Rund 90% der erfolgreichen und sch\u00e4digenden\u00a0 Hacker-Attacken bzw. CyberSecurity-Vorf\u00e4llen basieren auf sogenannten Phishing-Mail-Angriffen oder Social Engineering (Clevere Manipulation der menschlichen Tendenz zum Vertrauen und dem darauf basierten (falschen) Verhalten).<\/p>\n
Noch besorgniserregender ist der Fakt, dass die durchschnittliche Erkennungszeit eines solchen gezielten Angriffs mitunter mehrere Monate dauern kann. Die entsprechende, dadurch zus\u00e4tzlich entstehende Gefahr des weiteren indirekten Schadens oder unerw\u00fcnschten Nebeneffekten sind je nach Branche oder Ausmass gar existenzbedrohend.<\/p>\n
Im Zuge der restriktiver werdenden Regulationen und Compliance-Anforderungen rund um z.B. Datenschutz-Gesetz DSG, Datenschutzgrundverordnung DSGVO \/ GDPR, Privacy Shield, FINMA k\u00f6nnen weitere Klagen oder Bussen erwachsen aus solchen erkannten oder unerkannten Gesamt-Sicherheits-Defiziten.<\/p>\n
Obwohl die Digitalisierungs- und ICT-Strategie (und integriert die ICT-Sicherheit) \u2013 angelehnt an die Firmenstrategie \u2013 in der Verantwortung und letztlich auch Haftung der F\u00fchrungs-Ebene steht, sollten auch die betroffenen Mitarbeiter beteiligt und sensibiliert \/ wachsam gemacht werden f\u00fcr den Umgang, Mithilfe und Massnahmen in der dynamischen Bedrohungslage.<\/p>\n
Hierzu eignen sich \u2013 nebst technischen und organisatorischen Massnahmen \u2013 unterst\u00fctzend auch stufengerecht verst\u00e4ndliche Sensibilisierungs-Workshops mit aktuellen Beispielen, Visualisierungen und Erkl\u00e4rungen zur Anatomie von CyberSecurity-Attacken, bewusst wiederkehrende Newsletters oder E-Learning Modulen mit Tests.<\/p>\n
Mittels Weisungen und speziell abgestimmten ICT-Sicherheits-Richtlinien \u2013 bei Bedarf als integrierter Bestandteil des Arbeitsvertrages \u2013 kann die angestrebt gemeinsam geteilte Verantwortung zur besseren Gesamt-Sicherheit unterst\u00fctzt werden. Darin sollte auch geachtet werden auf den Schutz des Mitarbeiters durch z.B. klar verst\u00e4ndliche Regeln und Abgrenzungen.<\/p>\n
Die Mitarbeiter sollten dabei auch technisch unterst\u00fctzt werden im gemeinsamen Kampf zugunsten des Datenschutzes und Kennwortsicherheit mittels integrierten L\u00f6sungen in Bereichen wie z.B. Daten-Verschl\u00fcsselung, Email-Verschl\u00fcsselung, Multi-Factor\u00a0Authentication MFA, Information Rights Management IRM \/ Information\u00a0Protection\u00a0oder auch griffigen Kennwort-Richtlinien. Erst dann kann man von Datenschutz sprechen wenn auch effektiv die eigentliche Datensicherheit maximiert hat.<\/p>\n
Je nach Branche \/ Funktion und damit allenfalls verbundener,\u00a0erh\u00f6hter\u00a0Sicherheits-Relevanz k\u00f6nnen auch bereits bei der Rekrutierung oder im Rahmen der Compliance und Regulation weitergehende Integrit\u00e4ts- oder Sensibilisierungs-Tests gemacht werden zur Erkennung und Beurteilung von firmen- oder projekt-relevanten Defiziten oder personenbezogenen Risiken.<\/p>\n
Spezielles Augenmerk sollte auf die mobilen \/ externen Arbeitspl\u00e4tze, Anwendungen und Ger\u00e4te im z.B.\u00a0Aussendienst, Niederlassungen oder\u00a0HomeOffices\u00a0gelegt werden mit geeigneten, proaktiven und\u00a0monitored\u00a0Services (z.B. vollautomatisierte, regelbasierte Verschl\u00fcsselung oder Datenklassifizierung) im Fokus einer integrierten Gesamt-Sicherheits-L\u00f6sung.<\/p>\n
Zunehmend entstehen auch unterst\u00fctzende Technologien auf Basis von k\u00fcnstlicher Intelligenz KI \/ artificial intelligence AI oder machine learning ML \u2013 dieses auch n\u00f6tige \u201ehuman-machine teaming\u201c (infolge bald erreichten Grenzen von \u201enur\u201c Technologie) er\u00f6ffnet v\u00f6llig neue Komplexit\u00e4ts-Stufen und Sicherheits-Evolution im CyberSecurity-Bereich \u2013 aber leider auch auf Seite der Angreifer.<\/p>\n
Die 100% Sicherheit wird es nie geben.
