Cloud Security stellt CISOs vor eine Herkulesaufgabe

  • Schutz von Mitarbeitern und Daten vor Bedrohungen und Compliance-Risiken
  • Social Engineering und die Cybersicherheit
  • Schlaraffenland für Cyberkriminelle

Im Kampf gegen Cyberkriminalität hat der Mensch – und nicht die Technologie – im Zentrum der Cybersecurity zu stehen. Es gilt die Technik, Prozesse und Kontrollen so zu kombinieren, dass der Mitarbeiter nicht mehr länger ganz einfach als Trojanisches Pferd missbraucht werden kann.

CISOs wünschen sich in erster Linie absolute Transparenz. Sie möchten verstehen, welche Angriffe stattfinden, wer angegriffen wird, mit welchen Methoden und vor allem möchten sie wissen, wie die Schutzmechanismen greifen. In diesem Interview auf it-daily.net gibt Georgeta Toth, Senior Regional Director Zentral- und Osteuropa bei der Proofpoint GmbH, Empfehlungen, wie Security-Experten den Durchblick in der Cloud behalten.

Schutz von Mitarbeitern und Daten vor Bedrohungen und Compliance-Risiken

Proofpoint hat es sich auf die Fahne geschrieben, mittels einer cloudbasierten Plattform Unternehmen, deren Mitarbeiter und Daten vor aktuellen und künftigen Bedrohungen und Compliance-Risiken zu schützen. Was genau muss man sich darunter vorstellen?

Georgeta Toth: Sie sprechen mit Ihrer Frage mehrere wesentliche Faktoren an. Einmal die Tatsache, dass wir cloudbasiert sind; warum ich das ausdrücklich hervorhebe, werde ich gleich beantworten. Und zum zweiten, dass wir im Rahmen unserer Lösungen den Mitarbeiter ins Zentrum der Sicherheitsbemühungen stellen, wir nennen das People-Centric Security. Darauf werde ich im zweiten Teil meiner Antwort eingehen.

Warum also sind wir überzeugt, dass eine Sicherheitslösung aus der Cloud wesentliche Vorteile bietet? Cybersecurity lebt von der Aktualität und Agilität, mit der gegen modernste Bedrohungen vorgegangen werden kann. Wenn man versucht diese Expertise im eigenen Unternehmen abzubilden, wird man schon bald an Kapazitätsgrenzen und Wissensgrenzen stoßen. Ich verwende hier zur Verdeutlichung gerne eine Analogie. Stellen Sie sich vor, zwei Piloten machen gemeinsam eine Ausbildung und lernen eine A 16 zu fliegen. Ein Pilot fliegt sie danach täglich, bildet sich beständig über Neuerungen weiter und kann viele Stunden Flugpraxis vorweisen. Der andere Pilot, der dieselben Grundvoraussetzungen hat, wird jedoch auf einem anderen Flugzeug eingesetzt, bekommt zwar die Updates zur A 16 per Newsletter mitgeteilt, hat aber kaum die Möglichkeit das Flugzeug einmal selbst zu steuern. Nun kommt es zu einer Extremsituation.

Wer denken Sie wird schneller und agiler reagieren können? Ähnlich ist es im Unternehmen. Der unternehmensinterne Security-Experte hat mit Sicherheit hervorragende Grundvoraussetzungen und wird auch sein Möglichstes unternehmen, um immer auf dem neuesten Stand zu bleiben. Doch defacto wird sein Wissen lange Zeit nicht benötigt werden, denn wir müssen uns verdeutlichen, dass Angriffe nicht kontinuierlich und tröpfchenweise stattfinden, sondern nach längeren Pausen unvorhergesehen in immer neuen Konstellationen und mit anderen Bedrohungen wellenartig das Unternehmen zu überrollen drohen. Hier kommen die Vorteile eines spezialisierten Cloud-Anbieters zum Tragen. Nicht nur hat das Unternehmen Zugriff auf die modernste Software, auch die Mitarbeiter sind auf dem neuesten Stand und extrem agil darin, den aktuellsten Gefährdungen zu begegnen.

Nun zum zweiten Teil Ihrer Frage. Noch immer ist Netzwerksicherheit sehr wichtig, jedoch zeigen unabhängige Untersuchungen – beispielsweise vom SANS Institut – dass 95 Prozent der Angriffe auf das Unternehmensnetz das direkte Resultat erfolgreicher Phishing-Attacken sind. Das bedeutet, der Cyberkriminelle legt die Bombe in die Hand des unwissentlichen Mitarbeiters und animiert ihn zu einer Aktion, wie etwa der Preisgabe seiner Zugangsdaten oder den Klick auf einen Link, den Download eines Anhangs. Nur wenn die Technologie Hand in Hand geht mit dem Bewusstsein des Mitarbeiters als größten Risikofaktor, lässt sich das Unternehmen und dessen Daten effektiv schützen. Großes Augenmerk sollte dabei auf der Schulung der Mitarbeiter liegen, die etwa anhand aktuellster Szenarien über Bedrohungen und vorgetäuschten Angriffen für die Attacken sensibilisiert und hinsichtlich der richtigen Vorgehensweise geschult werden.

Georgeta Toth beantwortet in dem auf it-daily.net erschienenen Interview die folgenden weiteren Fragen:

  • Sie sprechen tagtäglich mit den CISOs führender Unternehmen und diskutieren mit ihnen mit Sicherheit auch diese Zusammenhänge. Was sind Ihrer Ansicht nach die größten Herausforderungen, denen sie sich gegenübersehen?
  • CISOs stehen einer Herkulesaufgabe gegenüber. Welche Empfehlungen können Sie geben?

