Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Donnerstag, Oktober 18, 2018 16:56 - noch keine Kommentare
IT-Sicherheit über die menschlichen Ebene erreichen
Angreifer bevorzugen den Weg des geringsten Widerstands
Von unserem Gastautor Perry Carpenter, Chief Evangelist und Strategy Officer bei KnowBe4
[datensicherheit.de, 18.10.2018] In meiner Tätigkeit als Cybersicherheitsexperte und in meiner früheren Rolle als Gartner Research Analyst und Industrieberater habe ich viel Zeit damit verbracht, Unternehmen auf der ganzen Welt dabei zu helfen, ihre Cybersicherheitsprogramme zu durchdenken. Ein großer Teil dieser Zeit war das Nachdenken über die Abwehrmaßnahmen und wie Technologie dabei helfen kann. Selbst mit den besten technologischen Abwehrmaßnahmen besteht jedoch eine gute Chance, dass ein hartnäckiger Angreifer in die IT-Infrastruktur der meisten Unternehmen mit relativer Leichtigkeit eindringen kann. Der Angreifer wird den Weg des geringsten Widerstands – einen Mitarbeiter – einschlagen, um die technischen Abwehrmaßnahmen zu umgehen.
Da die Technologie nie zu 100 Prozent wirksam sein wird, um Sicherheitsvorfälle zu verhindern, habe ich mir den folgenden Satz zu eigen gemacht:
„Technologie ist wichtig, aber fehlerhaft… und Menschen sind fehlerhaft, aber wichtig.“
Erst wenn wir beide Teile des obigen Satzes vollständig akzeptieren, können echte Fortschritte bei der besseren Absicherung der Unternehmen erzielt werden.
Ich bin ein großer Fan des NIST Cybersecurity Framework. Es ist nicht perfekt – aber es ist ein guter Einstieg, um einen strukturierten Prozess für die Planung einer robusten Cybersicherheitsstrategie aufzusetzen. Der Rahmen des National Institute of Standards and Technology (NIST), einer Bundesbehörde der Vereinigten Staaten von Amerika, die für Standardisierungsprozesse zuständig ist, skizziert fünf Planungsbereiche:
- Identifizieren
- Schützen
- Erkennen
- Reagieren
- Wiederherstellen
Einige Leser werden zumindest eine gewisse Vertrautheit mit dem NIST Framework haben. Hier kommt mein Axiom von oben ins Spiel… „Technologie ist wichtig, aber fehlerhaft… und Menschen sind fehlerhaft, aber wichtig.“ Die überwiegende Mehrheit der Organisationen, die ich gesehen habe und die das NIST-Framework durcharbeiten, tun dies auf technologieorientierte Weise. Meine Empfehlung ist einfach, jedes Element auch auf menschlich orientierte Prozesse und Kontrollen abzubilden.
Entwicklung eines menschenzentrierten Cybersicherheitsframeworks
Hier ist ein kurzes Brainstorming, wie dies für Unternehmen funktionieren könnte.
- Identifizieren:
- Katalogisieren Sie die Punkte, an denen Menschen mit Technologie und Daten interagieren.
- Befragung von Mitarbeitern, Auftragnehmern usw., um eine Bewertung ihrer sicherheitsrelevanten Einstellungen und Praktiken zu erhalten.
- Befragung von Führungskräften, um ihr Verständnis von Sicherheitspraktiken, Datenexposition, Geschäftsrisiken im Zusammenhang mit Verstößen, Einstellungen zur Sicherheit usw. zu erfassen.
- Durchführung von Bedrohungsmodellierungsübungen, die den Menschen explizit als Angriffsvektor und/oder als potenziellen Schwachpunkt nutzen.
- Schützen:
- Planen Sie Security Awareness-Kampagnen für kritische Themen.
- Implementierung von Verhaltensmanagementprogrammen für Bereiche wie Phishing, Social Engineering, Passworthygiene, etc.
- Etablierung von Prozessen, die sicheres Verhalten fördern oder durchsetzen.
- Implementierung von Technologien, die helfen, Mitarbeiter an sicherere Verhaltensweisen heranzuführen.
- Erkennen:
- Implementierung von Prozessen zur Meldung vermuteter Phishing-Ereignisse
- Implementierung von Prozessen zur Meldung anderer vermuteter sicherheitsrelevanter Vorfälle oder Anliegen
- Führen Sie häufig simuliertes Phishing und andere Social-Engineering-Tests durch, um festzustellen, wo Sie das Training oder andere Prozesse verbessern müssen.
- Sammeln Sie Daten von Security Information and Event Management- (SIEM), Data Leak Prevention- (DLP), Employee Monitoring Systems-, Web-Proxies und Endpoint Protection Platform- (EPPs)-Systemen, um zu sehen, wo die Mitarbeiter die gewünschten Verhaltensergebnisse nicht erreichen.
- Reagieren:
- Festlegung von Richtlinien und Verfahren, wie Ihr Unternehmen auf verschiedene Arten von menschenbezogenen Sicherheitsfehlern reagieren wird.
- Etablierung von Phishing-Reaktionsverfahren
- Entwicklung von Plänen zur Kommunikation von Unternehmensbedrohungen und bekannten Problemen
- Design/Modellierung für menschenzentrierte Probleme. Die Behebung kann eine beliebige Kombination von Personen, Prozessen und Technologien sein.
- Wiederherstellen:
- After-Incident Reviews und Kommunikation
- Verbesserungen umsetzen
Der Rahmen der NIST ist aufgrund der strukturierten Denkweise, die sie mit sich bringt, von großem Mehrwert für IT-Sicherheitsbeauftragte und an den oben genannten fünf Punkten erhalten sie einen Ansatz, wie sie nicht nur die Technologie, sondern auch den menschlichen Faktor in das Sicherheitskonzept integrieren können.
Weitere Informationen zum Thema:
datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten
datensicherheit.de, 14.09.2018
Lernkultur – Richtige Reaktion auf Datenschutzverletzungen durch Mitarbeiter
datensicherheit.de, 26.07.2018
Der Mensch als Schlüsselfaktor Cybersicherheit
datensicherheit.de, 18.07.2018
BEC und EAC Fraud: Schäden in Milliardenhöhe
datensicherheit.de, 18.08.2016
CEO-Fraud, Whaling und Spearphishing bisher fast nicht zu unterbinden
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren