Aufrufe
vor 2 Monaten

Netzwoche 09/2021

  • Text
  • Wwwnetzmediench
  • Google
  • Informationen
  • Digitale
  • Schweiz
  • Swiss
  • Hacker
  • Angriffe
  • Mitarbeitenden
  • Netzmedien
  • Unternehmen

Bild: Von tanpanamanoob

Bild: Von tanpanamanoob / Shutterstock IT-Risikofaktor Mensch FOCUS IT-SECURITY jor. Vorsicht ist die Mutter der Computerkiste – das weiss eigentlich jedes Kind. Und dennoch ist niemand davor gefeit, in die Cyberfalle zu tappen. In puncto IT-Sicherheit ist und bleibt der Mensch das grösste Problem – aber auch die einzige Lösung. Denn wenn die Kriminalität im Internet zur Normalität wird, muss es auch normal werden, mit Unsicherheit umzugehen und sich Risiken immer wieder bewusst zu machen. «Sicherheit beginnt mit dem Bewusstsein für Unsicherheit», schreibt Ken Vogel von Swiss Infosec in seinem Fachbeitrag. So etwas lernt man allerdings nicht wie Velofahren. Sensibilisierung wirkt erst dann nachhaltig, wenn sie immer wieder überprüft und aufgefrischt wird. Wie das gelingt, beschreibt Vogel auf Seite 33. Die meisten Cybervorfälle beginnen nicht mit einer technischen, sondern mit einer sozialen Handlung: Social Engineering nennt sich das Vorgehen, bei dem jemand versucht, einen Menschen zu einem bestimmten Verhalten zu verführen oder über die Gefühlsebene an sensible Informationen zu kommen, wie Sascha Pult von der Kalaidos Fachhochschule schreibt. Auf Seite 34 erklärt Pult das psychologische Momentum im Social Engineering. Für Betroffene von Cybervorfällen jeglicher Art stellt das Nationale Zentrum für Cybersicherheit (NCSC) ein Online-Meldeformular bereit. Dieses Jahr verzeichnet das NCSC deutlich mehr Meldungen im Vergleich zum Vorjahr. «Die meisten Meldungen betreffen Betrugsversuche», schreibt Max Klaus von NCSC auf Seite 35. Sarah Mühlemann hat ein Ausbildungsmodul lanciert, das Mitarbeitende, aber auch Schülerinnen und Schüler auf spannende Weise für Cyberrisiken sensibilisiert. In ihren Kursen kommt ein Hacker-Koffer zum Einsatz, der die Gefahren der Onlinewelt greif- und erlebbar machen soll. Im Interview ab Seite 36 spricht Mühlemann darüber, wie das funktioniert, was sie antreibt und wie es mit den Schulungsangeboten weitergeht. 09 / 2021 www.netzwoche.ch © netzmedien ag

Technology Focus 33 «Human Firewalls» als Schutz gegen Cyberangriffe auf Ihr Unternehmen Die erste Reaktion auf Cyberangriffe betrifft in der Regel die Überprüfung und Optimierung bestehender technischer Sicherheitsmassnahmen. Das ist verständlich und notwendig, lässt allerdings einen entscheidenden Aspekt ausser Acht: den Menschen. Er ist und bleibt ein grosses Sicherheitsrisiko. Sicherheit beginnt mit dem Bewusstsein für Unsicherheit. Zu wissen, wo Stolpersteine und Fettnäpfchen lauern oder lauern könnten, klingt unspektakulärer als technische Firewalls zu installieren, ist aber mindestens so erfolgreich. Der Sicherheitsteufel steckt oft in kleinen Details, die sich Angreifer schamlos zunutze machen. Mit den folgenden Fragestellungen kommen Sie diesen Details auf den Grund und die ehrlichen(!) Antworten zeigen, wie gut Ihre Mitarbeitenden für Sicherheit sensibilisiert sind. Wissen Ihre Mitarbeitenden, 1. dass sie ein Passwort nicht für zwei Logins (z. B. Versandhändler und E-Mail-Account) verwenden und nie an den IT-Support (oder sonst jemanden) weitergeben dürfen? 2. wie sie eine Phishing-E-Mail als solche identifizieren können und dass Phishing-Angriffe auch per SMS oder Telefon stattfinden können? 3. wie sie nicht vertrauenswürdige Links, die sich auch hinter QR-Codes oder Bilder verstecken können, erkennen? 4. weshalb ein herrenloser USB-Stick etwa mit der Beschriftung «Fotos Firmenevent», der im Büro gefunden wurde, keinesfalls an einen Computer angeschlossen werden darf (weil er Schadsoftware enthalten könnte)? 5. weshalb es wichtig ist, Personen erkennen zu können, die sich nicht auf dem Firmenareal aufhalten dürfen und dass sie solche Feststellungen melden sollten (weil z. B. herrenlose USB-Sticks genau von solchen Personen ins Unternehmen gebracht werden können)? 6. wem sie eine Teamviewer Remote-Verbindung erteilen dürfen? 7. welche Vorsichtsmassnahmen beim Arbeiten im Homeoffice, im Zug oder an öffentlichen Orten etc. zu ergreifen sind? 8. wer in Ihrem Unternehmen für die Informationssicherheit zuständig ist und wie/wo Vorfälle und Beinahe-Vorfälle gemeldet werden können? Awareness: Sicherheit ins Bewusstsein rücken Die Sensibilisierung Ihrer Mitarbeitenden hat dann Verbesserungsbedarf, wenn eine oder mehrere Fragen mit «nein» beantwortet werden (müssen). Höchste Zeit für Awareness! Sie kommt in Form von E-Learning-Kursen, Rollenspielen, Plakataktionen, Fachreferaten, Security- Newslettern und schier endlos vielen weiteren Gesichtern daher und kombiniert idealerweise fortlaufend verschiedenste Methoden, damit Mitarbeitende zu wirkungsvollen «Human Firewalls» werden. DER AUTOR Ken Vogel Head of Management Services, Informationssicherheitsbeauftragter, Swiss Infosec Plan-do-check-act gilt auch für Awareness Weil sich Angriffsmethoden schneller ändern als das Wetter und der Mensch dazu neigt, irgendwann nachlässig zu werden, wirkt Sensibilisierung erst nachhaltig, wenn sie immer und immer wieder überprüft und aufgefrischt wird. Dafür eignen sich beispielsweise simulierte Phishing-Angriffe (worüber die Mitarbeitenden im Nachgang selbstverständlich informiert werden). Das Wissen, das solche Angriffe generiert, sollte dann wiederum dazu verwendet werden, um wichtige Tipps und Key-Learnings an die Mitarbeitenden weiterzugeben. So wird Awareness zum Erfolg. Den Beitrag finden Sie auch online www.netzwoche.ch www.netzwoche.ch © netzmedien ag 09 / 2021

Archiv

Specials