheit nicht die IT zuständig?

Avdibasic: Es ist heute weit weniger kompliziert, eine Cyberattacke zu starten, als noch vor wenigen Jahren; entweder selbst, mit geringem technischen als auch finanziellen Aufwand, oder mit sogenannten Cyber-Mercenaries oder Guns for Hire. Es reicht grundsätzlich schon, sich einige YouTube-Videos anzusehen, um den Umgang mit Malware-Bausätzen zu erlernen und wie man diese neuen oder veränderten Schadcodes am einfachsten verbreitet. Dann reicht selbst geringes technisches Hintergrundwissen. In Unternehmen muss ein Bewusstsein für die Bedrohung von Cyber­angriffen entstehen. Dabei reicht es bei Weitem nicht aus, nur auf die Perimeter Security und standardisierte Virenscanner zu setzen. Damit die IT-Infrastruktur effektiv geschützt wird, müssen Verteidigungsstrategien anspruchsvoller werden, in ­Anlehnung an immer komplexer werdende Bedrohungen. Dies betrifft sowohl den technischen als auch den menschlichen Faktor. Parallel zu den technischen Updates und der internen IT-Abteilung müssen auch die restlichen Mitarbeiter geschult werden, damit sie nicht leichtsinnig oder fahrlässig die Sicherheit der gesamten Organisation gefährden. Cyberkriminelle haben mittlerweile erkannt, dass es einfacher ist, einen Menschen zu hacken als eine Maschine. Mitarbeiter zu schulen, ist sicherlich mit Kosten verbunden, aber nicht zu vergleichen mit der Höhe eines Schadens an der IT-Infrastruktur. Denn dieser kann zu einem tagelangen Stillstand führen oder den Verlust sensibler Daten nach sich ziehen. Was auf jeden Fall bleibt, ist ein nachhaltiger Reputationsschaden.

Sie präsentieren auf der „IT-Security Management & Technology Conference 2019“ das „Security Awareness-Programm Lifetime “. Was ist darunter zu verstehen?

Avdibasic: Das „Security Awareness-Programm Lifetime“ hat das Ziel, die Awareness komplett abzuhaken. Es bietet Unternehmen und Organisationen die Möglichkeit, das Thema Mitarbeiter-Awareness vollständig auszulagern. Ihre Mitarbeiter sollen das sichere Erkennen sowie den professionellen Umgang mit Social Engineering-Angriffen erlernen. Wir haben hierzu ein innovatives Verfahren entwickelt, um das jeweils aktuelle Sicherheitsniveau der Mitarbeiter kontinuierlich und nachhaltig zu stärken. Dieses Verfahren erlaubt ihnen, eine neue Kontrolle über die Informationssicherheit in Ihrem Unternehmen zu erlangen. Sie legen fest, welche Mitarbeitergruppen wie sicher sein sollen – wir kümmern uns darum, dass die Gruppen ihr jeweiliges Ziel erreichen und kontinuierlich halten. Dabei unterstützen wir die Mitarbeiter je nach Bedarf mit Hilfe unserer in den Alltag integrierten Mitarbeitertrainings wie unsere Phishing Akademie, nutzen E-Learning Module, selbstproduzierte Kurzvideos, Awareness-Materialien, Präsenzschulungen und den IT-Seal Phishing Reporter für Outlook – natürlich immer in Absprache mit dem Ansprechpartner vor Ort. Sobald das angestrebte Sicherheitsniveau erreicht wurde, pausieren wir unsere Maßnahmen für die entsprechende Gruppe für drei Monate, bevor wir mit Hilfe unserer IT-Seal Security Awareness Standortbestimmung prüfen, ob das Sicherheitsniveau noch dem gewünschten Zustand entspricht oder erneut Unterstützung erforderlich ist. Durch diese kontinuierliche Unterstützung können Sie sich sicher sein, dass Ihre Mitarbeiter beständig trainiert und geschult sind und bestens ausgestattet, um einen realen Angriff abzuwehren und um Schaden für Ihr Unternehmen zu vermeiden. Auf diese Weise wird das Verständnis und die Awareness der Mitarbeiter gegenüber aktueller Angriffsmethoden unmittelbar gesteigert. IT-Seal „Lifetime“ ist somit ein nachhaltiges und messbares Awareness-Programm.

In dem „Employee Security Index“ räumen Sie gewisse „Toleranz-Klickraten“ beim Fehlverhalten der Anwender ein. Bedeutet das, dass Unternehmen auch bei „vorbildlichem“ Verhalten der Mitarbeiter nicht sicher sind?

Avdibasic: Es ist unrealistisch, dass kein Mitarbeiter auf unsere Spear Phishing E-Mail klickt. Auch wir sind nicht vor einem falschen Klick gefeit, wenn ein Angreifer den richtigen Moment und das richtige Thema erwischt. Deswegen definieren wir ein Unternehmen nicht erst als sicher, wenn es null Klicks erreicht, sondern sprechen von einem vorbildlichen Unternehmen bei gewissen Toleranz-Klickraten. Diese Toleranzgrenzen basieren auf unserer Erfahrung, wie gut vorbildliche Testgruppen nach mehrmonatigem Awareness-Training werden. Sicherheit ist immer ein schwammiger Begriff und schwer definierbar, da er die „Abwesenheit von Vorfällen“ beschreibt. Der „Employee Security Index“ ist ein Benchmark beziehungsweise Kontrollinstrument, mit dem das Sicherheitsbewusstsein greifbar gemacht werden kann. Und um die Klickraten auf null herunterzufahren, müsste man die Internet-Nutzung generell verbieten. Eine hundertprozentige Sicherheit gibt es leider nicht.

www.it-seal.de, www.bleib-wachsam.de

Ergänzendes zum Thema
 
Termine und Anmeldung

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45948842 / Summits & Exclusives)