eGovernment

Warum 2020 das Jahr der Cybersicherheitsschulungen sein sollte

| Autor / Redakteur: Sascha Giese* / Susanne Ehneß

Phishing: nach wie vor ein Thema
Phishing: nach wie vor ein Thema (© A Stefanovska - stock.adobe.com)

2020 sollten Behörden ihre Best Practices im Bereich Sicherheit neu priorisieren, um eine gesunde Cyberhygiene sicherzustellen. Ein Gastbeitrag von Sascha Giese von Solarwinds.

Für IT-Teams im öffentlichen Sektor ist es besonders wichtig, aktuelles Fachwissen zu nutzen, um sich auf die Sicherheitsbedrohungen, denen sie in der feindseligen Cybersicherheitslandschaft von heute unweigerlich begegnen werden, vorzubereiten und ihnen nach Möglichkeit vorzubeugen. Bei der Umsetzung werden viele Behörden Cybersicherheitsschulungen für alle zur Priorität machen müssen, von neuen Mitarbeitern bis hin zu Führungskräften und in jeder Abteilung – nicht nur in IT-Teams.

Ein fortlaufendes Bewusstsein für die Cybersicherheit zu schaffen, gehört zu den einfachsten und effektivsten Methoden, für Sicherheit im Unternehmen zu sorgen. Die Cyberbedrohungslandschaft ist ständig im Wandel und Mitarbeiter müssen jederzeit über die neuesten Sicherheitsmaßnahmen ihres Unternehmens Bescheid wissen.

Jeder ist für die Cybersicherheit verantwortlich

Bei effektiver Cybersicherheit geht es um viel mehr als nur um Technologiewerkzeuge. Rund 4,8 Millionen Menschen sind im öffentlichen Sektor beschäftigt, beispielsweise in staatlichen oder bundesstaatlichen Behörden, Kommunalbehörden oder Sozialversicherungsträgern. Derart große Arbeitgeber sind deutlich anfälliger für die Sicherheitsschwachstellen, die durch Sicherheitslücken, unzureichende Schulungen oder interne Verstöße entstehen können.

Es ist verständlich, dass der Fokus meist auf externen kriminellen Cyberangriffen liegt, aber dennoch sind und bleiben die Mitarbeiter das größte Sicherheitsrisiko in jeder Organisation. Laut der neuesten Studie von SolarWinds zur Cybersicherheit machten interne Benutzerfehler in den letzten 12 Monaten eindeutig den größten Anteil der Cybersicherheitsvorfälle in Deutschland aus, nämlich ganze 80 Prozent. Eine wichtige Gruppe sind dabei nachlässige Benutzer, die versehentlich Informationen preisgeben, die für Angriffe genutzt werden können. Häufig geschieht dies aufgrund von mangelndem Bewusstsein darüber, wie man Risiken minimieren kann.

Das Problem wird durch die heutige „Bring-your-own-Device“-Kultur (BYOD) noch verschärft, denn Mitarbeiter können sensible Informationen mühelos von den unterschiedlichsten gesicherten oder ungesicherten Geräten aus abrufen und teilen. Die wichtigste Waffe gegen interne Datensicherheitsverstöße, besonders jene, die versehentlich entstehen, ist die Wachsamkeit der Mitarbeiter. Diese müssen jedoch wissen, worauf sie achten und welches Verhalten sie fördern oder vermeiden sollen.

Schwer zu verhindernde Bedrohung

Eine zweite Gruppe sind böswillige Benutzer, die einer Organisation absichtlich Schaden zufügen wollen. Mögliche Motive reichen von Groll gegen den Arbeitgeber bis hin zu finanziellen oder ideologischen Gründen. Diese Art von internen Bedrohungen lässt sich nur schwer proaktiv verhindern, denn es ist nahezu unmöglich, sich auf jede Eventualität vorzubereiten. Noch schlimmer wird die Situation, wenn mehr hochrangige Personen mit Zugriff auf sensible Informationen involviert sind, denn je mehr Zugriff auf Informationen besteht, desto höher ist auch das Risiko.

