< Zurück
Blog

Opfer, nicht Muppets

Eine Nahaufnahme von bunten Puppen mit einer blauen Puppe mit langem Schnabel, einer rosa Puppe mit lockigem schwarzem Haar und verschiedenen anderen spielerischen Figuren im Hintergrund. Dieses Bild kann das Bewusstsein der Mitarbeiter in einem kreativen Kontext stärken.

Wenn wir ganz ehrlich sind, haben die meisten von uns in der Sicherheitsbranche schon einmal mit den Augen gerollt, wenn wir von etwas gehört haben, das ein Benutzer getan hat - und dabei wahrscheinlich noch einen ausgewählten Satz über seine allgemeine Kompetenz hinzugefügt.  

In ruhigeren, nachdenklicheren Momenten denken wir vielleicht auch darüber nach, was auf sie zukommt - insbesondere zum Thema Phishing. Ihre Mitarbeiter befinden sich am scharfen Ende einer millionenschweren (möglicherweise milliardenschweren) Verbrechenswelle. Denken Sie an den Aufwand, den Ihre Unternehmen für das Marketing betreiben, um einen potenziellen Kunden anzusprechen und eine Verbindung herzustellen. Cyberkriminelle können genauso raffiniert sein wie Sie. Allgemeine ‘Spray and Pray’-E-Mails werden in der Regel von Unternehmen herausgefiltert oder von Mitarbeitern schnell entdeckt (und hoffentlich gemeldet)... lesen Sie meine 3rd Blog). Wenn wir jedoch in den Bereich der gezielteren Angriffe kommen - mit Schwerpunkt auf Branche, Organisation und Rollen - wird es viel schwieriger. Ihre Mitarbeiter sind nun mit leistungsorientierten, metrikreichen Empfehlungen konfrontiert.  

Ihr Finanzteam erwartet Rechnungen, Ihr Rechtsteam erwartet die Unterzeichnung von Dokumenten, und Ihre Personalabteilung erwartet Lebensläufe. Diese ‘Vorbedingung’ wird aktiv ausgenutzt. Fügen Sie ein wenig unbedachte Überpräsenz auf LinkedIn hinzu, und es ist gar nicht so schwierig, überzeugend zu wirken. 

Was will ich damit sagen? Es ist subtil, aber ich denke, es ist wichtig. Wenn wir dazu übergehen, uns selbst als Zielscheibe und potenzielles Opfer zu betrachten, verlagern wir die zusätzliche Belastung von ‘hier sind Dinge, die Sie tun müssen’ zu ‘hier sind Dinge, die Ihnen helfen können, hier ist, was Sie tun können, wenn Sie sich nicht sicher sind, hier ist, was Sie tun können, wenn Sie glauben, dass Sie einen Fehler gemacht haben könnten’. Das mag wie Psychologie aus dem Supermarkt klingen, aber in dieser Serie geht es darum, sich auf den Menschen einzulassen, der Ihr Mitarbeiter ist. Ich überlasse es Ihnen, das Thema selbst zu googeln. Sie werden eine wachsende Zahl von Forschungsergebnissen finden. 

Während wir an unsere Mitarbeiter mit einer unterstützenden Denkweise denken, sollten wir uns auch einen Moment Zeit nehmen, um über einen anderen Bereich nachzudenken, in dem sie persönlich am meisten gefährdet sein könnten - zu Hause. Sicher zu Hause‘ und ’Sicher am Arbeitsplatz‘ unterstützen sich gegenseitig. Die Wachsamkeit gegenüber Phishing und das Erkennen von Ungewöhnlichem ist in beiden Umgebungen von zentraler Bedeutung. Zu Hause jedoch sind Ihre Mitarbeiter die Administratoren ihrer eigenen Systeme und Einstellungen. Ein Hinweis darauf, wie sie ihre persönlichen Systeme sichern können, würde gut ankommen - mundgerechte Anleitungen wären ein guter Ansatz - zu einigen Kernthemen wie; 

  • Eine gute Passwortverwaltung und die Verwendung eines Passwortmanagers helfen dabei. 
  • Aktivieren von MFA auf Systemen, die es unterstützen - und wie man eine Backup-Route zur Wiederherstellung von Konten hat. 
  • Sicherstellen, dass Betriebssysteme und Anwendungen auf dem neuesten Stand sind - wenn möglich auf automatische Aktualisierung einstellen. 
  • Eine Sicherungskopie wichtiger Daten - vorzugsweise auf einem anderen Gerät oder einem anderen Cloud-Dienst als dem primären - zu haben und sicherzustellen, dass sie sicher ist. 
  • Vergewissern Sie sich, dass Anti-Malware installiert, ausgeführt und auf dem neuesten Stand ist - ja, auch Sie als Mac-Nutzer! 

Einige Organisationen können aufgrund ihrer Lizenzen Programme und Anwendungen für ihre Mitarbeiter anbieten. Prüfen Sie, was Sie hier tun können, denn die Arbeit mit vertrauten Werkzeugen wird einfacher sein. 

Keine Sicherheitskontrolle ist 100% wirksam. Jeder, der das behauptet, muss für ein ruhiges Gespräch zur Seite genommen werden. Wir sind daran gewöhnt, mehrschichtige Verteidigungssysteme und kompensierende Kontrollen aufzubauen. Eine der schmackhafteren Sicherheits-Triaden ist PDR. Prävention, Erkennung und Reaktion. Ich werde mich von den abgedroschenen Analogien zu Banken, Tresoren, Alarmanlagen und der Polizei fernhalten. Wichtig ist die Erkenntnis, dass ein effektiver (und offen gesagt auch erschwinglicher) Ansatz darin besteht, ein Gleichgewicht zwischen den Fähigkeiten in den einzelnen Bereichen herzustellen. In der Sicherheitsbranche machen wir das schon seit Jahren so.  

