Schulungen – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Mon, 18 May 2026 18:03:58 +0000 de hourly 1 Menschliches Verhalten weiterhin kritische Schwachstelle der Cybersicherheit https://www.datensicherheit.de/mensch-verhalten-kritisch-schwachstelle-cybersicherheit Tue, 19 May 2026 22:43:00 +0000 https://www.datensicherheit.de/?p=54549 MetaCompliance beleuchtet mit einer Studie die weit verbreitete Sorge von CISOs, dass bestehende Maßnahmen das Cyberrisiko durch menschliche Fehler nicht wirksam angehen

[datensicherheit.de, 20.05.2026] CISOs im EMEA-Wirtschaftsraum verlieren offenbar das Vertrauen in klassische Sicherheitsschulungen: Jedenfalls gaben in einer kürzlich von MetaCompliance in Auftrag gegebenen Umfrage 78 Prozent der befragten CISOs an, dass ihr bisheriger Schulungsansatz dringend überarbeitet werden muss. MetaCompliance unterstützt Organisationen nach eigenen Angaben dabei, resiliente Sicherheitskulturen aufzubauen, und beleuchtet nun mit seiner Studie die weit verbreitete Sorge von CISOs, dass bestehende Maßnahmen das Cyberrisiko durch menschliche Fehler nicht wirksam angehen.

metacompliance-james-mackay

Foto: MetaCompliance

James Mackay warnt: Viele Unternehmen verwechseln absolvierte Sicherheitsschulungen mit tatsächlicher Sicherheit

Menschliches Fehlverhalten aus Sicht vieler Unternehmen hartnäckige Schwachstelle der Unternehmenssicherheit

Für die Studie seien 200 CISOs aus Großbritannien, Schweden, Deutschland und Frankreich befragt worden – und das Ergebnis sei eindeutig: 81 Prozent seien überzeugt, dass „Security Awareness“-Programme scheiterten, weil sie das Cyberrisiko durch menschliche Fehler als reine Schulungsfrage statt als unternehmensweite Aufgabe des Risikomanagements behandelten.

  • Die Relevanz dieser Erkenntnis werde dadurch unterstrichen, dass 68 Prozent der befragten Unternehmen ihre eigenen Mitarbeiter als größtes Sicherheitsrisiko betrachteten. Dies zeichne das Bild von menschlichem Fehlverhalten als hartnäckige Schwachstelle im Kern der Unternehmenssicherheit.

Trotz kontinuierlicher Investitionen in Schulungen – Unternehmen wendeten im Schnitt 15 Prozent ihres jährlichen Sicherheitsbudgets für „Awareness“-Training auf, 79 Prozent böten mindestens alle zwei Wochen Schulungen an – sei der Erfolg nicht garantiert.

Ursache des Problems gleichermaßen in Organisationen selbst wie im menschlichen Verhalten der Mitarbeiter

Ein Viertel der Organisationen schaffe es nicht, die Aufmerksamkeit ihrer Mitarbeiter zu gewinnen. Weiteren 24 Prozent gelinge es nicht, sicherheitsbewusstes Verhalten im Arbeitsalltag zu verankern, und noch einmal 24 Prozent hätten Schwierigkeiten damit, abteilungsübergreifend auf einen gemeinsamen Nenner für Sicherheit zu kommen.

  • Damit sei klar: Die Ursache des Problems liege gleichermaßen in den Organisationen selbst wie im Verhalten der Mitarbeiter.

Der Grund seien überholte Schulungsansätze. Zwar seien viele CISOs der Meinung, ihre Unternehmen hätten Weiterbildungen mit „Häkchensetzen“ hinter sich gelassen – einige bezeichneten ihr Programm als „verhaltensorientiert“ (33%) oder gäben an, „Human Risk Management“ (24%) zu integrieren. Dennoch führe dieser gefühlte Fortschritt nicht zu grundlegenden Veränderungen.

Weiterbildungen ändern oft nichts an zugrundeliegenden menschlichen Schwachstellen

James Mackay, CEO bei MetaCompliance, kommentiert: „Das Selbstvertrauen nimmt zu, aber das bedeutet nicht, dass das Risiko sinkt. Viele Unternehmen verwechseln absolvierte Sicherheitsschulungen mit tatsächlicher Sicherheit.“ Oft änderten Weiterbildungen nämlich nichts an den zugrundeliegenden menschlichen Schwachstellen. Dies führe zu einer gefährlichen Diskrepanz zwischen wahrgenommener und tatsächlicher Sicherheit.

  • Mackay warnt: „Unternehmen fühlen sich sicherer, obwohl ihre Mitarbeitenden auch nach Schulungen weiterhin ihre größte Risikoquelle darstellen. Gleichzeitig werden die Bedrohungen zunehmend raffinierter: KI steigert die Zahl und Präzision von Social-Engineering-Angriffen. Wer diese Sicherheitslücke nicht schließt, ist wachsenden Risiken ausgesetzt!“

CISOs fordern demnach eine „strategischere Vorgehensweise“. Knapp vier von fünf (79%) wollten „Human Risk Management“ einführen. Diese Methode identifiziere Personen mit besonders riskanten Verhaltensweisen, erstelle maßgeschneiderte Interventionen auf Basis von Verhaltensmustern und fördere eine organisationsweite Sicherheitskultur.

Cyberrisiko durch menschliches Fehlverhalten wie jedes andere Unternehmensrisiko zu managen

Weitere 83 Prozent seien überzeugt, dass gezieltes Eingreifen das Risiko schneller senken würde, und laut 80 Prozent entfalteten sicherheitsrelevante Informationen ihre größte Wirkung, wenn sie in die tägliche Arbeit integriert sind.

  • Dieser Wandel vollziehe sich vor dem Hintergrund einer sich schnell entwickelnden Bedrohungslandschaft. Für die nächsten zwölf Monate hätten die befragten Unternehmen voraussichtlich drei Prioritäten: Intensivierung der Schulungsfrequenz (27%), messbarer ROI (25%) und zielgerichtete Interventionen für Hochrisiko-Personen (24%), insbesondere im Hinblick auf KI-gestützte Social-Engineering-Angriffe (24%).

Mackay rät abschließend: „Das Cyberrisiko durch menschliches Fehlverhalten muss wie jedes andere Unternehmensrisiko gemanagt werden – messbar, zielgerichtet und kontinuierlich! Das bedeutet, dass Unternehmen reines ,Awareness’-Training hinter sich lassen und sich um echte Verhaltensänderungen bemühen.“ Unternehmen müssten Cybersicherheit mit Echtzeit-Targeting und datenbasierten Erkenntnissen von Grund auf neu denken, um die richtigen Personen zur richtigen Zeit mit den richtigen Informationen zu erreichen. „Nur so lässt sich das menschliche Cyberrisiko im großen Umfang reduzieren!“, unterstreicht Mackay.