Externe Ressourcen wie Berater für den öffentlichen Sektor stellen eine dritte Gruppe möglicher Schwachpunkte dar. Auch wenn diese Personen oft begrenzten Zugriff auf interne Ressourcen haben, sind sie weniger kontrollierbar als interne Mitarbeiter.

Die richtigen Grundlagen legen

Egal um welche Art von Bedrohung es geht: Organisationen, die bewusst und zielgerichtet eine effektive Wissensbasis bei ihren Mitarbeitern aufbauen, werden mit deutlich geringerer Wahrscheinlichkeit Opfer eines Cybersicherheitsverstoßes. Falls Cybersicherheitsgrundlagen bisher nicht so stark im Fokus standen wie dies möglich wäre, empfiehlt es sich, mit den folgenden Bereichen zu beginnen, mit denen absolut jeder vertraut sein sollte:

  • Kennwortrichtlinien: Die zentrale Bedeutung sicherer Kennwörter sollte selbstverständlich sein, doch noch immer handeln viele Menschen nicht danach. Benutzer sollten daran erinnert werden, niemals Kennwörter aufzuschreiben oder in Klartext zu speichern. Zusätzlich sollten sie überall, wo es möglich ist, die zweistufige Authentifizierung (2FA) nutzen und nicht die gleichen Kennwörter für mehrere Dienste nutzen. Beim Thema Kennwörter und Authentifizierung gehört es auch zur Aufgabe der Schulungsleiter, die Benutzer davon zu überzeugen, warum 2FA und komplexe Kennwörter trotz ihrer Unbequemlichkeit unverzichtbar sind. Sie sind nur ein geringer Preis, der dafür gezahlt wird, das Unternehmen (und seine Angestellten) vor Datensicherheitsverstößen zu schützen.
  • Phishing und Social Engineering: Benutzer müssen lernen, Phishing-Scams zu erkennen und vorsichtig mit verdächtig erscheinenden eMails oder Websites umzugehen. So sollten sie beispielsweise immer eMail-Domänen überprüfen, bevor sie auf Links klicken, um sicherzustellen, dass sie aus einer legitimen Quelle stammen. Grammatik- oder Rechtschreibfehler sind weitere Anzeichen für möglichen Betrug und die Benutzer sollten immer sofort misstrauisch werden, wenn jemand nach ihren Anmeldeinformationen fragt.
  • Geräterichtlinien: Die Benutzer sollten genau wissen, wie Geräte verwendet, gesichert und aufbewahrt werden sollen. So sollten Mitarbeiter ihre Computer beispielsweise stets sperren, wenn sie ihren Arbeitsplatz verlassen. Mobilgeräte sollten Funktionen zum Remotezurücksetzung bieten.
  • Physische Sicherheit: Mitarbeiter sollten unbekannte Personen immer daran hindern, das Gebäude zu betreten. Selbst wenn sie eine Person kennen, sollten sie ihren Mitarbeiterausweis überprüfen, um beispielsweise zu verhindern, dass unzufriedene Angestellte einen internen Angriff starten. Geräte sollten niemals in unsicheren Bereichen unbeaufsichtigt gelassen werden, beispielsweise indem Laptops im Flughafen auf dem Boden stehengelassen werden oder für andere sichtbar im Auto genutzt werden. Generell sollten sensible Daten niemals frei zugänglich und offen sichtbar sein, beispielsweise indem gedruckte Formulare auf einem Schreibtisch liegengelassen werden.

Der Autor: Sascha Giese
Der Autor: Sascha Giese (© Solarwinds)

Vielen Organisationen – auch im öffentlichen Sektor – fällt es immer noch schwer, diese einfachen Grundlagen umzusetzen. Wenn die Bedeutung von Cybersicherheitsschulungen wieder in den Fokus gerückt wird, gelingt es, Cyberkriminellen deutlich weniger Angriffsmöglichkeiten zu bieten und das Sicherheitsniveau der gesamten Behörde zu stärken.

*Der Autor: Sascha Giese, Head Geek bei SolarWinds

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46327086 / Standards & Technologie)