Cyber Security neu denken: wenn Technologie auf Verhalten trifft

Cyber Security muss neu gedacht werden als eine Kombination von Tools, Prozessen und Methoden, um schnell zu agieren und proaktiv Schwächen zu erkennen – auf allen Endgeräten, Kanälen und Umgebungen.

Tl; dr: Durch die digitale Transformation hat sich auch die Anzahl und Vielfalt von Cyber-Attacken erhöht. Organisationen müssen ihre Sicherheitsstrategien überdenken und moderne 360°-Lösungen einsetzen. Dabei spielt das Vermeiden von menschlichen Fehlern durch Trainings, Schulungen und einer Kultur der Verantwortung weiterhin eine entscheidende Rolle.

Inhalt

1. Status quo: Cyber Security in Organisationen

2. Häufige Arten von Cyber-Attacken

3. Ganzheitliche Cyber Security für Organisationen

Viren und Malware existieren quasi seit der Erfindung der Computer. Tatsächlich hat Bob Thomas bereits 1971 ein experimentelles Computerprogramm für BBN geschrieben, das wie Malware agiert hat, indem es sich selbst zwischen verschiedenen Computersystemen dupliziert hat. Bereits davor wurden Maschinen entwickelt, um die Militärcodes anderer Maschinen zu "hacken". Anscheinend gehören Hacking und Malware zur Digitalisierung dazu.

Status quo: Cyber Security in Organisationen

Zurück zum Artikelanfang

Doch während damals vorwiegend Computer-Expert:innen mit anderen Computer-Expert:innen zu tun hatten, ist es heute fast jede Person, die von Cyber-Attacken getroffen werden kann. Je mehr Systeme miteinander verknüpft sind, desto größer die Angriffsflächen. Und auch wenn es die sicherste Lösung wäre – wir können kaum wieder alles dezentral speichern und zurück in eine Welt ohne Computer gehen.

Organisationen müssen sich stattdessen viel bewusster darüber sein, wie vielfältig Cyber-Attacken heutzutage auftreten und mit welchen Zielen. Es geht nicht nur um das Einsehen sensibler Informationen, auch das Stören der Infrastruktur, um ein Lösegeld einzufordern oder einer Organisation (temporär) zu schaden, gehören mittlerweile zu häufigen Angriffszielen.

Dabei nutzen die Täter neben Technologien, auch Informationen, die sie leicht via Social Media, öffentliche Profile oder Online als auch Offline-Unterhaltungen erhalten haben. Tatsächlich spielt dabei die menschliche Komponente häufig einen großen Part. Gerade mangelndes Wissen, wie Täter Zugriff auf Daten und Systeme erhalten können, sorgt dafür, dass verdächtige E-Mails, Dokumente, Webseiten, Gespräche oder Links nicht rechtzeitig erkannt werden.

Machen Sie den Selbst- oder Team-Check: wie gut sind Ihre Sicherheitsmaßnahmen und wie viel wissen Sie über Cyber Threats? 

Schulen Sie Ihre Organisation (auch das C-Level Management)

"Aber warte, warum soll ausgerechnet ich so etwas wissen? Ich bin doch Expert:in, mir kann sowas gar nicht passieren", mögen Sie jetzt vielleicht denken.

Einer Studie des Stanford Professors Jeff Hancock und des Sicherheitsunternehmens Tessian zufolge basieren 88% aller Cyber-Attacken auf menschlichen Fehlern.

Ja, wir mögen denken, dass wir als Digital Natives verantwortlich mit unseren Systemen und Daten umgehen können. Doch möge den ersten Stein werfen, wer nicht einfache oder doppelte Passwörter nutzt, sensible Dokumente im Flieger oder in der Bahn liest oder die Gerätesoftware – und damit notwendige Security-Updates – nicht regelmäßig aktualisiert. Besonders die wachsende Komplexität von zahlreichen Log-Ins auf unterschiedlichen Apps, Browsern und Endgeräten, Zwei-Faktor-Authentifizierung und die immer komplizierter werdenden Passwortanforderungen werden zum Hürdenlauf im Business-Alltag.

Am Ende ist es selten die Technik, die versagt. So war ein menschlicher Fehler dafür verantwortlich, dass die Twitter-Profile von Elon Musk, Jeff Bezos und Bill Gates von Teenagern gehackt wurden, die Twitter-Angestellte mit einem einfachen Phishing-Tool dazu gebracht haben, Passwörter von 130 Accounts zu teilen. Diese Accounts gehörten einigen der wichtigsten Personen im weltweiten Politik- und Wirtschaftsgeschehen.

Gerade deshalb müssen Organisationen ihre Mitarbeitenden (und andere Stakeholder in ihrem Netzwerk) trainieren, aufklären und betreuen. Zu wissen, worauf man achten muss, um eine Phishing-Mail zu erkennen, ist bereits ein markanter Schritt hin zu einer sicheren Unternehmenskultur. Die notwendige Zwei-Faktor-Authentifizierung für interne (und externe) Systeme kann einfacher eingeführt werden, wenn die IT dafür einfache Prozesse aufsetzt.