Weitere Informationen zum Thema:

MetaCompliance
The Leading Human Risk Management Platform / Reduce risk and create lasting behaviour change with personalised security awareness that engages every employee.

MetaCompliance, 13.05.2026
Rethinking Security Awareness / How CISO’s Can Transform Security Awareness Training to Drive Measurable Risk Reduction

MetaCompliance
Treffen Sie unser Führungsteam / Vorstandsvorsitzender James Mackay

datensicherheit.de, 19.12.2025
Reduzierung menschlicher Fehler als Erfolgsfaktor zur Senkung der IT-Risiken / MetaCompliance rät mit Blick auf den „Faktor Mensch“ zu mehr personalisiertem Sicherheitstraining im neuen Jahr 2026

]]>
Starthilfe Datenschutz: BlnBDI bietet Berliner Startups, Kleinunternehmen und Vereinen kostenlose Schulungen an https://www.datensicherheit.de/starthilfe-datenschutz-blnbdi-angebot-schulungen-berlin Wed, 01 Apr 2026 22:58:00 +0000 https://www.datensicherheit.de/?p=53640 Ab April 2026 startet das diesjährige praxisorientierte Datenschutz-Schulungsangebot für Berliner Startups, Kleinunternehmen und Vereine

[datensicherheit.de, 02.04.2026] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) bietet auch 2026 wieder kostenlose Schulungen zum Thema Datenschutz an: Ab April startet das praxisorientierte Schulungsangebot für Berliner Startups, Kleinunternehmen und Vereine. Deren Anmeldung ist ab sofort über die BlnBDI-Website möglich. „Bei der Anmeldung sind Angaben zur Erfüllung der Teilnahmebedingungen erforderlich!“

blnbdi-datenschutz-schulungen

Abbildung: BlnBDI

„Starthilfe Datenschutz“: Termine 2026

Auftaktveranstaltung am 14. April 2026 zu Grundlagen des Datenschutzrechts

Ob Online-Shop, Lohnabrechnung oder KI-Chatbot – an vielen Stellen fallen in Unternehmen und Vereinen personenbezogene Daten an. Dann stelle sich Fragen: „Was gilt es dabei zu beachten? Wie informiere ich richtig über Datenverarbeitungen und wann muss ich eigentlich Daten löschen?“

  • Antworten auf diese und viele weitere Fragen soll es bei der „Starthilfe Datenschutz“, dem kostenlosen Schulungsangebot für Berliner Gründer, Kleinunternehmen und Vereine, geben.

Die Auftaktveranstaltung soll am 14. April 2026 stattfinden und wird sich demnach den Grundlagen des Datenschutzrechts widmen. Danach folgt monatlich ein weiterer Themenblock mit jeweils zwei Workshops, zum Beispiel zum Einsatz von KI-Anwendungen oder „Cookie“-Bannern auf Webseiten.

Datenschutz-Schulungen speziell für Vereine, Startups und Kleinunternehmen in Berlin

„Alle Termine finden in den Räumen der Berliner Beauftragten für Datenschutz und Informationsfreiheit in Berlin-Moabit statt. Die Workshops bauen inhaltlich aufeinander auf, können aber auch einzeln besucht werden.“

  • Existenzgründer sähen sich oft bereits in der Gründungsphase ihres Unternehmens oder Vereins mit ähnlichen Fragestellungen konfrontiert, etwa welche personenbezogenen Daten verarbeitet werden dürfen, wann ein Verarbeitungsverzeichnis zu erstellen ist, was die Datenschutzerklärung enthalten sollte oder welche Löschfristen einzuhalten sind.

Mittels Schulungen der „Starthilfe Datenschutz“ sollen Berliner Gründer und Vertreter von in Berlin ansässigen Vereinen, Startups und Kleinunternehmen mit den Grundlagen des Datenschutzrechts vertraut gemacht werden – ihnen werde praxisorientiertes Wissen vermittelt, welches den Umgang mit den Rechtsvorschriften ermögliche und Hilfestellung bei der Einbindung des Datenschutzes in die Arbeits- und Unternehmensprozesse leiste.

Datenschutz-Workshops bauen inhaltlich aufeinander auf, können aber auch einzeln besucht werden

Die Schulungsreihe gliedert sich laut BlnBDI in sechs Themenblöcke, welche aus jeweils zwei Workshops bestehen (mit dazwischenliegender Mittagspause zur eigenen Gestaltung). Die Präsenz-Veranstaltungen finden in den Räumlichkeiten der BlnBDI-Dienststelle – Alt-Moabit 60 in 10555 Berlin – statt.

  • Die Workshops sollen inhaltlich aufeinander aufbauen, könnten aber auch einzeln besucht werden. Ebenso sei der Einstieg zu jedem Termin möglich. „Kenntnisse des Datenschutzrechts werden nicht vorausgesetzt, die Teilnahme ist kostenfrei.“

Die „Starthilfe Datenschutz“ versteht sich als einführendes Schulungsangebot – „eine vollumfängliche Darlegung des Datenschutzrechts oder die individuelle Beratung zu konkreten Einzelfällen kann in ihrem Rahmen nicht erfolgen“: Dazu müssten auf solche Fälle spezialisierte Rechtsanwälte oder andere Angehörige der rechtsberatenden Berufe konsultiert werden.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns / Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Schulungen für Vereine, Start-ups und Kleinunternehmen / Termine/ Teilnahmebedingungen

]]>
KI-Kompetenz als Pflicht: Bedeutung des EU-Gesetzes für Unternehmen https://www.datensicherheit.de/ki-kompetenz-pflicht-eu-gesetz-unternehmen https://www.datensicherheit.de/ki-kompetenz-pflicht-eu-gesetz-unternehmen#respond Mon, 17 Mar 2025 15:01:40 +0000 https://www.datensicherheit.de/?p=46599 Effektive Schulungsprogramme müssen gezielt auf drei zentrale Mitarbeitergruppen zugeschnitten sein

Ein Kommentar von unserem Gastautor Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

[datensicherheit.de, 16.03.2025] Das KI-Gesetz der Europäischen Union markiert einen Wendepunkt für die Anforderungen am Arbeitsplatz – mit einem klaren Fokus auf KI-Kompetenz. Nach Artikel 4 sind Organisationen verpflichtet, sicherzustellen, dass ihre Mitarbeiter über ausreichende Kenntnisse im Umgang mit Künstlicher Intelligenz verfügen. Doch was bedeutet das konkret für Unternehmen?

Das Gesetz verlangt, dass Organisationen angemessene KI-Schulungen für ihre Mitarbeitenden und Betreiber bereitstellen. Diese müssen technisches Wissen, praktische Erfahrung, den Bildungshintergrund sowie den spezifischen Einsatzkontext der KI-Systeme berücksichtigen. Diese Flexibilität ist einerseits begrüßenswert, birgt aber zugleich eine Herausforderung: Es gilt zu definieren, was eine „ausreichende“ Schulung für verschiedene Rollen und Anwendungsfälle tatsächlich bedeutet.

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4, Foto: KnowBe4

Rollenbasierte Schulungsanforderungen

Ein effektives KI-Schulungsprogramm muss gezielt auf drei zentrale Mitarbeitergruppen zugeschnitten sein:

  • Technische Teams – Entwickler und Datenwissenschaftler sollten sich auf sichere KI-Entwicklungspraktiken, Modellarchitekturen sowie ethische Grundsätze im Umgang mit Daten konzentrieren.
  • Nicht-technische Mitarbeiter benötigen praxisnahe Richtlinien zur Nutzung von KI, ein Bewusstsein für ethische Fragestellungen und grundlegende Kenntnisse der Compliance-Anforderungen.
  • Führungskräfte müssen sich mit KI-Governance-Rahmenwerken, Risikomanagementstrategien und den geschäftlichen Auswirkungen von KI auseinandersetzen.

Diese gezielte Schulung stellt sicher, dass alle Mitarbeiter die für ihre Rolle relevanten KI-Kompetenzen erwerben und verantwortungsbewusst mit der Technologie umgehen.

Sicherheit und Compliance vereinen

Das Gesetz gestattet zwar auch minimale Schulungsprogramme, doch reine Compliance reicht nicht aus, um eine Organisation nachhaltig zu schützen. Ein fundiertes Schulungskonzept, das sich an etablierten Standards wie den OWASP Top 10 für große Sprachmodelle orientiert, bietet eine ganzheitliche Grundlage. Dieser Ansatz berücksichtigt nicht nur die aktuelle KI-Bedrohungslandschaft, sondern auch Prinzipien der Datenverwaltung, den ethischen KI-Einsatz und praxisnahe Sicherheitsmaßnahmen.

Unabhängig davon, ob eine Organisation kommerzielle KI-Produkte nutzt oder maßgeschneiderte Lösungen entwickelt – Transparenz ist essenziell. Das Schulungsprogramm sollte daher Aspekte wie die Nachvollziehbarkeit der Datenverarbeitung, die Anforderungen an die Systemdokumentation und die Auswirkungen auf die Nutzer berücksichtigen. Besonders für Unternehmen, die eigene KI-Lösungen entwickeln, bietet sich die Gelegenheit, regulatorische Vorgaben und Schulungsmaßnahmen von Anfang an in den Entwicklungsprozess zu integrieren.

Aufbau einer widerstandsfähigen Belegschaft

Schulungsprogramme sollten adaptive Lernpfade und interaktive Module beinhalten und gleichzeitig kontinuierliche Weiterbildungsaktualisierungen gewährleisten. Rollenspezifische Bewertungen tragen dazu bei, dass die Schulungen für die Bedürfnisse jedes Mitarbeiters relevant und praktisch bleiben. Der wahre Wert von Schulungen zur KI-Kompetenz geht weit über die reine Einhaltung von Vorschriften hinaus. Organisationen sollten diese Anforderung als Chance betrachten, eine starke Sicherheitskultur zu pflegen, die sowohl die Organisation als auch ihre Mitarbeiter schützt. Durch die Umsetzung umfassender, rollenbasierter Schulungsprogramme, die über die grundlegenden Compliance-Anforderungen hinausgehen, sind Sie besser auf die Herausforderungen und Chancen einer KI-gesteuerten Zukunft vorbereitet.

Denken Sie daran, dass Compliance nicht automatisch gleichbedeutend mit Sicherheit ist. Obwohl das KI-Gesetz Flexibilität bei der Umsetzung bietet, sollten Organisationen, die es mit dem Risikomanagement für den Menschen ernst meinen, über die Mindestanforderungen hinausgehen. Gut ausgebildete Mitarbeiter sind nicht nur ein regulatorisches Kriterium, sondern ein Wettbewerbsvorteil in einer zunehmend KI-abhängigen Geschäftswelt.

Die Anforderungen des EU-KI-Gesetzes an die Alphabetisierung mögen auf den ersten Blick abschreckend wirken. Sie bieten jedoch eine wertvolle Gelegenheit, die KI-Governance und die Sicherheitslage Ihrer Organisation zu stärken. Wenn Sie jetzt einen proaktiven Ansatz für die KI-Alphabetisierung verfolgen, bauen Sie eine widerstandsfähigere, aufmerksamere und fähigere Belegschaft auf, die bereit ist, das Potenzial der KI zu nutzen und gleichzeitig ihre Risiken zu managen.

Weitere Informationen zum Thema:

EU Kommission
KI-Gesetz | Gestaltung der digitalen Zukunft Europas

]]>
https://www.datensicherheit.de/ki-kompetenz-pflicht-eu-gesetz-unternehmen/feed 0
Datenschutz-Schulungen: Ein Drittel der Unternehmen versäumt es, Mitarbeitern Aktualisierungen anzubieten https://www.datensicherheit.de/datenschutz-schulungen-ein-drittel-unternehmen-versaeumnis-mitarbeiter-aktualisierungen-angebot https://www.datensicherheit.de/datenschutz-schulungen-ein-drittel-unternehmen-versaeumnis-mitarbeiter-aktualisierungen-angebot#comments Thu, 13 Feb 2025 23:37:12 +0000 https://www.datensicherheit.de/?p=46205 Zwar 87 Prozent der Unternehmen ihren Mitarbeitern Datenschutz-Schulungen an, aber nur 68 Prozent aktualisieren diese Materialien regelmäßig

[datensicherheit.de, 14.02.2025] Aus Anlass des „Safer Internet Day“ am 11. Februar 2025 geht ISACA in einer Stellungnahme auf den eigenen „State of Privacy 2025“-Report ein – demnach bieten zwar 87 Prozent der Unternehmen ihren Mitarbeitern Datenschutz-Schulungen an, aber nur 68 Prozent aktualisieren diese Materialien regelmäßig. ISACA warnt daher vor den Risiken, denen Unternehmen aufgrund unzureichender Datenschutz-Schulungen ausgesetzt sind.

87 Prozent der Unternehmen bieten Datenschutz-Schulungen an…

Der Bericht „State of Privacy 2025“ zeige, dass zwar 87 Prozent der Unternehmen Datenschutz-Schulungen anbieten, aber nur 68 Prozent die Inhalte regelmäßig aktualisieren, „so dass sie aufgrund der Lücken anfällig für neue Bedrohungen sind“. Diese besorgniserregende Erkenntnis werde durch Daten der Weltbank noch untermauert, „aus denen hervorgeht, dass Cyber-Vorfälle in den letzten zehn Jahren um durchschnittlich 21 Prozent pro Jahr zugenommen haben“.

Obwohl 74 Prozent der Befragten angegeben hätten, dass ihre Datenschutz-Strategien mit den Unternehmenszielen übereinstimmten, aktualisierten nur 59 Prozent die Schulungen jährlich, während neun Prozent dies alle zwei bis fünf Jahre täten. „Das bedeutet, dass etwa 32 Prozent der Mitarbeitenden nicht ausreichend geschult werden, um neue Datenschutz-Bedrohungen am Arbeitsplatz zu bekämpfen.“

Cyber-Sicherheit und Datenschutz mehr als rein technische Fragen

Cyber-Sicherheit und Datenschutz seien nicht mehr nur technische Fragen, sondern hätten sich zu strategischen Herausforderungen entwickelt, bei denen es um den Schutz des digitalen Vertrauens gehe. „Wie sich in den Ergebnissen von ISACA zeigt, sind regelmäßige Schulungen ein entscheidendes Element für zwei wichtige Cyber-Sicherheitsstrategien: Risikominderung und Datenschutz.“ Mehrere Studien bewiesen, dass Unternehmen, die in diesem Bereich bewährte Praktiken anwendeten, in der Regel weniger Cyber-Vorfälle erlitten und ein größeres Vertrauen bei Kunden und Partnern genössen.

„Der ,Safer Internet Day’ ist eine ideale Gelegenheit, um sich bewusst zu machen, wie wichtig es ist, den Datenschutz in allen Geschäftsbereichen zu verankern!“ Neue Technologien wie Künstliche Intelligenz (KI) und das Internet der Dinge (IoT) vergrößerten die Angriffsfläche, so dass sowohl Mitarbeiter als auch Unternehmensleitungen darauf vorbereitet sein müssten, auf mögliche Vorfälle zu reagieren.

Herausforderung für Unternehmen: KI gewinnt bei Verwaltung des Datenschutzes immer größere Bedeutung

Eines der Hauptprobleme für Unternehmen sei die zunehmende Rolle der KI bei der Verwaltung des Datenschutzes. Laut dem Bericht „State of Privacy 2025“ nutzten bereits elf Prozent der Unternehmen KI für datenschutzrelevante Aufgaben wie die Automatisierung von Risikobewertungen, die Erkennung von Anomalien und die Einhaltung gesetzlicher Vorschriften.

Diese Instrumente verbesserten zwar die betriebliche Effizienz, „bergen aber auch Risiken, wenn ethische Grundsätze und ,Privacy by Design’ nicht angewandt werden“. Ein Mangel an Transparenz in Bezug auf die Funktionsweise von Algorithmen könne das Vertrauen untergraben und zu Verstößen gegen Vorschriften führen – insbesondere im Hinblick auf den kürzlich erlassenen „EU AI Act“.

Kontinuierlicher Verbesserungsansatz für Datenschutz-Schulungen empfohlen

Daher empfiehlt ISACA Unternehmen, die ihre Datenschutz-Schulungsprogramme verbessern wollen, einen kontinuierlichen Verbesserungsansatz zu verfolgen:

„Dazu gehören nicht nur die Aktualisierung von Schulungsinhalten und das Erlangen von Zertifizierungen, sondern auch das Durchführen von Simulationen und praktischen Übungen, um die Reaktionsfähigkeit auf Vorfälle zu stärken.“

Weitere Informationen zum Thema:

ISACA
Archived Webinar—The State of Privacy 2025 (Archived until 28 January 2026)

]]>
https://www.datensicherheit.de/datenschutz-schulungen-ein-drittel-unternehmen-versaeumnis-mitarbeiter-aktualisierungen-angebot/feed 1
IoT: Wenn das Internet der Dinge zum Internet of Threats zu werden droht https://www.datensicherheit.de/iot-internet-der-dinge-drohung-transformation-internet-of-threats https://www.datensicherheit.de/iot-internet-der-dinge-drohung-transformation-internet-of-threats#respond Thu, 29 Aug 2024 17:15:28 +0000 https://www.datensicherheit.de/?p=45250 Vorteile der IoT-Technologie dürfen nicht durch Gefahr von Cyber-Angriffen überschattet werden

[datensicherheit.de, 29.08.2024] Das sogenannte Internet der Dinge (Internet of Things / IoT) hat offenkundig langsam aber sicher Einzug in unser Zuhause und an unseren Arbeitsplatz gehalten. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, kommentiert: „Von intelligenten Häusern bis hin zu industriellen Steuerungssystemen hat das IoT unser Leben bequemer und effizienter gemacht. Mit der zunehmenden Vernetzung sind aber auch die Risiken gestiegen.“ Wenn wir indes zusammenarbeiteten, um der Sicherheit Priorität einzuräumen, das Bewusstsein für die Risiken zu schärfen und durch gezielte Schulungen zu verstärken, könnten wir sicherstellen, dass die Vorteile der IoT-Technologie nicht durch die Gefahr von Cyber-Angriffen überschattet werden.

knowbe4-martin-kraemer-2024

Foto: KnowBe4

Dr. Martin J. Krämer: Letztendlich erfordert die Sicherung des IoT eine gemeinsame Anstrengung von Geräteherstellern, Entwicklern, Unternehmen und Verbrauchern!

Schwache bzw. voreingestellte Passwörter, ungepatchte Schwachstellen und unsichere Kommunikationsprotokolle erhöhen IoT-Angriffsfläche

Bei der Entwicklung von IoT-Geräten stehe häufig die Funktionalität und nicht die Sicherheit im Vordergrund. „Das bedeutet, dass viele Geräte schwache oder voreingestellte Passwörter, ungepatchte Schwachstellen und unsichere Kommunikationsprotokolle aufweisen“, erläutert Dr. Krämer. Angreifer könnten diese Sicherheitslücken ausnutzen, um sich unberechtigten Zugang zu Geräten und Netzwerken zu verschaffen, sensible Daten zu stehlen oder weitere Angriffe zu starten.

Er führt aus: „Einem kürzlich veröffentlichten Bericht des Weltwirtschaftsforums zufolge wird die Zahl der IoT-Geräte bis 2025 voraussichtlich auf 30 Milliarden ansteigen und damit eine riesige Angriffsfläche für Cyber-Kriminelle bieten.“ In dem Bericht werde auch auf den zunehmenden Handel mit IoT-Schwachstellen und „Exploits“ im sogenannten DarkWeb hingewiesen, welcher es Angreifern erleichtere, diese Geräte ins Visier zu nehmen.

