Aufrufe
vor 1 Woche

Cybersecurity 2020

  • Text
  • Cybersecurity
  • Februar
  • Malware
  • Mitarbeiter
  • Angriffe
  • Sicherheit
  • Schweizer
  • Cyber
  • Schweiz
  • Unternehmen

agiert nun als dessen

agiert nun als dessen strategisches Investitionsorgan für die Förderung von Start-ups. Im Schatten von Kaspersky und Huawei Fürchtet die Privatwirtschaft bei so vielen staatlichen Geldern nicht, ein ähnliches Schicksal wie Huawei oder Kaspersky zu erleiden? Beide Firmen wurden der staatlichen Einmischung bezichtigt und infolgedessen zeitweise auf schwarze Listen gesetzt. «Das könnte durchaus passieren», sagte Gil Shwed, Mitgründer und CEO des IT-Security-Anbieters Check Point, im Gespräch. Aber es sei unwahrscheinlich. Denn die Regierung wisse, wie wichtig der Hightech-Sektor für das Land sei. «Wenn wir unseren guten Ruf in dem Sektor verlieren, würde das nicht nur die israelische Wirtschaft ruinieren, sondern das ganze Land.» Man könne die Lage in Israel aber nicht mit China oder Russland vergleichen. «Ein anderes Land könnte schon versuchen, die eigenen Hightech-Exporte zu nutzen, um Feinde auszuspionieren. Unsere Feinde würden jedoch nie israelische Technolo gien verwenden», sagte Shwed. Check Point selbst erhielt gemäss dem CEO keine Fördergelder vom Staat. Von der Armee in die Wirtschaft Netanjahus Blick schweifte von der Bühne und über die Reihen der Besucher der «Cyber Week»-Konferenz. Mit tiefer Stimme und einem überraschend kräftigen amerikanischen Akzent sprach der Ministerpräsident weiter: «Wir erschufen ein Wirtschaftsumfeld, worin jeder, der aus der Armee kommt und ein Unternehmen gründen will, nicht durch horrend hohe Steuern davon abgehalten wird.» Das Schlüsselwort in dem Zitat ist «Armee». Einem Inkubator gleich dienen die Verteidigungsstreitkräfte (IDF) in Israel nicht nur der Landesverteidigung. Gil Shwed etwa hatte die Idee für Check Point nach eigenen Angaben im Militär. Alon Cohen, Gründer und ehemaliger CEO von Cyberark, diente sieben Jahre bei Mamram, die zentrale IT -Infrastruktur-Einheit des Militärs. «Das war die beste IT -Ausbildung, die ich je hatte», sagte er, während er sein neues Start-up Nsknox vorstellte. Ähnlich hören sich die Geschichten fast jedes Start-ups an, das sich während der Konferenz vorstellte: Idee, Mitgründer, Know-how oder auch Softskills wie Führungskompetenzen verdanken sie dem Militär. Dagan von der Israel Innovation Authority bezeichnet die Wehrpflicht daher auch als ein «wertvolles Kapital für unsere Cybersecurity-Industrie». Anders als in der Schweiz gilt die Wehrpflicht in Israel für Männer und Frauen. Das Land kommerzialisiert ausserdem militärische Technologien. Ein Beispiel hierfür ist die Pillcam der Firma Given Imaging. Eine kleine Kapsel mit zwei Kameras, die Endoskopien überflüssig macht. Die Technologie dahinter basiert auf Lenkraketen. Und auch die Kühltechnologie von Rafael-Raketen wird heute genutzt, um Krebszellen zu zerstören. Die minimal-invasive Methode nennt sich Visual-ICE. Mut, Regulierungen und Iran Zurück auf der grossen Bühne musterte der mächtigste Mann Israels erneut das Publikum. «Meine Hauptaufgabe ist es, nicht überzuregulieren», sagte Netanjahu. «Wir müssen es riskieren, weniger zu regulieren, um mehr zu wachsen.» Oder anders gesagt: Chuzpe. Das jiddische Wort ist irgendwo zwischen «unverschämter Mut» und «charmante Dreistigkeit» einzuordnen. Das Selbstbild vieler Start-up-Gründer und Cybersecurity-Spezialisten in Israel. Dies gilt aber auch für den Staat selbst. «Wenn wir keine Risiken eingehen, wird der Markt nicht wissen, wie das geht», sagte Dagan von der Israel Innovation Authority. Diesen Mut braucht die Branche in Israel auch. Während andere Länder ihre Cyberabwehr in teuren Tests prüfen müssen, sieht sich Israel permanent mit realen Gegnern konfrontiert. Seit 2013 muss sich das Land etwa jährlich gegen #Opisrael behaupten. Dahinter steckt eine koordinierte Cyberattacke von Hacktivisten weltweit. Und dann gibt es noch den Cyber-Staatsfeind Nummer eins: Iran. «Die aktivste Cyberbedrohung im Nahen Osten», wie verschiedene Redner an der «Cyber Week» immer wieder betonten. Dem will auch Netanjahu weiter Paroli bieten: «Wir werden der weltweite Marktführer sein, wenn es um Cybersecurity geht», sagte er. Über 900 Teilnehmer aus mehr als 80 Ländern kamen für die Konferenz nach Tel Aviv. Benjamin Netanjahu, Ministerpräsident von Israel MARKET 19