Social Engineering und die Cybersicherheit

Wenn man Wikipedia befragt, so handelt es sich bei Social Engineering im Rahmen der Unternehmenssicherheit um „zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen“. Doch wie wählen Cyberkriminelle aus, welche Personen beeinflusst werden sollen, wie geht das genau vonstatten und vor allem – wie lässt sich das unterbinden?

Welche Personen im Unternehmen sind besonders vielen Social Engineering Angriffen ausgesetzt? Denn nur wenn man versteht, wer unter Beschuss gerät, kann das Unternehmen als Ganzes effektiv geschützt werden.

Die Antwort mag vielfach verblüffen. Es sind nicht etwa die Personen, die die Mehrzahl als Angriffsopfer vermuten würden, wie etwa den Finanzvorstand. Die Firmenleitung erhält von der Gesamtzahl zielgerichteter Malware- und Phishing-Angriffe lediglich 6 Prozent, wohingegen laut des aktuellen Protecting-People-Reports von Proofpoint 72 Prozent aller Angriffe gegen einfache Mitarbeiter und Manager gerichtet waren. Weitere Informationen dazu finden Interessierte auf it-daily.net.

Schlaraffenland für Cyberkriminelle

Nach Angaben des Deutschen Instituts für Wirtschaftsforschung (DIW) möchte jeder Deutsche zumindest ab und an von zu Hause aus arbeiten. Und obwohl viele ein Recht auf Homeoffice begrüßen würden, so stellt es IT-Abteilungen in Unternehmen doch vor große Herausforderungen.

Schon heute verschwimmen die Grenzen zwischen privater und geschäftlicher Nutzung der Unternehmens-PCs, wenn Mitarbeiter beispielsweise private E-Mails am Firmenrechner lesen oder den Firmenlaptop abends und am Wochenende mit nach Hause nehmen, um auch noch Feierabend noch die eine oder andere Aufgabe erledigen zu können. Laut einer aktuellen Umfrage von Proofpoint unter 6000 Erwerbstätigen aus Deutschland sowie den USA, Großbritannien, Frankreich, Italien und Australien ist die moderne Arbeitswelt – mit oder ohne offizieller Genehmigung des Arbeitgebers und mit oder ohne Segen der Gesetzgebung – heute schon Realität: Im Rahmen der Befragung, deren Ergebnisse im aktuellen Proofpoint Bericht zu Benutzerrisiken nachzulesen sind, gaben 17 Prozent der deutschen Mitarbeiter im Querschnitt aller Branchen und Firmengrößen an, ihr vom Arbeitgeber überlassenes Gerät „regelmäßig“ zu Hause zu nutzen, wobei 38 Prozent dieser Personen kein Passwort für ihr WLAN eingerichtet haben. Neben der rein beruflichen Tätigkeiten wird der Firmen-PC auch verwendet, um private E-Mails abzurufen und zu beantworten (66 Prozent), für Social Media Aktivitäten (28 Prozent), um Medien zu streamen (23 Prozent), online einzukaufen (27 Prozent) oder zu spielen (9 Prozent).

Die erwähnte Studie deckte zudem auf, dass 71 Prozent der deutschen Teilnehmer fälschlicherweise annehmen, dass der Einsatz von Antivirensoftware einen Cyberangriff auf den Computer verhindern kann. Die Kombination privater Nutzung der Firmen-IT gepaart mit diesem eklatanten Mangel an Cybersecurity-Know-how unter den Mitarbeitern, kreiert ein Schlaraffenland für Cyberkriminelle.

Die Antwort muss lauten: Im Kampf gegen Cyberkriminalität hat der Mensch – und nicht die Technologie – im Zentrum der Cybersecurity zu stehen. Es gilt die Technik, Prozesse und Kontrollen so zu kombinieren, dass der Mitarbeiter nicht mehr länger ganz einfach als Trojanisches Pferd missbraucht werden kann.

Weitere Informationen über Menschen im Visier der IT Security stehen auf it-daily.net.

Weitere Informationen:

https://www.it-daily.net

Ansprechpartner:

Ulrich Parthier
it Verlag GmbH, Rudolf-Diesel-Ring 21, 82054 Sauerlach
Telefon: +49-8104-649414, E-Mail: u.parthier@it-verlag.de

Über die IT Verlag für Informationstechnik GmbH

Die it verlag für Informationstechnik GmbH publiziert das Magazin it management mit dem Supplement it security. Im Online-Bereich stehen mit der News-Portal www.it-daily.net und diversen Newslettern wertvolle Informationsquellen für IT Professionals zur Verfügung. Mit eBooks, Whitepapern und Konferenzen zu Themen des Print-Magazins rundet der Verlag sein Angebot zu News aus der IT-Welt ab.

www.it-daily.net

Firmenkontakt und Herausgeber der Meldung:

IT Verlag für Informationstechnik GmbH
Rudolf-Diesel-Ring 21
82054 Sauerlach
Telefon: +49 (8104) 649426
Telefax: +49 (8104) 6494-22
https://www.it-daily.net

Ansprechpartner:
Silvia Parthier
Redaktion it management / it security
Telefon: +49 (8104) 6494-26
Fax: +49 (8104) 6494-22
E-Mail: s.parthier@it-verlag.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.