{"id":18073,"date":"2018-11-12T15:01:33","date_gmt":"2018-11-12T13:01:33","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18073"},"modified":"2019-11-22T12:13:48","modified_gmt":"2019-11-22T10:13:48","slug":"best-practices-for-workplace","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/best-practices-for-workplace\/18073\/","title":{"rendered":"Cybersicherheit am Arbeitsplatz"},"content":{"rendered":"

Mitarbeiter sind das wertvollste Gut eines Unternehmens; sie sind f\u00fcr die Umsatzsteigerung und den Aufbau von Kundenbeziehungen verantwortlich und spielen eine entscheidende Rolle im Sicherheitsumkreis eines Unternehmens<\/a>.<\/p>\n

Cyberkriminelle hingegen betrachten die Mitarbeiter eines Unternehmens als einfachen und widerstandslosen Gegenstand<\/a>, um sich ihren Weg in eine Organisation zu bahnen. In Nordamerika zum Beispiel sind die zwei Hauptursachen f\u00fcr Datenlecks unvorsichtige oder uninformierte Handlungen der Mitarbeiter sowie Phishing oder anderweitiges Social Engineering<\/a>. Cyberkriminelle wissen das und nutzen diese Tatsache zu ihrem Vorteil.<\/p>\n

Mit einem zuverl\u00e4ssigen Sicherheitsschulungsprogramm kann Ihr Unternehmen vertrauensw\u00fcrdige Informationen angemessen sch\u00fctzen und sicherstellen, dass Cyberkriminelle die Firewall Ihrer Mitarbeiter nicht durchbrechen k\u00f6nnen.<\/p>\n

Uns haben zahlreiche Fragen zu den bew\u00e4hrtesten Vorgehensweisen im Bereich Cybersicherheit am Arbeitsplatz erreicht. Aus diesem Grund haben wir Barton Jokinen, den Leiter der Abteilung f\u00fcr Informationssicherheit und Compliance von Kaspersky Lab im amerikanischen Raum, gebeten, die am h\u00e4ufigsten gestellten Fragen f\u00fcr uns zu beantworten.<\/p>\n

Esposito: Was ist Cybersicherheit? <\/strong><\/p>\n

Jokinen:<\/strong> Cybersicherheit hat zahlreiche Definitionen; der Begriff an sich ist somit relativ weit gef\u00e4chert. In diesem Kontext bedeutet Cybersicherheit Systeme und Daten, unter anderem mit physischen Sicherheits- und Awareness-Schulungen, vor b\u00f6swilligen Angriffen zu sch\u00fctzen.<\/p>\n

Esposito: Welches ist das beste, auf dem Markt verf\u00fcgbare Awareness-Programm?<\/strong><\/p>\n

Jokinen:<\/strong> Bei Awareness-Programmen im Bereich Cybersicherheit gibt es keine Einheitsgr\u00f6\u00dfe. Jedes Unternehmen hat abh\u00e4ngig von seinen strategischen Gesch\u00e4ftszielen, Risikoanalysen und sogar dem Risikoappetit unterschiedliche Bed\u00fcrfnisse. Daher ist es sinnvoll zu fragen: \u201eWie hilft Cybersicherheit dem Prim\u00e4rgesch\u00e4ft der Organisation?\u201c<\/p>\n

Esposito: Was sollten Unternehmen aus sicherheitstechnischer Sicht beim Schutz ihres Arbeitsplatzes beachten?<\/strong><\/p>\n

Jokinen:<\/strong> Organisationen \u00fcbersehen beim Gedanken an Cybersicherheit oft drei wichtige Teilbereiche:<\/p>\n

Physische Sicherheit.<\/strong> Das Wohlbefinden der Mitarbeiter sollte bei den Cybersicherheitspl\u00e4nen eines jeden Unternehmens im Vordergrund stehen. Dies scheint nicht intuitiv zu sein, wenn \u00fcber Cybersicherheit nachgedacht wird. Die zunehmende Pr\u00e4valenz von IoT-Ger\u00e4ten hat die Grenze zwischen physischer Sicherheit und Internetsicherheit enorm verzerrt. Drahtlose Sicherheitskameras, die \u00fcber eine Webschnittstelle verwaltet werden oder ein smartes Schloss, das vom Smartphone eines Mitarbeiters ge\u00f6ffnet werden kann \u2013 wie und wann k\u00f6nnen Dinge als physisch oder \u201ecyber\u201c eingestuft werden?<\/p>\n

Viele Unternehmen verf\u00fcgen \u00fcber traditionelle physische Sicherheitskontrollen vor Ort; diese sind allerdings nicht mit den eigentlichen Probleml\u00f6sern verbunden. Im IoT-Zeitalter sind Cybersicherheits- und IT-Teams f\u00fcr notwendige Korrekturma\u00dfnahmen verantwortlich. Am Arbeitsplatz teilen diese Systeme h\u00e4ufig dieselben Netzwerkressourcen wie der Rest des Unternehmens. Der Anschluss von IoT-Ger\u00e4ten an das Hauptnetzwerk ist jedoch sehr riskant, da er potenziellen Angreifern einen Einstiegspunkt f\u00fcr den Zugriff auf die Netzwerkressourcen des Unternehmens bietet.<\/p>\n

