Geschäftssicherheit
Wissen ist eine mächtige Waffe, die Ihre Mitarbeiter in die Lage versetzen kann, die erste Verteidigungslinie gegen Bedrohungen zu werden
Oktober 19 2023 • , 5 Minute. lesen
Auch diesen Oktober ist es wieder soweit: Cybersecurity Awareness Month (CSAM). Hierbei handelt es sich um eine Sensibilisierungsinitiative, die sowohl die Verbraucher- als auch die Unternehmenswelt umfasst, obwohl es viele Überschneidungen gibt: Schließlich ist jeder Mitarbeiter auch ein Verbraucher. Da wir zunehmend von zu Hause oder unserem bevorzugten Remote-Arbeitsplatz aus arbeiten, Noch nie waren die Grenzen so verschwommen. Gleichzeitig waren die Risiken eines Kompromisses leider noch nie so groß.
Der Aufbau einer cybersichereren Welt beginnt hier. Was sollten IT-Chefs jetzt und im Jahr 2024 in ihre Programme zur Sensibilisierung für das Thema Sicherheit integrieren? Es ist wichtig, sicherzustellen, dass Sie damit zurechtkommen Cyberbedrohungen von heute und morgen, nicht die Risiken von gestern.
Warum Training wichtig ist
Laut VerizonDrei Viertel (74 %) aller weltweiten Verstöße im vergangenen Jahr waren auf das „menschliche Element“ zurückzuführen, was in vielen Fällen Fehler, Fahrlässigkeit oder Benutzer bedeutete Opfer von Phishing werden und Social Engineering. Sicherheitsschulungs- und Sensibilisierungsprogramme sind eine entscheidende Möglichkeit, diese Risiken zu mindern. Aber es gibt keinen schnellen und einfachen Weg zum Erfolg. Tatsächlich sollten Sie nicht so sehr auf Schulung oder Sensibilisierung achten, da beides mit der Zeit vergessen werden kann. Es geht darum, das Nutzerverhalten nachhaltig zu verändern.
Dass kann nur passieren wenn Sie Programme kontinuierlich ausführen, um die Erkenntnisse jederzeit im Auge zu behalten. Und stellen Sie sicher, dass niemand etwas verpasst – dazu gehören auch Zeitarbeiter, Auftragnehmer und C-Level-Führungskräfte. Jeder könnte ein Ziel sein, und es könnte nur ein Fehler genügen, um die Bösewichte möglicherweise hereinzulassen. Führen Sie Sitzungen außerdem in mundgerechten Abschnitten durch, um eine bessere Chance zu haben, dass die Nachrichten hängen bleiben. Und wenn möglich, beziehen Sie Simulationen ein Gamification-Übungen eine besondere Bedrohung zum Leben erwecken.
So wie wir erwähnt vor, können die Lektionen sogar auf bestimmte Rollen und Sektoren zugeschnitten werden, um sie für den Einzelnen relevanter zu machen. Und Gamification-Techniken können eine nützliche Ergänzung sein, um das Training spannender und ansprechender zu gestalten.
3 Bereiche, die jetzt und im Jahr 2024 einbezogen werden sollen
Da wir uns dem Ende des Jahres 2023 nähern, lohnt es sich, darüber nachzudenken, was in die Programme des nächsten Jahres aufgenommen werden soll. Folgendes berücksichtigen:
1) BEC und Phishing
Kompromiss zwischen geschäftlichen E-Mails (BEC)-Betrug, bei dem gezielte Phishing-Nachrichten ausgenutzt werden, ist nach wie vor eine der bestverdienenden Kategorien der Cyberkriminalität überhaupt. In Fällen dem FBI gemeldet Letztes Jahr verloren die Opfer über 2.7 Milliarden US-Dollar. Hierbei handelt es sich um ein Verbrechen, das im Wesentlichen auf Social Engineering basiert und in der Regel das Opfer dazu verleitet, einer Überweisung von Unternehmensgeldern auf ein Konto zuzustimmen, das unter der Kontrolle des Betrügers steht.
Es gibt verschiedene Methoden, mit denen sie dies erreichen, beispielsweise indem sie sich als CEO oder Lieferant ausgeben, und diese lassen sich gut integrieren Übungen zur Sensibilisierung für Phishing. Diese sollten mit Investitionen in erweiterte E-Mail-Sicherheit, robuste Zahlungsprozesse und die doppelte Prüfung aller Zahlungsanfragen kombiniert werden.