Social Engineering: IoT als Quelle für Cyber-Kriminelle

Einer der am meisten unterschätzten, aber auch gefährlichsten Aspekte des IoT sei sein Potenzial für „Social Engineering“. „Viele IoT-Geräte sammeln und übertragen sensible persönliche Daten wie Gesundheitsdaten, Standortdaten und sogar Video- und Audioaufzeichnungen. Angreifer können diese Daten nutzen, um sehr gezielte Phishing-E-Mails oder -Nachrichten zu verfassen und ihre Opfer zur Preisgabe von Zugangsdaten oder anderen sensiblen Informationen zu verleiten.“

Zum Schutz vor IoT-Angriffen sei ein mehrschichtiger Sicherheitsansatz erforderlich. Dazu gehören laut KnowBe4 folgende Maßnahmen:

Ändern der Standardpasswörter
Viele IoT-Geräte würden mit schwachen oder voreingestellten Passwörtern ausgeliefert. „Ändern Sie diese umgehend und verwenden Sie starke, eindeutige Passwörter für jedes Gerät!“

Geräte auf dem neuesten Stand halten
„Suchen Sie regelmäßig nach Firmware- und Software-Updates für Ihre IoT-Geräte und installieren Sie diese!“ Diese Updates enthielten häufig Sicherheitspatches für bekannte Schwachstellen.

Netzwerke segmentieren
„Verwenden Sie getrennte Netzwerke für IoT-Geräte und kritische Systeme!“ Dies könne Angreifer daran hindern, sich seitlich durch Netzwerke zu bewegen, wenn sie ein IoT-Gerät kompromittieren.

Überwachung auf Anomalien
„Nutzen Sie Tools zur Sicherheitsüberwachung, um ungewöhnliche Verkehrsmuster oder Verhaltensweisen in Ihren IoT-Geräten und -Netzwerken zu erkennen!“ Dies könne helfen, potenzielle Angriffe schnell zu erkennen und darauf zu reagieren.

Sensibilisierung der Nutzer
„Informieren Sie Ihre Mitarbeiter und Familienmitglieder über die Risiken von IoT-Angriffen und wie sie potenzielle Social-Engineering-Versuche erkennen können. Ermutigen Sie sie, verdächtige E-Mails oder Nachrichten zu melden. Bringen Sie ihnen insbesondere bei, auf Sicherheitsfunktionen zu achten, wie z.B. die Möglichkeit, Passwörter zu ändern und Geräte vor dem Kauf einfach zu aktualisieren oder zu patchen!“

Zukunft der IoT-Sicherheit

Mit der zunehmenden Zahl von IoT-Geräten wachse auch die Bedrohung durch Cyber-Angriffe. Es sei von entscheidender Bedeutung, „dass die Gerätehersteller der Sicherheit bei der Konzeption und Entwicklung von IoT-Produkten Priorität einräumen“. Während einige Länder wie Großbritannien bereits Gesetze zum Schutz der Verbraucher erlassen hätten, „indem sie Mindestsicherheitsstandards vorschreiben“, müsse auf globaler Ebene noch mehr getan werden.

Dr. Krämer hebt hervor: „Letztendlich erfordert die Sicherung des IoT eine gemeinsame Anstrengung von Geräteherstellern, Entwicklern, Unternehmen und Verbrauchern. Ein wesentlicher Bestandteil dieser Bemühungen ist die Durchführung von Security-Awareness-Schulungen, die dazu beitragen, das Sicherheitsbewusstsein auf allen Ebenen zu stärken.“ Durch solche Schulungen könnten alle Beteiligten besser über potenzielle Bedrohungen informiert werden und lernen, wie sie sicherheitsbewusste Entscheidungen treffen.

Weitere Informationen zum Thema:

GOV.UK, 29.04.2024
New laws to protect consumers from cyber criminals come into force in the UK

datensicherheit.de, 23.03.2024
IoT-Sicherheit: Keyfactor betont drei Schlüsselaspekte für den Schutz vernetzter Geräte / Keyfactor warnt: Mit dem enormen Potenzial der IoT-Technologie gehen auch signifikante Risiken einher

datensicherheit.de, 31.01.2024
Internet der Dinge: IoT-Sicherheit massiv bedroht / Sicherheit der IoT-Geräte bleibt eine essenzielle, aber noch nicht vollständig angegangene Thematik

datensicherheit.de, 04.05.2023
Wenn IoT-Haustürkameras zu Phishing-Fallen werden / IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden

datensicherheit.de, 16.09.2022
Cyber Resilience Act: Sichere IoT-Geräte schwer zu entwerfen / Cybersecurity by Design soll helfen, potenzielle Einfallstore zu schließen

datensicherheit.de, 17.08.2022
IoT im Ransomware-Visier: IoT-Geräte benötigen speziellen Cyber-Sicherheitsansatz / Hunderttausende angeschlossener IoT-Geräte mit Ransomware, Krypto-Minern, Trojanern und Botnets könnten kompromittiert werden

]]>
https://www.datensicherheit.de/iot-internet-der-dinge-drohung-transformation-internet-of-threats/feed 0
Sicherheitsbewusstsein in Unternehmen: Effektive Förderung durch Schulungen https://www.datensicherheit.de/sicherheitsbewusstsein-unternehmen-effektivitaet-foerderung-schulungen https://www.datensicherheit.de/sicherheitsbewusstsein-unternehmen-effektivitaet-foerderung-schulungen#respond Thu, 27 Jun 2024 13:27:16 +0000 https://www.datensicherheit.de/?p=44953 Effektive Schulungsprogramme für IT-Sicherheit in Unternehmen planen und entwickeln

[datensicherheit.de, 27.06.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zum nächsten Online-„Awareness-Webinar“ zum Thema „Wie man das Sicherheitsbewusstsein durch Schulungen effektiv fördert“ ein. Vermittelt werden soll, warum Informationssicherheit entscheidend ist, und wie das Sicherheitsbewusstsein im eigenen Unternehmen nachhaltig gestärkt werden kann: „Lernen Sie, wie Sie effektive Schulungsprogramme planen und entwickeln. Entdecken Sie verschiedene Methoden zur Durchführung von Schulungen und erfahren Sie, mit welchen Themen Sie beginnen sollten.“

itsbb-online-seminar-sicherheitsbewusstsein-schulungen

Abbildung: it’s.BB

it’s.BB-Einladung zum Online-Seminar am 10. Juli 2024 von 16.00 bis 17.00 Uhr

Wie das Sicherheitsbewusstsein in Unternehmen durch Schulungen effektiv gefördert wird

„Wie man das Sicherheitsbewusstsein durch Schulungen effektiv fördert“
Dieses Online-Seminar wird in Zusammenarbeit mit der IHK Berlin organisiert. Es findet statt

am Mittwoch, dem 10. Juli 2024
von 16.00 bis 17.00 Uhr.
Teilnahme kostenlos, Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr)