Gute Awareness-Programme machen Firmen zehn Mal sicherer MARKET Mitarbeitersensibilisierung heisst das Zauberwort: Durchdachte Schulungen und realitätsnahe Phishing-Simulationen erhöhen erheblich die Unternehmenssicherheit und mindern das Schadensrisiko durch Cybercrime. Aber worauf ist bei Aufbau und Unterhalt solcher Programme zu achten? In Anbetracht der Tatsache, dass 97 Prozent aller Angriffe im Internet auf den Menschen zielen und über 90 Prozent der erfolgreichen Angriffe bei unachtsamen Mitarbeitern beginnen, liegt es auf der Hand, dass heutzutage viele Firmen beim Sicherheitsbewusstsein des Mitarbeiters Nachholbedarf haben. Durch die Individualität der Organisationen ist es oft nicht sinnvoll, Cybersecurity-Awareness-Massnahmen entkoppelt vom Unternehmenskontext aufzubauen. Dazu kommt, dass die Verantwortlichen zu Beginn mit vielen ungewohnten Fragen konfrontiert werden. Dieser Beitrag beantwortet häufig gestellte Fragen zum Thema Cybersecurity Awareness und Mitarbeitersensibilisierung. Der Artikel zeigt, wie ein Awareness-Programm effizient aufgebaut wird und was man tun muss, damit es effektiv bleibt. Was ist Cybersecurity-Awareness? Wir versuchen es mit einer Definition: «Sicherheitsbewusstsein ist die Wachsamkeit, das Wissen und die Attitüde, welche die Mitglieder einer Organisation in Bezug auf die möglichen und aktuellen Bedrohungsszenarien aus dem Internet haben. Ziel ist der Schutz des IT- und Informationsvermögens einer Organisation und die Vermeidung von Schaden.» Was ist das Ziel von Cybersecurity-Awareness? Ziel ist die Vermeidung von Internetkriminalität, die durch unwissende oder achtlose Mitarbeiter in die Organisationen eingeschleppt wird. Salopp gesagt, geht es um «Immunisierung gegenüber Social Engineering». Warum ist Cybersecurity-Awareness überhaupt wichtig? An der letztjährigen IT-SA im Oktober 2019 in Nürnberg wurde Cybersecurity-Awareness – häufig einfach Security-Awareness oder gar nur Awareness genannt – eine der aktuellen Themen für die IT-Security-Branche. Bei IT-Security-Spezialisten wird der Zwang zu Security-Awareness heute nicht mehr hinterfragt. Wenn man aber mit themenfremden Personen über Awareness spricht, dann begegnet man dieser Frage noch immer ziemlich oft. Das leuchtet ein, denn Leute, die sich nicht eingehend mit Informationssicherheit befassen, kennen häufig die einschlägigen Studien und Berichte nicht. Diese Reports zeigen die hohe Relevanz von Security-Awareness auf. Einerseits gibt es die Risikosicht: Bei 97 Prozent der Cyberangriffe ist der Mensch im Visier. 91 Prozent der erfolgreichen Attacken begannen mit einem Social-Engineering-Trick, meistens Phishing. Und inzwischen ist Cybercrime überall: Heute sind zwei Drittel der Firmen, die Opfer werden, KMUs. Auf der anderen Seite steht der Nutzen von Security-Awareness: Es gilt inzwischen in der Branche als erwiesen, dass richtig durchgeführte Awareness-Programme eine Firma 10 Mal sicherer machen. Das für sich ist schon wichtig genug. Wozu braucht es ein ständiges Security-Awareness- Programm? Leider reicht eine einzelne Trainingsmassnahme nicht für eine nachhaltige Sensibilisierung. Eine zeitlich beschränkte Kampagne kann nicht alle Mitarbeiter, geschweige denn alle Risikothemen abdecken. Zudem nimmt die durch die Kampagne erreichte Mitarbeitersensibilisierung nach zwei bis drei Monaten wieder ab. Ein konkretes Beispiel: Letzthin wurde ein uns bekanntes KMU aus dem Detailhandel angegriffen. Eine Stellenbewerbung mit Lebenslauf und separatem Profilbild erreichte eines Nachmittags die Mitarbeiter der Firma. Einige Minuten nach dem Erhalt der «Bewerbung» konnte man die Ladentüren nicht mehr öffnen und auch die Kasse lief nicht mehr. Das Lagersystem und die Buchhaltung waren ebenfalls für einige Tage unbrauchbar. Im Unternehmen gibt es die Richtlinie, E-Mail-Bewerbungen ungeöffnet zu löschen. Die Personen, die sich das vermeintliche Bewerberfoto angeschaut und damit die Malwareattacke in Gang gesetzt hatten, wurden befragt, wieso sie sich der Weisung widersetzt hatten. Ein Mitarbeiter sagte, er habe von der Weisung nichts gewusst, sonst hätte er sich auch daran gehalten. Eine andere Mitarbeiterin sagte, Sie habe von der Weisung gewusst, aber beim Anschauen der Mail nicht daran gedacht. Ein Mitarbeiter sagte sogar: «Ja ich habe mir das ‹Bewerberfoto› angeschaut, aber wo liegt hier überhaupt das Problem?» Mit diesen drei Kategorien von Ausbildungsmängeln ist man immer konfrontiert. Mit einer einzigen Schulung kann man sie nicht umfassend eliminieren. Deswegen benötigen auch KMUs ein ständiges Awareness-Programm. Der Autor Palo Stacho, Partner Manager und Leiter Business Development, Lucy Security 20

Archiv