Ich sehe nur sehr wenige Formulierungen dieses Dreiklangs im Bewusstsein der Mitarbeiter. Aufklären und informieren: So gestalten wir die Sicherheit; dies kann Ihr Beitrag sein; so können wir helfen. 

Einige Sicherheitsexperten sprechen davon, Ihre Mitarbeiter zu ‘Sicherheits-Superhelden’ oder ‘Evangelisten’ zu machen. Um ehrlich zu sein, mache ich auf Messen und Konferenzen einen großen Bogen um sie. Sicherheitsbedrohungen verständlich zu machen und Sicherheitskontrollen zu tolerieren, ist ein viel sinnvolleres Ziel und hat wahrscheinlich eine dauerhafte Wirkung auf das Verhalten. 

Um diese Blogserie zum Thema Bewusstsein zusammenzufassen, möchte ich noch einmal über den ‘Umgang mit dem Menschen, der Ihr Mitarbeiter ist’, nachdenken.’ 

  • Stellen Sie Relevanz und Kontext zu Ihrer Branche, Ihrem Unternehmen und Ihrer Rolle darin her. 
  • Definieren Sie seltsam; helfen Sie Ihren Kollegen zu verstehen, was ungewöhnlich ist 
  • Machen Sie die Berichterstattung einfach - ein Gespräch ist allemal besser als ein Formular - und sorgen Sie dafür, dass sie sich lohnt und ‘wie wir es hier machen’.’ 
  • Erkennen Sie an, dass Ihre Mitarbeiter das Ziel von gut motivierten und ausgestatteten Kriminellen sind. Zeigen Sie Unterstützung und Orientierung, nicht nur die Einhaltung einer Richtlinie. 
  • Helfen Sie ihnen, zu Hause sicherer zu sein. 

Sorgen Sie vor allem dafür, dass Ihre Mitarbeiter wissen, dass ihr Handeln echte Auswirkungen auf die Vermeidung von Sicherheitsvorfällen haben kann.  

Ich hoffe, dies gibt Ihnen eine Denkpause und eine Gelegenheit, über die Programme nachzudenken, die Sie durchführen oder erleben. Wenn Sie einen Slogan brauchen... 

Seien Sie aufmerksam, beobachten Sie, und melden Sie sich zu Wort. 

Teilen

Artikel von

Gareth Lindahl-Wise

Leitender Sicherheitsberater und CISO

Gareth ist Chief Security Advisor und CISO bei Ontinue. Als CISO sorgt Gareth dafür, dass die interne Informationssicherheit von Ontinue sowie die Sicherheit der von Ontinue ION verwalteten erweiterten Erkennungs- und Reaktionsdienstplattform den Bedrohungen, denen wir ausgesetzt sind, und dem Vertrauen, das unsere Kunden in uns setzen, angemessen sind. Als Chief Security Advisor hat Gareth auch eine nach außen gerichtete Funktion, um das Bewusstsein für neue Bedrohungen und neuartige Wege zu deren Bekämpfung zu schärfen. Mit dem Fokus von Ontinue auf Microsoft-Technologien und der Bedeutung von Menschen und Prozessen hilft er potenziellen Kunden zu verstehen, wo unsere Dienstleistungen eingesetzt werden können.

Schlüsselwörter

Verwandte Artikel

Podcast-Cover mit einem Mikrofon-Symbol auf einem violetten Hintergrund mit Farbverlauf. Der Text lautet 'Microsoft Security Tips' und 'Defend Your Time Podcast'.
Blog
CISO-Erkenntnisse aus dem ATO-Bedrohungsbericht für das erste Halbjahr 2024

Jetzt anhören >
Ein Mann mit verwirrtem Gesichtsausdruck sitzt an einem Schreibtisch und schaut auf einen Laptop-Bildschirm in einer Büroumgebung. Förderung der Idee, Mitarbeiter zu ermutigen, Sicherheitsprobleme zu melden.
Blog
Aufbau einer Kultur der Offenheit: Wie man Mitarbeiter dazu ermutigt, Sicherheitsprobleme zu melden 

Weiterlesen >
Eine Grafik, die für den Monat des Bewusstseins für Cybersicherheit wirbt, mit verschiedenen Personen auf der linken Seite und einem dunklen Hintergrund mit einem runden Pfeil und Linien. Der Text "Cybersecurity Awareness Month" ist deutlich sichtbar.
Blog
Auftakt zum Monat des Cybersecurity Awareness: Warum Cybersecurity jedermanns Aufgabe ist

Weiterlesen >
Eine Illustration mit dem Text 'CISO Perspectives' in fetter weißer Schrift auf dunkelviolettem Hintergrund, mit einem Bild des Profils einer Person und Elementen der digitalen Sicherheit, neben einem runden Bild von Gareth Lindahl-Wise.
Blog
Erkennen des Ungewöhnlichen: Praktische Tipps zum Erkennen von Phishing-Angriffen

Weiterlesen >
Nahaufnahme eines Computerbildschirms mit einem Passwort-Eingabefeld und einem Kontrollkästchen mit der Aufschrift 'Ich bin kein Roboter', das auf einen Anmeldevorgang hinweist. Der Hintergrund ist leicht verschwommen, um den Fokus auf die Eingabebereiche zu verstärken. Dieses Bild bezieht sich auf Cyber Awareness: LummaC2-Malware.
Blog
Schützen Sie Ihr Unternehmen vor Lumma-Malware: Tipps zur Sensibilisierung für den Cybersecurity Awareness Month

Weiterlesen >