Phishing als solches gibt es schon seit Jahrzehnten, ist aber immer noch einer der häufigsten Vektoren für den Erstzugriff auf Unternehmensnetzwerke. Und dank abgelenkter Heim- und Außendienstmitarbeiter haben die Bösewichte sogar noch bessere Chancen, ihre Ziele zu erreichen. Aber in vielen Fällen ändern sich die Taktiken und damit auch die Sensibilisierungsmaßnahmen für Phishing. Hier können Live-Simulationen wirklich helfen, das Nutzerverhalten zu ändern. Erwägen Sie für 2024 die Aufnahme von Inhalten zum Thema Phishing über Text- oder Messaging-Apps (SMiShing), Sprachanrufe (Vishing) und neue Techniken wie die Umgehung der Multi-Faktor-Authentifizierung (MFA).
Bestimmte Social-Engineering-Taktiken ändern sich extrem häufig. Daher ist es eine gute Idee, mit einem Schulungsanbieter zusammenzuarbeiten, der seine Inhalte entsprechend aktualisieren kann.
2) Sicherheit beim Remote- und Hybrid-Arbeiten
Experten warnen schon seit langem, dass Mitarbeiter bei der Arbeit von zu Hause aus eher dazu neigen, Sicherheitshinweise/-richtlinien zu ignorieren oder diese einfach zu vergessen. Eins Studie fanden heraus, dass 80 % der Arbeitnehmer zugeben, dass sie beispielsweise im Sommer freitags von zu Hause aus entspannter und abgelenkter sind. Dies kann ein erhöhtes Risiko einer Kompromittierung für sie bedeuten, insbesondere wenn Heimnetzwerke und -geräte möglicherweise weniger gut geschützt sind als Unternehmensäquivalente. Und hier sollten Schulungsprogramme mit Ratschlägen zu Sicherheitsupdates für Laptops, Passwortverwaltung und der Verwendung ausschließlich von Unternehmen zugelassener Geräte ansetzen. Es sollte mit einer Sensibilisierungsschulung für Phishing einhergehen.
Ferner Hybrides Arbeiten ist zur Norm geworden für viele Unternehmen heute. Eins Studienansprüche Mittlerweile haben 53 % eine Police, Tendenz steigend. Allerdings birgt das Pendeln ins Büro oder das Arbeiten von einem öffentlichen Ort aus Risiken. Eine davon sind Bedrohungen durch öffentliche Wi-Fi-Hotspots, die mobile Mitarbeiter möglicherweise Adversary-in-the-Middle-Angriffen (AitM) aussetzen, bei denen Hacker auf ein Netzwerk zugreifen und Daten abhören, die zwischen angeschlossenen Geräten und dem Router übertragen werden, sowie Bedrohungen durch „böse Zwillinge“. Dabei richten Kriminelle an einem bestimmten Ort einen doppelten WLAN-Hotspot ein, der sich als legitimer Hotspot ausgibt.
Es gibt auch weniger „High-Tech“-Risiken. Schulungen könnten eine gute Gelegenheit sein, die Mitarbeiter an die Gefahren zu erinnern Schulter-Surfen.
3) Datenschutz
GDPR Bußgelder hat 168 % jährlich auf über 2.9 Milliarden Euro (3.1 Milliarden US-Dollar) im Jahr 2022, da die Aufsichtsbehörden hart gegen Verstöße vorgehen. Das ist ein gutes Argument für Unternehmen, sicherzustellen, dass ihre Mitarbeiter die Datenschutzrichtlinien korrekt befolgen.
Regelmäßige Schulungen sind eine der besten Möglichkeiten, die Best Practices für den Umgang mit Daten im Auge zu behalten. Dazu gehören beispielsweise die Verwendung einer starken Verschlüsselung, eine gute Passwortverwaltung, die Sicherheit von Geräten und die sofortige Meldung von Vorfällen an den zuständigen Ansprechpartner.
Mitarbeiter könnten auch von einer Auffrischung im Umgang mit Blind Copy (BCC), einem häufigen Fehler, der zu unbeabsichtigten E-Mail-Datenlecks führt, und anderen technischen Schulungen profitieren. Und sie sollten immer darüber nachdenken, ob das, was sie in den sozialen Medien posten, vertraulich behandelt werden sollte.
Schulungs- und Sensibilisierungskurse sind ein wichtiger Bestandteil jeder Sicherheitsstrategie. Aber sie können nicht isoliert arbeiten. Unternehmen müssen außerdem über strenge Sicherheitsrichtlinien verfügen, die durch strenge Kontrollen und Tools wie die Verwaltung mobiler Geräte durchgesetzt werden. „Menschen, Prozesse und Technologie“ ist das Mantra, das zum Aufbau einer cybersichereren Unternehmenskultur beitragen wird.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.welivesecurity.com/en/business-security/strengthening-weakest-link-top-3-security-awareness-topics-employees/