16.00 – 16.10 Uhr Begrüßung
– Jonas Schubert, M&H IT-Security GmbH
– Anna Borodenko, IHK Berlin

16.10 – 16.45 Uhr
– Einführung
– Bedeutung von Informationssicherheit und Verhaltensänderung
– Planung und Entwicklung effektiver Schulungsprogramme
– Methoden für die Durchführung von Schulungen
– Jonas Schubert, M&H IT-Security GmbH

16.45 – 17.00 Uhr Fragen / Diskussion / Abschluss

Online-Anmeldung:

eventbrite
Mittwoch, 10. Juli / Wie man das Sicherheitsbewusstsein durch Schulungen effektiv fördert

]]>
https://www.datensicherheit.de/sicherheitsbewusstsein-unternehmen-effektivitaet-foerderung-schulungen/feed 0
IT-Sicherheitsstrategien deutscher Unternehmen: G DATA CyberDefense warnt vor großen Lücken https://www.datensicherheit.de/it-sicherheitsstrategien-deutschland-unternehmen-g-data-cyberdefense-warnung-groesse-luecken https://www.datensicherheit.de/it-sicherheitsstrategien-deutschland-unternehmen-g-data-cyberdefense-warnung-groesse-luecken#respond Sat, 23 Mar 2024 14:14:41 +0000 https://www.datensicherheit.de/?p=44341 Fast die Hälfte der deutschen Geschäftsführungen hält laut G-DATA-Studie Schulungen zur Security Awareness für überflüssig

[datensicherheit.de, 23.03.2024] Eine nach eigenen Angaben repräsentative Umfrage der G DATA CyberDefense AG offenbart „große Lücken in den IT-Sicherheitsstrategien deutscher Unternehmen“, denn demnach hält fast die Hälfte der deutschen Geschäftsführungen „Security Awareness“-Schulungen für überflüssig. Die Notwendigkeit, Angestellte für das Thema IT-Sicherheit zu sensibilisieren, sei indes akuter denn je.

g-data-andreas-luening

Foto: G DATA CyberDefense AG

Andreas Lüning, Vorstand und Mitgründer G DATA: Durch den gezielten Einsatz von Social Engineering nutzen Angreifer menschliche Schwachstellen in der IT-Sicherheitskette aus!

Laut G DATA herrscht in vielen Unternehmen noch immer dringender Handlungsbedarf

Es herrsche in vielen Unternehmen noch immer dringender Handlungsbedarf, denn laut der aktuellen Studie „Cybersicherheit in Zahlen“ (eine Kooperation der G DATA CyberDefense AG mit Statista und „brand eins“) finden rund 46 Prozent der Befragten, „dass technische Sicherheitslösungen allein ausreichen, um Cyber-Bedrohungen abzuwehren“.

Dies berge nicht nur ein erhöhtes Risiko für Cyber-Angriffe wie „Social Engineering“, sondern verstoße künftig gegen kommende gesetzliche Vorgaben wie die NIS-2-Direktive (NIS: „Network and Information Security“ – mit der NIS-2-Richtlinie gelten zukünftig für viele Unternehmen und Organisationen in 18 Sektoren verpflichtende, bei Verstößen mit hohen Geldbußen bewehrte Sicherheitsmaßnahmen und Meldepflichten). Diese Regelung mache die Durchführung von „Security Awareness“-Schulungen für alle Mitarbeiter verpflichtend.

Erkenntnisse aus der Studie beurteilt G DATA als alarmierend

Ein falscher Klick auf einen Phishing-Link genüge, um Cyber-Kriminellen Zugriff auf Unternehmensnetzwerke zu gewähren. Daher sei es alarmierend, dass laut der aktuellen Studie fast die Hälfte der Befragten findet, dass technische Sicherheitslösungen wie Firewalls und Antivirensoftware zum Schutz vor Cyber-Bedrohungen ausreichten. Zusätzlich gäben mehr als ein Drittel der Befragten an, „Security Awareness“-Schulungen ausschließlich auf IT-Mitarbeiter in ihrem Unternehmen zu beschränken. Diese Einschränkung berge jedoch ein erhebliches Risiko, denn die gesamte Belegschaft müsse in der Lage sein, potenzielle Bedrohungen zu erkennen und zu melden.

Ein Beispiel hierfür sei etwa der Buchhalter, der bei unzureichender Sensibilisierung eine gefälschte Rechnung akzeptiert oder das HR-Team, welches in einer gefälschten Bewerbung versehentlich einen Phishing-Link anklickt. Des Weiteren zögerten rund 33 Prozent aufgrund hoher Kosten, IT-Sicherheitsschulungen durchzuführen. Während aber die Ausgaben für Schulungen als hoch angesehen würden, seien die Kosten eines Cyber-Angriffs oft um ein Vielfaches höher. Daher sei die Investition in die Sensibilisierung der Angestellten langfristig kosteneffizienter als die Bewältigung der Folgen eines erfolgreichen Angriffs.

Plädoyer von G DATA: Umdenken unerlässlich, insbesondere angesichts der NIS-2-Direktive

Andreas Lüning, Vorstand und Mitgründer der G DATA CyberDefense AG, kommentiert: „Die Studienergebnisse verdeutlichen ein grundlegendes Missverständnis darüber, wie Cyber-Kriminelle bei ihren Angriffen agieren und wie sich Unternehmen wirksam vor ihnen schützen. Durch den gezielten Einsatz von ,Social Engineering’ nutzen Angreifer menschliche Schwachstellen in der IT-Sicherheitskette aus, was alle Mitarbeitenden unabhängig von ihrer Position zu potenziellen Einfallstoren macht.“

Vor diesem Hintergrund sei ein Umdenken unerlässlich, insbesondere angesichts der bevorstehenden NIS-2-Direktive, welche ein erhöhtes gemeinsames Cyber-Sicherheitsniveau in der EU anstrebe und verpflichtende IT-Sicherheitsmaßnahmen in wichtigen und wesentlichen Sektoren vorschreibe.

G DATA unterstreicht entscheidende Rolle von IT-Sicherheitsschulungen

In der heutigen Unternehmenslandschaft sei die Rolle von „Security Awareness“-Schulungen entscheidend, denn mit ihnen würden Mitarbeiter zu einem integralen Bestandteil der Abwehrstrategie gegen Cyber-Bedrohungen. Darüber hinaus dienten IT-Sicherheitsschulungen der zukünftigen Einhaltung gesetzlicher Vorschriften wie der NIS-2-Direktive.