Zusätzlich muss die gesamte Organisation trainiert werden, insbesondere das Management, da dort oft hochsensible Geschäftsdaten verarbeitet werden. Wenn alle Mitarbeitenden ausreichend trainiert sind und jede noch so smarte Phishing-Mail erkennen und nur der CEO ausgenommen wurde, weil er wichtigere Dinge zu tun hatte, stellt sich automatisch die Frage: wer wird wohl am ehesten Opfer einer Phishing-Attacke?

Führen Sie eine gesunde Fehlerkultur ein

Damit jeder an einem Strang zieht, muss also eine Kultur gepflegt werden, in der jede Person - von der studentischen Hilfskraft hin zum CEO - aktiv an der Einhaltung von Compliance-Regeln beteiligt ist, an Trainings teilnehmen muss und auch aus eigenem Interesse Know-how sammeln möchte. Darüber hinaus muss eine Fehlerkultur eingeführt werden, die es erlaubt, versehentliche Fehler angstfrei zuzugeben, um Attacken frühzeitig zu begegnen.

So hat die Stanford/Tessian-Studie ergeben, dass Mitarbeitende oft seltener zugeben, dass sie einen Fehler gemacht haben, wenn sie Angst vor den Konsequenzen haben. So sehr eine Organisation also mit drakonischen Strafen droht, um Fehlverhalten zu vermeiden, umso undurchsichtiger wird die Ursachenforschung, wenn sich niemand traut, einen Fehler einzugestehen.

Übrigens hat die Studie auch ergeben, dass besonders erfahrene Mitarbeitende seltener Fehler zugeben, da sie sich Sorgen um ihr Ansehen in der Organisation machen. Diskrete Kanäle, um Verdachtsfälle zu melden, sollten also unbedingt eingeführt werden, da es am Ende darum geht, Risiken zu vermeiden bzw. zu reduzieren und nicht darum, jemanden öffentlich dafür verantwortlich zu machen.

Wir haben Cyber Security-Experte Deniz Tourgout interviewt und über Trends, Lösungen und erste Schritte für Unternehmen und Organisationen gesprochen. 

Häufige Arten von Cyber-Attacken

Zurück zum Artikelanfang

Phishing

Eine der am meisten verwendeten Arten von Cyber-Attacken ist Phishing. Dabei werden über E-Mails, Webseiten, SMS oder sogar Chat-Gespräche wichtige Informationen "gefischt". Täter:innen geben sich beispielsweise als Bank aus und fragen nach einem erneuten Log-In. Die E-Mails sehen mittlerweile oft identisch mit den offiziellen Unternehmens-Mails der Bank aus, doch die Login-Daten werden von den Hacker:innen abgefasst.

Phishing kann dabei auch wie ein Chat mit einem Bankangestellten oder als Login-Webseite, etc. getarnt sein. Ziel ist es immer, sensible Daten durch Vortäuschen von Tatsachen abzufangen.

(Ergebnisse einer Umfrage auf der DIGITALL-LinkedIn-Seite)

Malware

Malware ist ebenfalls eine Cyber-Attacke, die oft professionell aussehende Kommunikation verwendet, z.B. von einem Kollegen, um Nutzer:innen dazu zu bringen, ein angehängtes Dokument zu öffnen oder einen Link zu klicken. Auch Malware kann unterschiedliche Formen annehmen. Ziel ist es hier, durch den Klick/das Öffnen eine Software auf dem System der Nutzer zu installieren, die verschiedene bösartige Aktivitäten ausführen kann (z.B. das Stehlen sensibler Daten, aber auch das Einfrieren des Computers oder die Übernahme der Kontrolle).

Ransomware

Ransomware ist in den vergangenen Jahren zu einem der größten Bedrohungen von Organisationen herangewachsen. Oft wird erst Phishing oder Malware eingesetzt, um ein System unter Kontrolle zu bringen/zu stören und dann Lösegeld einzufordern, um es wieder "freizulassen". Da viele Organisationen nicht wollen, dass die Attacke öffentlich wird, um ihrem Branding nicht zu schaden und ihre Geschäfte so schnell wie möglich wiederaufnehmen wollen, werden die Lösegelder oft bezahlt. Fast ein Drittel (32%) aller betroffenen Organisationen hat bezahlt, wodurch der unglückliche Nebeneffekt entsteht, dass die Ransomware-Attacken steigen.

Tatsächlich wurden 2021 Cloudwards zufolge 37% aller befragten Unternehmen mit Ransomware erpresst. Die Kosten, sich von so einer Attacke zu erholen, liegen im Durchschnitt bei 1,85 Millionen US-DOLLAR.

Für Organisationen ergibt sich dadurch eine klare Wahrheit: es gibt nicht den einen Weg, sich vor bösartigen Attacken zu schützen. Stattdessen muss der Schutz genauso vielfältig, flexibel und smart sein, wie die Cyber-Attacken es sind.