Dar\u00fcber hinaus k\u00f6nnen anf\u00e4llige Systeme f\u00fcr den Zugriff auf schlecht gesicherte industrielle Steuerungssysteme (ICS) verwendet werden. F\u00fcr Organisationen, die beispielsweise eine kritische Infrastruktur auf einem ICS betreiben, sollte eine intensive Suche aller beteiligten Systeme durchgef\u00fchrt werden. Diese Netzwerke sollten auch in die weiteren Cybersicherheitsbem\u00fchungen mit einbezogen werden.<\/p>\n

Situationsbedingte Awareness von Verm\u00f6genswerten und Daten. <\/strong>Ein Gro\u00dfteil der Cybersicherheits-Frameworks beruht auf dem Wissen der zur Verf\u00fcgung stehenden Assets einer Organisation (einschlie\u00dflich Daten): die Systeme und Anwendungen zur Datenverarbeitung, wer Zugriff hat und wo sie sich befinden. Eine auf bekannten Assets beruhende Risikoeinsch\u00e4tzung im Bereich Cybersicherheit erm\u00f6glicht eine gr\u00fcndlichere Ermittlung der umsetzbaren Bedrohungen. Auf diese Weise kann eine Organisation ihre Cybersicherheitsressourcen genau dort konzentrieren, wo sie am wichtigsten ist.<\/p>\n

Cybersicherheits-Awareness und kontinuierliche Schulungen<\/strong><\/p>\n

Awareness geht \u00fcber das Entdecken und Katalogisieren von Assets hinaus. Awareness sollte ein st\u00e4ndiges Bem\u00fchen sein, um die Mitarbeiter eines Unternehmens \u00fcber Richtlinien, aktuelle Bedrohungen und den Umgang mit diesen Bedrohungen aufzukl\u00e4ren. Ein besonderes Augenmerk sollte dabei auf Social Engineering gelegt werden, das nach wie vor der h\u00e4ufigste und erfolgreichste Angriffsvektor ist.<\/p>\n

Organisationen sollten nicht nur allgemeine Schulungen, sondern auch auf bestimmte Rollen ausgerichtete Trainings anbieten. Gestalten Sie diese personenbezogen und unterhaltsam. Erz\u00e4hlen Sie praxisnahe Geschichten und behelfen Sie sich mit Lernspielen, die Awareness-Konzepte zus\u00e4tzlich unterst\u00fctzen. Ein Awareness-Programm sollte alles andere als eine Pr\u00fcfung sein.<\/p>\n

Ein gutes Programm ist eine balancierte Mischung aus pers\u00f6nlichen\/gef\u00fchrten, praxisnahen Online-\/Selbstlernmodulen und Studien. Sammeln Sie Metriken, um Erfolge und Schw\u00e4chen in Sicherheits-Awareness-Programmen aufzuzeigen.<\/p>\n

Esposito: Unser IT-Team kennt sich im Bereich Cybersicherheit bestens aus. Warum sollten weitere Schulungen durchgef\u00fchrt werden?<\/strong><\/p>\n

Jokinen:<\/strong> Die Aus- und Weiterbildung im Bereich Cybersicherheitshygiene muss in der gesamten Organisation eine g\u00e4ngige Praxis sein. Mitarbeiter werden oft als die \u201eschw\u00e4chste Verbindung\u201c bezeichnet; in Wirklichkeit sind sie der h\u00e4ufigste Angriffsvektor und sollten daher auch wie jeder andere Angriffsvektor in der Organisation behandelt werden.<\/p>\n

Esposito: Wir haben bereits an zahlreichen Schulungsprogrammen teilgenommen \u2013 ohne Erfolg. Was sollten wir tun?<\/strong><\/p>\n

Jokinen:<\/strong> Es ist kein Geheimnis, dass traditionelle Schulungsprogramme die gew\u00fcnschte Verhaltens\u00e4nderung und Motivation verfehlen. Um ein effektives Bildungsprogramm aufzubauen, muss ein Verst\u00e4ndnis daf\u00fcr vorhanden sein, was hinter jedem Lern- und Lehrprozess steckt. F\u00fcr ein erfolgreiches Cybersicherheits-Awareness-Programm ist der Schl\u00fcssel zum Erfolg die Etablierung einer Cybersicherheitskultur, die die Mitarbeiter dazu motiviert, Sicherheitspraktiken auch au\u00dferhalb des B\u00fcros fortzuf\u00fchren. Ziel der Awareness-Schulung ist es letztendlich nicht nur, Wissen zu vermitteln, sondern Gewohnheiten zu \u00e4ndern und neue Verhaltensmuster zu entwickeln.<\/p>\n