\nJedoch kann die Technologie + die Prozesse + der Faktor Mensch (human-machine teaming) ein angemessenes Sicherheits-Schutz-Niveau von rund 99% in gemeinsamer Orchestrierung erreichen. Der restliche, nicht erreichbare Anteil ist und bleibt Bestandteil des (Rest)-Risiko-Managements.<\/p>\n
+++<\/p>\n
\u00abPhishing Mail\u00bb \u00abSocial Engineering\u00bb \u201cMulti-Factor Authentication\u201d \u00abCyberSecurity\u00bb Rund 90% der erfolgreichen und sch\u00e4digenden\u00a0 Hacker-Attacken bzw. CyberSecurity-Vorf\u00e4llen basieren auf sogenannten Phishing-Mail-Angriffen oder Social Engineering (Clevere Manipulation der menschlichen Tendenz zum Vertrauen und dem darauf basierten (falschen) Verhalten). Noch besorgniserregender ist der Fakt, dass die durchschnittliche Erkennungszeit eines solchen gezielten Angriffs mitunter mehrere Monate dauern kann. Die entsprechende, dadurch zus\u00e4tzlich entstehende Gefahr des weiteren […]<\/p>\n","protected":false},"author":373,"featured_media":7587,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1246,460],"tags":[2816],"yoast_head":"\n
\n<\/strong>Unter dem Begriff\u00a0Phishing\u00a0versteht man Versuche, \u00fcber gef\u00e4lschte\u00a0Webseiten,\u00a0E-Mails\u00a0oder\u00a0Kurznachrichten\u00a0an pers\u00f6nliche Daten eines\u00a0Internet-Benutzers zu gelangen und damit Identit\u00e4tsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten den entsprechenden Personen oder Firmen zu schaden. Es handelt sich dabei um eine Form des\u00a0Social Engineering, bei dem die Gutgl\u00e4ubigkeit des Opfers ausgenutzt wird<\/p>\n
\n<\/strong>Clevere Manipulation der menschlichen Tendenz zum Vertrauen und dem darauf basierten (falschen) Verhalten). Beispiele: Telefonanrufe mit Vort\u00e4uschen und Erfragen von Kennw\u00f6rtern \/ Bankkonten \/ sensitive Daten, Phishing Mail<\/p>\n
\n<\/strong>Die Multi-Faktor-Authentifizierung (MFA) ist eine Methode der Computerzugriffskontrolle, bei der ein Benutzer nur dann Zugriff erh\u00e4lt, wenn mehrere Authentifizierungsmechanismen erfolgreich einem bestimmten Authentifizierungsmechanismus pr\u00e4sentiert werden \u2013 typischerweise mindestens zwei der folgenden Kategorien: Wissen (etwas, das sie kennen z.B. Kennwort) , Besitz (etwas, das sie haben z.B. Smartphone) und Inh\u00e4renz (etwas, das sie sind z.B. Emailidentit\u00e4t).<\/p>\n
\n<\/strong>Cyber Security ist eine Sammlung von Richtlinien, Konzepten und Ma\u00dfnahmen, um pers\u00f6nliche oder firmensensitive Daten zu sch\u00fctzen. \u201eCyber Security verbindet technische und organisatorische Aspekte, zum Beispiel Sicherheitssysteme, Prozessdefinitionen, Leitlinien oder Pflichtenhefte. Auch Schulungen zur Sensibilisierung von Mitarbeitern spielen eine wichtige Rolle.<\/p>\n","protected":false},"excerpt":{"rendered":"