Die kontinuierliche Weiterbildung der Mitarbeiter ermöglicht es Unternehmen, sich proaktiv auf neue Bedrohungen vorzubereiten und schnell darauf zu reagieren. Letztendlich sollten IT-Sicherheitsschulungen als Teil einer umfassenden IT-Sicherheitsstrategie betrachtet werden, „die sowohl die technische als auch menschliche Komponente umfasst und darauf abzielt, die Resilienz des Unternehmens gegenüber Cyber-Angriffen zu stärken“.

G DATA stellt Studie zur Cyber-Sicherheit zum Download bereit

„Cybersicherheit in Zahlen“ zeichne sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus: „Die Researcher und Marktforscher von Statista haben Zahlen, Daten und Fakten aus mehr als 300 Statistiken zu einem einzigartigen Gesamtwerk zusammengeführt.“

Mehr als 5.000 Arbeitnehmer in Deutschland seien im Rahmen einer repräsentativen Online-Studie zur Cyber-Sicherheit im beruflichen und privaten Kontext befragt worden. Die Fachleute von Statista hätten die Befragung eng begleitet und könnten dank einer Stichprobengröße, welche weit über dem branchenüblichen Standard liege, belastbare und valide Marktforschungsergebnisse im Heft „Cybersicherheit in Zahlen“ präsentieren.

Weitere Informationen zum Thema:

G DATA CyberDefense
Cybersicherheit in Zahlen

]]>
https://www.datensicherheit.de/it-sicherheitsstrategien-deutschland-unternehmen-g-data-cyberdefense-warnung-groesse-luecken/feed 0
Berliner Start-ups, Kleinunternehmen und Vereine: Kostenlose Datenschutz-Schulungen der BlnBDI https://www.datensicherheit.de/berliner-start-ups-kleinunternehmen-vereine-kostenlos-datenschutz-schulungen-blnbdi https://www.datensicherheit.de/berliner-start-ups-kleinunternehmen-vereine-kostenlos-datenschutz-schulungen-blnbdi#respond Thu, 21 Mar 2024 17:39:59 +0000 https://www.datensicherheit.de/?p=44314 Auch Berliner Unternehmen und Vereine sollten Datenschutz von Anfang an mitdenken

[datensicherheit.de, 21.03.2024] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) bietet nach eigenen Angaben auch 2024 wieder „kostenlose Schulungen zum Thema Datenschutz“ an. Die Fortbildungsreihe für Berliner Start-ups, Kleinunternehmen und Vereine startet demnach im April 2024 – die Anmeldung für die ersten sechs Termine ist laut BlnBDI ab sofort über die Website möglich.

Praxisorientierte Schulungen für spezifische Bedürfnisse der Zielgruppe in Berlin

Für viele junge Unternehmen und Vereine stelle sich besser früher als später die Frage, wie mit den personenbezogenen Daten ihrer Mitglieder, Beschäftigten und Kunden umzugehen ist.

„Die rechtssichere Verarbeitung der Daten, die Erstellung einer Datenschutzerklärung oder das richtige Löschen von Daten sind oft Herausforderungen, denen sie sich mit begrenzten finanziellen Mitteln für rechtliche Beratung gegenübersehen.“

Hier nun möchte die BlnBDI ansetzen, „indem sie praxisorientierte Schulungen anbietet, die auf die spezifischen Bedürfnisse dieser Zielgruppe zugeschnitten sind“.

Alle Termine in den Räumen der BlnBDI in Berlin-Moabit

Die BlnBDI, Meike Kamp, betont: „Den Datenschutz von Anfang an mitzudenken, ist für viele Unternehmen und Vereine entscheidend, um ihre Organisation auf eine rechtlich sichere Basis zu stellen. Dies unterstützen wir durch unsere ,Start-up-Schule’, in der wir über die geltenden Datenschutzbestimmungen informieren und an Beispielen aus der Praxis aufzeigen, wie diese umgesetzt werden können.“

Die Auftaktveranstaltung soll am 11. April 2024 stattfinden und sich den Grundlagen des Datenschutzrechts widmen. Danach folgten im zweiwöchigen Rhythmus weitere Schulungen zu den Rechtsgrundlagen von Datenverarbeitungen, dem Einsatz von „Cloud“-Diensten oder Löschkonzepten.

„Alle Termine finden in den Räumen der BlnBDI in Berlin-Moabit statt, eine Anmeldung über die Website ist erforderlich.“ Die Schulungen bauten aufeinander auf, könnten aber auch einzeln besucht werden. Ebenso sei ein späterer Einstieg möglich. „Kenntnisse des Datenschutzrechts werden nicht vorausgesetzt, die Teilnahme ist kostenfrei.“

Weitere Informationen zum Thema:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Service / Datenschutz für Berliner Start-ups und Vereine

]]>
https://www.datensicherheit.de/berliner-start-ups-kleinunternehmen-vereine-kostenlos-datenschutz-schulungen-blnbdi/feed 0
KnowBe4: Ressourcenpaket zur Verteidigung gegen zunehmende Cyberangriffe veröffentlicht https://www.datensicherheit.de/cyberangriffe-verteidiung-ressourcen-paket https://www.datensicherheit.de/cyberangriffe-verteidiung-ressourcen-paket#respond Mon, 23 Aug 2021 17:33:14 +0000 https://www.datensicherheit.de/?p=40619 Kostenloses Angebot zur Unterstützung von IT-Administratoren bei der Stärkung ihrer Schulungen zum Sicherheitsbewusstsein

[datensicherheit.de, 23.08.2021] KnowBe4, Anbieter einer weltweit verfügbaren Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, hat anlässlich des Cybersecurity Awareness Month im Oktober ein Ressourcenpaket veröffentlicht.

Kostenlose Schulungsvideos

Das KnowBe4-Ressourcenpaket für den Cybersecurity Awareness Month enthält einen Leitfaden für das Paket und Kampagnenideen, die IT-Administratoren den Einstieg erleichtern. Zudem einen wöchentlichen Schulungsplan, zwei kostenlose Schulungsvideos, Infografiken, Tippblätter und Desktop-Hintergründe. Die beiden kostenlosen Schulungsvideos – „Your Role: Internet Security and You“ und „2021 Social Engineering Red Flags“ – sind in verschiedenen Sprachen verfügbar.

knowbe4-stu-sjouwerman

Foto: KnowBe4

„Diese Cybersecurity-Ressourcen, die wir IT-Administratoren anbieten, sollen sie bei ihren Schulungsplänen und anderen Initiativen zur Förderung des Sicherheitsbewusstseins im Oktober unterstützen“, sagt Stu Sjouwerman, CEO von KnowBe4. „Böswillige Akteure lassen bei ihren Angriffen auf alle Bereiche – von kritischen Infrastrukturen bis hin zu kleinen Unternehmen – nicht nach. Daher müssen Unternehmen ihre Mitarbeiter schulen, indem sie sie über die neuesten Bedrohungen und Angriffsvektoren aufklären. Der Cybersecurity Awareness Month ist eine Initiative, bei der wir unsere Bemühungen auf den Monat Oktober konzentrieren können, während wir gleichzeitig das ganze Jahr über unsere Organisationen besser schützen.“

