Ganzheitliche Security-Awareness
Sich der möglichen Bedrohungen bewusst zu sein, sieht Jeff Horne von Optiv als weiteren Schlüssel zu mehr Sicherheit im Unternehmensumfeld: "Wenn ein Unternehmen in der Öffentlichkeit steht und dabei in irgendeiner Weise negativ wahrgenommen wird, kann sich das Risiko für einen Angriff drastisch erhöhen".
Der Einsatz von Threat-Intelligence-Lösungen sei deswegen zum Schutz von Managern und Entscheidern unabdingbar, versichert der Experte: "Um die richtigen Schutzmaßnahmen zur richtigen Zeit ergreifen zu können, ist es wichtig zu wissen, ob ein Unternehmen bereits angegriffen wurde oder lediglich Hinweise auf bösartige Absichten vorliegen".
Wenn es um Social Media geht, reiche das eigene Bewusstsein über mögliche Bedrohungen allerdings oft nicht aus. Denn viele Entscheider, die in der Öffentlichkeit stehen, haben entweder keine eigenen Social-Media-Konten oder nur solche, die von Seiten des Unternehmens mit immensem Aufwand überwacht werden. Das treibe die Angreifer dazu, neue Wege zu beschreiten: "Wenn ein Hacker herausfindet, dass ein Manager kürzlich zu Besuch in Disneyland war, wird er versuchen, über seine Frau oder seine Kinder an sein Ziel zu gelangen".
Das könne einerseits dazu führen, dass die Entscheider selbst Opfer von raffinierteren, personalisierten und zielgerichteten Phishing-Attacken werden - ein Angreifer könnte etwa eine E-Mail schicken, die vermeintlich von der Schule der Kinder kommt. Andererseits könnten auch die Familienmitglieder selbst zum Opfer werden, weswegen Manager in dieser Hinsicht auch das Gespräch mit ihren Angehörigen suchen sollten: "Sie sollten eventuell die Sichtbarkeit der Facebook-Profile ihrer Kinder so einschränken, dass sie nicht für jedermann sichtbar sind. Dabei kann es auch nicht schaden, grundlegende Dinge über die Sicherheit bei Facebook zu erörtern".
- Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites. - Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden. - Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt. - Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern. - Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen. - Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen. - Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil. - Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden. - Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.
Geschäftsreisen ohne Sicherheitsrisiko
Auf Geschäftsreise sollten Manager ebenfalls auf der Hut sein - je nach Land, in das sie reisen, empfehlen sich mehr oder weniger starke Sicherheitsmaßnahmen, wie Horne weiß: "Die gute Nachricht ist: Ein Manager braucht im Ausland in der Regel weniger Applikationen als ein Entwickler. Deswegen können Entscheider in der Regel relativ einfach auf sichere Geräte mit inhärenter Verschlüsselung für den einmaligen Gebrauch ausweichen. Sollten diese Geräte dann - etwa bei einem Überfall - entwendet werden, bleibt der Schaden überschaubar".
In jedem Fall sollten Manager jedoch auf Geschäftsreise darauf verzichten, Dateitransfers über externe Devices wie USB-Sticks durchzuführen - insbesondere solche, die von Dritten stammen. Auch öffentliche WiFi-Netze sollten sie außen vor lassen. Dabei stelle WLAN ganz generell ein Sicherheitsrisiko dar, wie Horne bekräftigt: "Ich bin kein Fan von WiFi - auch nicht für den Hausgebrauch. Ich weiß, dass das Jeder nutzt und mindestens zwei Zugangspunkte zur Verfügung hat. Sie sollten aber dennoch dafür sorgen, dass sie eine gesicherte WLAN-Verbindung nutzen, auf der sämtliche Kommunikation verschlüsselt wird". Das sei nicht immer unkompliziert zu bewerkstelligen, so Horne, der Aufwand zahle sich aber aus.
Manager sind also gut damit beraten, nach den Grundsätzen "Reputation First" und "Awareness First" zu verfahren.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.