Aufrufe
vor 3 Monaten

Cybersecurity 2020

  • Text
  • Cybersecurity
  • Februar
  • Malware
  • Mitarbeiter
  • Angriffe
  • Sicherheit
  • Schweizer
  • Cyber
  • Schweiz
  • Unternehmen

Sind

Sind Phishing-Simulationen sinnvoll? Unsere Erfahrung mit Kunden in über 40 Ländern zeigt, dass die Herausforderung «aufmerksame Anwender» regional verschieden angegangen wird. In Nordamerika gibt es sehr häufig Phishing-Simulationen. Eine realitätsnahe Angriffsimulation wird dort als «Fire-Drill» verstanden und man hat dabei wenig Berührungsängste. In Europa sieht es anders aus. Hier will man eher schulen und weniger «phishen». Im Vordergrund stehen Trainings mithilfe von CBT oder E-Learning. Häufig wird sogar edukatives Social- Engineering wie simuliertes Phishing missbilligt. Offensichtlich keine gute Haltung. Denn wir sehen, dass Phishing-Simulationen die Klickraten auf schädliche Links bedeutend schneller reduzieren, als wenn nur Security-Awareness-Schulungen durchgeführt werden. Die Erfahrung zeigt, dass es beides braucht: gute Schulungen und realitätsnahe Phishing-Simulationen. Und natürlich auch eine IT-Security-Infrastruktur – ohne die geht es nicht. Welche Phishingsimulationen verwende ich? «Wen phishe ich womit und wie?», ist eine der bedeutendsten Fragen bei Security-Awareness-Kampagnen. Leider ist keine allgemeingültige Antwort möglich. Zu viele Unternehmensaspekte spielen bei der Planung einer Kampagne oder gar einer ganzen Roadmap eine Rolle: Wie ist der bestehende Ausbildungsstand? Gibt es besondere Risikogruppen? Welche Bedrohungsvektoren werden durch die IT abgesichert? Gab es erfolgreiche Attacken in der Vergangenheit? Sind Szenarien mit bekannten Marken oder mit Absendern von Partnerfirmen notwendig? Wie SECURITY AWARENESS PROGRAMME FRAMEWORK (SAPF) Strategic / Normative Scope (Why & What) Tactical Plan (How) viel Misstrauen gegenüber externer Kommunikation will man aufbauen? Anhand dieser Fragen ist ersichtlich, dass es keine Patentlösung gibt. Best Practice ist: Einfach anfangen und zu Beginn mit möglichst banalen Phishing-Simulationen eine möglichst tiefe Klickrate anpeilen. Wenn eine Attacke mit der Masche «Gewinne ein iPhone» eine Klickrate von 0 Prozent erzielt, kann man beruhigt sein. Und wenn trotzdem Mitarbeiter darauf reinfallen, weiss der Sicherheitsverantwortliche, dass er mit dem richtigen Schwierigkeitsgrad angefangen hat. Weitere Hilfestellung bieten Tool-Hersteller. Was schule ich und wann schule ich? Bei der Definition einer Trainings-Roadmap ist zu berücksichtigen, was man schulen muss und was man schulen sollte. Zum Muss-Bereich gehören Compliance-Trainings, die auf die Durchsetzung der in der Firma bestehenden Sicherheitsrichtlinien abzielen. In den Soll-Bereich gehören branchenspezifische Security-Trainings beziehungsweise der ganze Katalog des allgemeinen «Security-Awareness-Contents». Klar ist, dass man nicht alles auf einmal trainieren kann. Besser ist es, häufiger, dafür kürzer zu trainieren. Worauf muss ich speziell achten? Es gibt sehr viele Aspekte, die für ein gutes Awareness-Programm relevant sind. Bei einem KMU ist es einfacher als bei einer mittelständischen Firma oder einem Grossbetrieb. Wir raten aber allen Organisationen am Anfang Folgendes: 1. Warte nicht, fang einfach an! 2. Macht beides, trainiert eure Leute und testet sie auch mit Simulationen! 3. Cybersecurity-Mitarbeitersensibilisierung ergibt keinen Sinn ohne eine ausgereifte IT-Security-Infrastruktur. 4. Einmalige Massnahmen bringen wenig, sensibilisiert eure Mitarbeiter ständig! 5. Verwendet dafür Standardprodukte und -lösungen, inzwischen gibt es gute und sehr günstige Anbieter! 6. Für alles andere gibt es das «Security Awareness Programme Framework» (SAPF). MARKET • SecAW Strategy • SecAW Policy • Baseline Campaign Operational Run (Increase!) • Smarter Users • Better Systems •SecAW Plan •Adopted Environment •«ready to run» Evolve • Effective Programme • Smart Insights Mithilfe von SAPF effektive Mitarbeitersensibilisierung erreichen Es gibt viele Punkte zu beachten, damit im Unternehmen ein gutes Awareness-Programm aufgesetzt, gestartet und unterhalten werden kann. Der SAPF-Leitfaden vereinfacht Planung und Umsetzung. Bei KMUs können einfachere Lösungen umgesetzt werden als bei grösseren Unternehmen. Bei allen Programmen sollte aber der Ablauf «Scope, Plan, Run, Evolve» befolgt werden. Damit arbeitet man sich von der strategischen über die taktische bis hin zur operativen Ebene der Kampagne durch. Zu beachten ist, dass in der Scoping-Phase nicht nur viele strategische Aspekte zu klären sind, sondern auch ein Verständnis entwickelt werden muss: für bestehende Sicherheitsrichtlinien, den aktuellen Risikokatalog, vergangene Schulungen, die bestehende Securityinfrastruktur, und einiges mehr. 21