Motto des Cybersecurity Awareness Month 2021: „Do Your Part. #BeCyberSmart“

Das Thema des diesjährigen Cybersecurity Awareness Month 2021 der National Cybersecurity Alliance lautet „Do Your Part. #BeCyberSmart“. Das Thema soll Einzelpersonen und Organisationen ermutigen, eine entscheidende Rolle beim Schutz ihres Teils des Cyberspace zu spielen. Jeder kann seinen Teil dazu beitragen, unsere vernetzte Welt für alle sicherer und widerstandsfähiger zu machen, indem er stärkere Sicherheitspraktiken einführt, das Bewusstsein der Gemeinschaft schärft, gefährdete Zielgruppen aufklärt oder Mitarbeiter schult.

Weitere Informationen zum Thema:

KnowBe4
Ressourcenpaket für den Cybersecurity Awareness Month 2021

datensicherheit.de, 27.05.2021
CEO Fraud laut KnowBe4-Umfrage noch immer weitgehend unbekannt

]]>
https://www.datensicherheit.de/cyberangriffe-verteidiung-ressourcen-paket/feed 0
Threat Hunting: Bedeutung und Wertschätzung steigt https://www.datensicherheit.de/threat-hunting-bedeutung-wertschaetzung https://www.datensicherheit.de/threat-hunting-bedeutung-wertschaetzung#respond Mon, 21 Dec 2020 20:46:00 +0000 https://www.datensicherheit.de/?p=38543 SANS Institute stellt Threat Hunting Survey 2020-Ergebnisse vor

[datensicherheit.de, 21.12.2020] SANS Institute, weltweit agierender Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die Ergebnisse der bereits fünften Ausgabe des Threat Hunting Surveys 2020 vor. Befragt wurden 177 IT-Sicherheitsexperten, die in weltweit tätigen Unternehmen und Organisationen tätig sind. Einerseits nimmt die Anzahl der Threat Hunter zu, jedoch ist das Hunting nicht die Hauptaufgabe. Darüber hinaus besteht noch Nachholbedarf beim Einsatz von automatisierten Threat Intelligence-Tools, die bei der Zusammenstellung nützlicher und anwendbarer Bedrohungsdaten helfen.

Tools zum Threat Hunting

Die Kluft zwischen den Tools zum Threat Hunting und den im SOC verwendeten Tools wird immer kleiner. Dies gilt auch für das Korrelieren von Daten und das Sammeln von externen Quellen und Referenzen. Die Festlegung von Taktiken, Tools und Prozessen (TTPs) für die Jagd auf böswillige Akteure innerhalb eines Netzwerks ist jedoch ein Prozess, der Threat Hunting-Teams weit außerhalb der Funktion des SOC stellt. Wir konnten einen positiven Anstieg bei den Hunting-Teams feststellen, die TTPs zur Verfolgung von Bedrohungsakteuren einsetzen. Die Umfrageergebnisse verbessern auch das Verständnis für die Nützlichkeit des Huntings nach Schwachstellen oder unbekannten Fehlkonfigurationen in einer Umgebung.

Die wichtigsten Ergebnisse auf einem Blick:

  • 52 Prozent der Unternehmen stufen die Suche nach unbekannten Bedrohungen als wertvoll ein
  • 48 Prozent der Hunting-Teams speichern Bedrohungsdaten in unstrukturierten Dateien (z. B. PDFs, Textdateien, Tabellenkalkulationen)
  • 75 Prozent der Mitarbeiter von Threat Hunting-Teams übernehmen andere wichtige Funktionen in ihrem Unternehmen
  • 43 Prozent der Hunting-Teams nutzen automatisierte Lösungen für das Threat Hunting
  • 53 Prozent der Unternehmen verwenden Ad-hoc-Methoden, um die Effektivität des Threat Huntings zu messen
Mathias Fuchs, SANS-Instructor

Mathias Fuchs, SANS-Instructor, Bild: SANS

„Threat Hunting-Teams sind in der Regel eine eigenständige Einheit von Incident Respondern und Threat-Intelligence-Experten, die Hypothesen aufstellen und diesen nachgehen. Unsere Umfrage zeigt, dass die Zahl der Unternehmen, die Threat Hunting als eine Form der Compliance oder als eine Routine-Aktivität nutzen, erneut zugenommen hat. Die Ergebnisse zeigen zudem, dass Threat Hunting-Teams beginnen, ihre Prozesse und Verfahren zu formalisieren – ein Trend, der für die Branche insgesamt in die richtige Richtung geht, auch wenn die Nutzung von automatisierten Tools wie Threat Intelligence-Plattformen noch ausbaufähig ist“, erklärt Mathias Fuchs, SANS-Instructor für den Kurs FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics und Studienautor.

Zu den kompletten Ergebnissen der Umfrage geht es hier: https://www.sans.org/reading-room/whitepapers/analyst/membership/40020

Wer sich eine Erläuterung der Studienergebnisse der beiden Studienautoren Mathias Fuchs und Joshua Lemon anhören möchte, kann hier die Aufzeichnung des Webinars aufrufen: https://www.sans.org/webcasts/2020-threat-hunting-survey-results-114555

Gesponsert wurde die Umfrage von Analyst 1, Anomali, BlackBerry, Cisco, Corelight, Domaintools, Secureworks, Sophos, Swimlane und ThreatQuotient.

Das SANS Institute lädt ab sofort wieder zur beliebten und kostenlosen SANS Holiday Hack Challenge KringleCon Teil 3 ein. Wer die Challenge gewinnt, hat wie immer die Aussicht auf einen Preis.

Wie üblich bietet der Schulungsexperte alle Spezial Hands-On Kurse wie Core Netwars, DFIR Netwars, GRID Netwars und viele andere online aus. Hier gibt es eine Übersicht der aktuell verfügbaren Cyber Range, die den IT-Sicherheitsexperten dabei hilft über die Weihnachtfeiertage fokussiert zu bleiben und trotzdem für spielerische Abwechslung sorgt.

Weitere Informationen zum Thema:

datensicherheit.de, 10.04.2020
SANS Institute: Anstieg bei Angriffen auf das Remote Desktop Protocol

datensicherheit.de, 23.03.2020
Digital Guardian führt Managed Detection & Response-Service ein

]]>
https://www.datensicherheit.de/threat-hunting-bedeutung-wertschaetzung/feed 0