Die Kaspersky-Security-Awareness-Produkte<\/a> sind nicht nur ein guter Einstieg, sondern eignen sich auch ideal, um L\u00fccken eines vorhandenen Programms zu f\u00fcllen. Die Produkte wurden f\u00fcr alle Ebenen der Organisationsstruktur entwickelt. Die computerbasierten Schulungsprodukte greifen auf moderne Lernmethoden zur\u00fcck: Gamification, Learning by Doing und wiederholte St\u00e4rkung helfen dabei, eine starke F\u00e4higkeitsbindung zu entwickeln und eine Obliteration zu verhindern. Eine Nachbildung des Arbeitsplatzes und des Mitarbeiterverhaltens tr\u00e4gt dazu bei, die Aufmerksamkeit der Nutzer auf ihre praktischen Interessen zu lenken. Diese motivierenden Faktoren garantieren, dass die F\u00e4higkeiten auch angewendet werden.<\/p>\n

Esposito: Wie oft sollten Mitarbeiter Bericht \u00fcber auff\u00e4llige Aktivit\u00e4ten erstatten?<\/strong><\/p>\n

Jokinen:<\/strong> Cybersicherheitsteams bevorzugen es grunds\u00e4tzlich eher, dass Mitarbeiter ein sogenanntes False Positive melden als abzuwarten, bis sich etwas \u201eVerd\u00e4chtiges\u201c zu einer ernsthaften Bedrohung entwickelt. Dazu m\u00fcssen Mitarbeiter allerdings wissen, was als \u201everd\u00e4chtig\u201c eingestuft werden kann.<\/p>\n

In einer soliden Cybersicherheits-Awareness-Schulung sollten verd\u00e4chtige Vorf\u00e4lle anhand von Beispielen definiert werden und darauf eingegangen werden, wann und wie Bericht erstellt werden soll. Die Mitarbeiter sollten dann dazu aufgefordert werden, alle Aktivit\u00e4ten zu melden, die ihnen verd\u00e4chtig erscheinen. Die Berichterstattung kann auf verschiedene Arten und Weisen erfolgen. Einige Organisationen nutzen den IT Service Desk, andere verwenden den Versand einer E-Mail, die ein Ticket f\u00fcr das jeweilige Sicherheitsteam generiert und in wieder anderen F\u00e4llen m\u00fcssen Mitarbeiter den Vorfall ihren Vorgesetzten melden.<\/p>\n

Sobald die Mitarbeiter mit der Identifizierung und Berichterstattung verd\u00e4chtiger Aktivit\u00e4ten vertraut sind, m\u00fcssen Richtlinien zur Vorfallsreaktion festgelegt werden. Diese sollten n\u00e4her auf die Verfahren und die Verantwortung der Mitarbeiter beim Umgang mit einem Vorfall eingehen.<\/p>\n

Denken Sie daran: \u201eSee something, say something.\u201c Es ist einfacher, ein Problem im Keim zu ersticken, als eine Krise in voller Bl\u00fcte zu bew\u00e4ltigen.<\/p>\n

Esposito: Wie stehen Sie zum Thema BYOD-Richtlinien?<\/strong><\/p>\n

Jokinen:<\/strong> BYOD (Bring your own device) ist zu einem immer beliebter werdenden Ansatz geworden. Mitarbeiter genie\u00dfen die Flexibilit\u00e4t, wenn es darum geht zu entscheiden, wann und mit welchem \u200b\u200bGer\u00e4t sie arbeiten m\u00f6chten. Arbeitgeber hingegen profitieren von geringeren Supportkosten f\u00fcr IT-Assets. Dies gef\u00e4hrdet allerdings die Unternehmensdaten. Wenn Mitarbeiter ihre eigenen Ger\u00e4te als Arbeitsmittel verwenden d\u00fcrfen, befinden sich diese Ger\u00e4te auch gleichzeitig au\u00dferhalb der traditionellen Sicherheitskontrollen.<\/p>\n

Esposito: Sie halten scheinbar nicht viel von BYOD?<\/strong><\/p>\n

Jokinen:<\/strong> Nat\u00fcrlich m\u00fcssen und sollen Unternehmen nicht vollst\u00e4ndig auf BYOD verzichten. Allerdings ist es hier besonders wichtig, dass bestimmte Sicherheitsrichtlinien und -verfahren festgelegt und eingehalten werden. So muss Arbeit und Freizeit beispielsweise strikt voneinander getrennt werden. Unternehmensdaten sollten nur von Anwendungen verarbeitet werden, die von der Organisation gepr\u00fcft und gesichert wurden. Dies kann schwierig erscheinen, wenn Benutzer ihre eigenen Ger\u00e4te verwenden. Gl\u00fccklicherweise gibt es Tools zur Verwaltung von mobilen Ger\u00e4ten (Mobile Device Management, MDM). MDMs k\u00f6nnen Unternehmensdaten isolieren und sichern, Anwendungen pr\u00fcfen und genehmigen sowie Ger\u00e4te mit unternehmensrelevanten Informationen aus der Ferne verfolgen und l\u00f6schen.<\/p>\n

Esposito: Wo k\u00f6nnen Nutzer zus\u00e4tzliche Ressourcen zur Weiterbildung finden?<\/strong><\/p>\n

Jokinen:<\/strong> Kaspersky Lab bietet verschiedene Ressourcen zur Aufrechterhaltung der Awareness bez\u00fcglich der Bedrohungen und Vorf\u00e4lle in der Welt der Cybersicherheit:<\/p>\n