MARKET Viola Amherd lässt diplomierte Hacker vom Stapel laufen Bundesrätin Viola Amherd hat in Bern das neue Berufsbild «Cyber Security Spezialist mit eidgenössischem Fachausweis» lanciert. Die Berufsprüfung wurde von ICT-Berufsbildung Schweiz zusammen mit der Wirtschaft und der Schweizer Armee entwickelt. Ein besonderes Anliegen aller Beteiligten: Wie lassen sich mehr Frauen für Cybersecurity-Berufe begeistern? Autor: Coen Kaat «Wir sind nicht nur fortschrittlicher geworden, sondern auch verletzlicher.» Die Worte richtete Bundesrätin Viola Amherd an das Publikum im Welle7, mit Ausblick auf das emsige Kommen und Gehen im benachbarten Berner Hauptbahnhof. Die Digitalisierung habe zwar die Effizienz stark gesteigert – aber auch die Abhängigkeit von ihr. «Staat und Privatpersonen gleichermassen sind heute auf eine funktionierende IT-Infrastruktur angewiesen», sagte Amherd. «IT und Daten sind mittlerweile der Lebensnerv der Gesellschaft. Werden sie angegriffen, wird es schnell ungemütlich und die Folgen können gravierend sein.» Daher seien Schutz und Sicherheit auch im Cyberspace eine sicherheitspolitische Priorität geworden. «Der heutige Tag ist ganz in diesem Sinne», führte die Bundesrätin zum Grund des Events über: Amherd, die Chefin des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) lancierte in Bern das neue Berufsbild «Cyber Security Spezialist mit eidgenössischem Fachausweis». Rund 100 geladene Gäste aus Bildung, Wirtschaft, Verwaltung und der Armee waren dafür angereist. Die Berufsprüfung wurde von ICT-Berufsbildung Schweiz auf Anregung der Schweizer Armee und in enger Zusammenarbeit mit dem Bund und der Privatwirtschaft entwickelt. Als offizielle Trägerschaft vermittelt ICT-Berufsbildung zwischen den verschiedenen Stakeholdern. Der Fachausweis umfasst verschiedene Kompetenzen. Um die Qualität der Prüfung möglichst hoch zu halten, arbeitet die Organisation mit dem IT-Security-Dienstleister Compass Security sowie der Schweizerischen Vereinigung für Führungsausbildung (SVF) zusammen. Die SVF prüft die Führungskompetenzen der Kandidaten. Der grösste Teil der Prüfung betrifft jedoch die Cybersecurity- Expertise. Diese wird im Hacking-Lab von Compass Security geprüft. Dort müssen die Kandidaten Schwachstellen in einem realen System aufdecken und konkrete Angriffe abwehren, wie ICT-Berufsbildung in einer Mitteilung schreibt. «Und wir bringen am Ende alles wieder zusammen», sagte Serge Frech, Geschäftsführer von ICT-Berufsbildung Schweiz, in Bern. Privatwirtschaft und Armee beteiligen sich an Ausbildung Die Ausbildung für den Fachausweis bieten sieben private Organisationen an. Darunter sind Ausbildungsinstitute wie die Gewerblich-Industrielle Berufsschule Bern (GIBB), die höhere Fachschule der digitalen Wirtschaft IFA, die Stiftung Wirtschaftsinformatikschule Schweiz (WISS) und die Höhere Fachschule für Wirtschaft und Informatik (SIW). Einer der ersten Ausbildungspartner war allerdings Cisco. Der US-amerikanische Anbieter von Telekommunikationslösungen bietet die Ausbildung in der neu gegründeten Cisco Cybersecurity Academy an. Eine weitere Möglichkeit, sich auf die Prüfung vorzubereiten, bietet die Schweizer Armee. In der ersten Woche der Rekrutenschule könnten sich Interessierte für den Lehrgang bewerben. Gesucht werden Personen mit einer abgeschlossenen Informatiklehre – aber auch Maturanden und Autodidakten. «Wir möchten die Besten der Besten», sagte Divisionär Thomas Süssli in Bern. Aus den rund 140 Bewerbern werden nur die Top 40 ausgewählt. Diese kommen in ein zweitägiges As- Bundesrätin Viola Amherd zusammen mit (v.l.) Andreas Kaelin und Serge Frech von ICT-Berufsbildung Schweiz, Remy Hübschi vom SBFI, Thomas Holderegger von der UBS, Christian Zeller von der Mobiliar und Divisionär Thomas Süssli. 22

Archiv