Gemeinsame Verantwortung – Security Awareness

Rund 90% der erfolgreichen und schädigenden  Hacker-Attacken bzw. CyberSecurity-Vorfällen basieren auf sogenannten Phishing-Mail-Angriffen oder Social Engineering (Clevere Manipulation der menschlichen Tendenz zum Vertrauen und dem darauf basierten (falschen) Verhalten).

Noch besorgniserregender ist der Fakt, dass die durchschnittliche Erkennungszeit eines solchen gezielten Angriffs mitunter mehrere Monate dauern kann. Die entsprechende, dadurch zusätzlich entstehende Gefahr des weiteren indirekten Schadens oder unerwünschten Nebeneffekten sind je nach Branche oder Ausmass gar existenzbedrohend.

Im Zuge der restriktiver werdenden Regulationen und Compliance-Anforderungen rund um z.B. Datenschutz-Gesetz DSG, Datenschutzgrundverordnung DSGVO / GDPR, Privacy Shield, FINMA können weitere Klagen oder Bussen erwachsen aus solchen erkannten oder unerkannten Gesamt-Sicherheits-Defiziten.

Obwohl die Digitalisierungs- und ICT-Strategie (und integriert die ICT-Sicherheit) – angelehnt an die Firmenstrategie – in der Verantwortung und letztlich auch Haftung der Führungs-Ebene steht, sollten auch die betroffenen Mitarbeiter beteiligt und sensibiliert / wachsam gemacht werden für den Umgang, Mithilfe und Massnahmen in der dynamischen Bedrohungslage.

Hierzu eignen sich – nebst technischen und organisatorischen Massnahmen – unterstützend auch stufengerecht verständliche Sensibilisierungs-Workshops mit aktuellen Beispielen, Visualisierungen und Erklärungen zur Anatomie von CyberSecurity-Attacken, bewusst wiederkehrende Newsletters oder E-Learning Modulen mit Tests.

Mittels Weisungen und speziell abgestimmten ICT-Sicherheits-Richtlinien – bei Bedarf als integrierter Bestandteil des Arbeitsvertrages – kann die angestrebt gemeinsam geteilte Verantwortung zur besseren Gesamt-Sicherheit unterstützt werden. Darin sollte auch geachtet werden auf den Schutz des Mitarbeiters durch z.B. klar verständliche Regeln und Abgrenzungen.

Die Mitarbeiter sollten dabei auch technisch unterstützt werden im gemeinsamen Kampf zugunsten des Datenschutzes und Kennwortsicherheit mittels integrierten Lösungen in Bereichen wie z.B. Daten-Verschlüsselung, Email-Verschlüsselung, Multi-Factor Authentication MFA, Information Rights Management IRM / Information Protection oder auch griffigen Kennwort-Richtlinien. Erst dann kann man von Datenschutz sprechen wenn auch effektiv die eigentliche Datensicherheit maximiert hat.

Je nach Branche / Funktion und damit allenfalls verbundener, erhöhter Sicherheits-Relevanz können auch bereits bei der Rekrutierung oder im Rahmen der Compliance und Regulation weitergehende Integritäts- oder Sensibilisierungs-Tests gemacht werden zur Erkennung und Beurteilung von firmen- oder projekt-relevanten Defiziten oder personenbezogenen Risiken.

Spezielles Augenmerk sollte auf die mobilen / externen Arbeitsplätze, Anwendungen und Geräte im z.B. Aussendienst, Niederlassungen oder HomeOffices gelegt werden mit geeigneten, proaktiven und monitored Services (z.B. vollautomatisierte, regelbasierte Verschlüsselung oder Datenklassifizierung) im Fokus einer integrierten Gesamt-Sicherheits-Lösung.

Zunehmend entstehen auch unterstützende Technologien auf Basis von künstlicher Intelligenz KI / artificial intelligence AI oder machine learning ML – dieses auch nötige „human-machine teaming“ (infolge bald erreichten Grenzen von „nur“ Technologie) eröffnet völlig neue Komplexitäts-Stufen und Sicherheits-Evolution im CyberSecurity-Bereich – aber leider auch auf Seite der Angreifer.

Die 100% Sicherheit wird es nie geben.
Jedoch kann die Technologie + die Prozesse + der Faktor Mensch (human-machine teaming) ein angemessenes Sicherheits-Schutz-Niveau von rund 99% in gemeinsamer Orchestrierung erreichen. Der restliche, nicht erreichbare Anteil ist und bleibt Bestandteil des (Rest)-Risiko-Managements.

+++

«Phishing Mail»
Unter dem Begriff Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten den entsprechenden Personen oder Firmen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird

«Social Engineering»
Clevere Manipulation der menschlichen Tendenz zum Vertrauen und dem darauf basierten (falschen) Verhalten). Beispiele: Telefonanrufe mit Vortäuschen und Erfragen von Kennwörtern / Bankkonten / sensitive Daten, Phishing Mail

“Multi-Factor Authentication”
Die Multi-Faktor-Authentifizierung (MFA) ist eine Methode der Computerzugriffskontrolle, bei der ein Benutzer nur dann Zugriff erhält, wenn mehrere Authentifizierungsmechanismen erfolgreich einem bestimmten Authentifizierungsmechanismus präsentiert werden – typischerweise mindestens zwei der folgenden Kategorien: Wissen (etwas, das sie kennen z.B. Kennwort) , Besitz (etwas, das sie haben z.B. Smartphone) und Inhärenz (etwas, das sie sind z.B. Emailidentität).

«CyberSecurity»
Cyber Security ist eine Sammlung von Richtlinien, Konzepten und Maßnahmen, um persönliche oder firmensensitive Daten zu schützen. „Cyber Security verbindet technische und organisatorische Aspekte, zum Beispiel Sicherheitssysteme, Prozessdefinitionen, Leitlinien oder Pflichtenhefte. Auch Schulungen zur Sensibilisierung von Mitarbeitern spielen eine wichtige Rolle.

fridel_rickenbacher_avata512by1512.png
About Fridel Rickenbacher 27 Articles
Fridel Rickenbacher ist Mitbegründer, DPO CISO und Verwaltungsrat der MIT-GROUP, einem Totalunternehmen für «Empowering for the 4th Industrial Revolution». Redaktion SwissICT.ch und Experten-Gruppen in den Bereichen CyberSecurity, Privacy, Auditing, AI, eHealth, Information Ethics, digitale Gesellschaft, Baudigitalisierung,