Ganzheitliche Cyber Security für Organisationen

Zurück zum Artikelanfang

Um Attacken zu begegnen bzw. sie zu verhindern, muss Sicherheitstechnologie jederzeit alle Aktivitäten und Daten im Blick haben, um Schwächen zu identifizieren und auf verdächtige Aktivitäten zu reagieren.

Endpunkte im Blick behalten

Gerade durch Remote Work werden mobile Endgeräte für zahlreiche interne und externe Kommunikationskanäle verwendet. Organisationen müssen dabei die klassische Firewall hinter sich lassen, da diese nicht mehr ausreicht, um externe Geräte sowie Cloud-Apps zu schützen.

Endpoint-Control, also die Kontrolle von allen Verknüpfungen der verwendeten Systeme bis zum letzten Endgerät, hilft dabei, alles im Blick zu haben, ohne Mitarbeitenden hinterherzuspionieren. Das Unternehmen kann dabei die Sicherheitseinstellungen der Firmengeräte kontrollieren, Zwei-Faktor-Authentifizierung einstellen und kontrollieren, ob und welche Daten oder Apps heruntergeladen oder geöffnet werden können. Auch kann diese Kontrolle verhindern, dass Nutzer:innen Security Software manuell deinstallieren.

Das bedeutet, dass die Zeit der BYOD (Bring Dein eigenes Handy) mit aller Wahrscheinlichkeit vorbei sind. Doch für Organisationen ergibt sich dadurch der Vorteil, dass alle Mitarbeitenden die richtigen Geräte und Anwendungen nutzen, um nicht nur effizient, sondern auch sicher zu arbeiten.

Automation & Künstliche Intelligenz

Automation kann in vielen Bereichen der Cyber Security eingesetzt werden:

• Monitoring
• Analysen & Reports
• Self-Repair
• Reaktionen auf verdächtige Aktivitäten (u.a. Benachrichtigung des Security-Teams & Schutzmaßnahmen)

Kombiniert mit künstlicher Intelligenz können moderne Security-Technologien darauf trainiert werden, Schwächen im System zu erkennen und vor einer Attacke zu reparieren. Zusätzlich kann ein smartes System aus Vorfällen lernen, um immer schneller und besser agieren zu können.

Organisationen haben dadurch eine 24/7-Unterstützung ihrer Security-Teams durch intelligente Technologien.

Security Operations Center für eine 360°-Sicht

Ein notwendiger Trend im Sicherheitsbereich ist die zentrale Kontrolle und Analyse von Hard- und Software, um – mit Hilfe von Automation – alles auf einen Blick zu verwalten. Doch Technologie alleine ist nicht die Lösung, sondern sollte immer mit menschlichem Know-how verknüpft werden.

Das SOC, also das "Security Operations Center" ist ein Service-Center für alle Themen der Cyber Security einer Organisation. Es bietet 24/7-Service an 365 Tagen im Jahr (oder 366 im Schaltjahr). Unterstützt wird es von Automation und KI sowie allen notwendigen Daten und Informationen zu aktuellen Bedrohungen und Trends. Das SOC überwacht und steuert Sicherheitsmaßnahmen, Sicherheitsdaten und recherchiert sowohl Risiken als auch Lösungen, um proaktiv und schnell in Krisenfällen zu reagieren.

Mehr zum SOC, wie es funktioniert, wie man es aufsetzt und was Sie davon haben, erfahren Sie übrigens in unserem Expert:innen-Webinar inklusive Demo-Vorführung. 

Security-Training & -Enablement für Mitarbeitende

Security-Trainings sollten bereits beim Onboarding dazugehören und in regelmäßigen Abständen als Pflichtveranstaltung durchgeführt werden. Um auf die verschiedenen Terminverpflichtungen aller Mitarbeitenden einzugehen, können hier Online-Kurse angeboten werden.

Bei den Trainings sollten auch praktische Anwendungsfälle vorgestellt werden, um Nutzenden direkt Einblicke darin zu geben, wie verschiedene Attacken aussehen können. Auch können Test-Attacken von externen Dienstleistern durchgeführt werden, um zu sehen, wie einfach (oder schwer) es ist, in die Systeme einer Organisation zu dringen.

Zusätzlich sollte eine positive Fehlerkultur gepflegt werden, so dass Vorfälle schnell gemeldet und aufgeklärt werden können. Dazu ist es auch hilfreich, Kanäle anzubieten, um beispielsweise verdächtige E-Mails im Zweifel weiterzuleiten oder auf potenzielle Attacken hinzuweisen. Eine schnelle Antwort sollte auf diesen Kanälen erfolgen, da Mitarbeitende gerade bei E-Mails keine langen Entscheidungsspielräume haben (wenn es beispielsweise scheinbar um Kund:innenanfragen o.ä. geht).

DIGITALL unterstützt Sie dabei, die richtige Security-Strategie für Ihr Unternehmen zu identifizieren und sowohl technisch als auch fachlich umzusetzen.