Site Logo

Sicherheit „auf lange Sicht“ bedeutet Verbesserung von Best Practices und Schulung der Mitarbeiter

Themen:
15. Juli. 2022
|
Phil Muncaster

Cybersecurity ist kein Ziel, sondern eine fortlaufende Reise. In neuen Leitlinien des britischen National Cyber Security Centre (NCSC) wurden Organisationen vor Kurzem an die Relevanz dieses Branchenaphorismus erinnert. Die Sicherheitsbehörde befürchtet, dass ein längerer Zeitraum erhöhter Cyberbedrohungen durch den Krieg in Osteuropa Systeme, Prozesse und Sicherheitsteams belasten könnte.

Ein von der Behörde herausgegebenes Dokument bietet zahlreiche Ratschläge für Führungspersonen in der IT-Sicherheit in Unternehmen jeder Größe. Vor allem wird betont, wie wichtig es ist, nicht nur Best-Practice-Sicherheitskontrollen und Cyberhygiene-Prozesse, sondern auch das menschliche Element der Cybersecurity zu berücksichtigen. Mit einem „gesamtorganisatorischen“ Ansatz, der auf effektiven User-Awareness-Schulungen basiert, können Unternehmen nicht nur ihre Sicherheitsteams unterstützen, sondern auch eine hervorragende erste Verteidigungslinie gegen Bedrohungen aufbauen.

Die Situation fordert ihren Tribut


Der Konflikt in der Ukraine geht in den fünften Monat und das NCSC ist zu Recht besorgt. Eine langwierige Phase erhöhter Spannungen könnte die Mitarbeiter betreffen und eine Neukalibrierung von Risikoentscheidungen erfordern, die vor Monaten getroffen wurden, als es schien, der Krieg wäre in wenigen Wochen zu Ende. Die Behörde unterscheidet zwischen zwei unterschiedlichen Phasen geopolitischer Spannungen:

  • Eine akute Phase – in der Unternehmen ihre Abwehrkräfte stärken und Schwachstellen beheben müssen

  • Eine langwierige Phase – wenn diese stärkere Haltung beibehalten werden muss, um das Restrisiko zu bewältigen


Zu den klassischen Best Practices, die vom NCSC empfohlen werden, um die Verteidigung auf den neuesten Stand zu bringen, gehören:

  • Schwachstellen-Management und Patching

  • Verbesserte Zugriffskontrollen

  • Aktuelle Anti-Malware und korrekt konfigurierte Firewalls

  • Logging und Monitoring

  • Regelmäßige Backups

  • Tools und Planung zur Reaktion auf Vorfälle

  • Schwachstellen-Scans

  • Anti-Phishing-Tools

  • Überprüfungen des Zugriffs durch Dritte


Die Bedürfnisse der Mitarbeiter berücksichtigen


Abgesehen von den Best Practices ist das NCSC auch um die Auswirkungen einer langwierigen Phase der Spannung auf das Wohlbefinden des Sicherheitspersonals besorgt. Eine erhöhte Arbeitsbelastung und erhöhter Druck im Laufe der Zeit könnten zu geringerer Produktivität, unsicherem Verhalten und einem erhöhten Risiko menschlicher Fehler führen. All dies gilt insbesondere angesichts des gravierenden Fachkräftemangels in der Branche, der zu einem Defizit von über 2,7 Millionen Arbeitnehmern weltweit geführt hat, einschließlich 402.000 in Nordamerika und 199.000 in Europa.

Das NCSC empfiehlt mehrere Schritte, um dieses Problem anzugehen, unter anderem:

  • Mehr Sicherheitspersonal in die Lage zu versetzen, Entscheidungen zu treffen, um die Agilität zu erhöhen, und Führungskräften die Möglichkeit zu geben, sich auf mittelfristige Prioritäten zu konzentrieren

  • Gleichmäßigere Verteilung der Arbeitsbelastung auf einen größeren Mitarbeiterpool, um das Burnout-Risiko zu verringern und weniger erfahrenen Mitarbeitern die Möglichkeit zu geben, von Entwicklungsmöglichkeiten zu profitieren

  • Den Mitarbeitern die Möglichkeit zu bieten, in häufigeren Pausen und mehr Freizeit außerhalb des Büros neue Energie zu schöpfen sowie Aufgaben mit weniger hohem Druck zu erledigen

  • Aufeinander zu achten, um Anzeichen dafür zu erkennen, dass Kollegen Probleme haben, und sicherzustellen, dass sie immer die richtigen Ressourcen zur Hand haben


Ein „gesamtorganisatorischer“ Ansatz


Der wohl wichtigste Tipp ist jedoch der letzte: die gesamte Belegschaft einzubeziehen, um die Verteidigung des Unternehmens zu stärken. Dies spiegelt Best-Practice-Ansätze von „Security-by-Design“ wider, bei denen Unternehmen eine Unternehmenskultur aufbauen müssen, in der jeder einzelne Mitarbeiter die Bedeutung der Cybersecurity für die Mission des Unternehmens versteht und weiß, was er persönlich tun kann, um Risiken zu verringern.

Der erste Schritt auf diesem Weg ist zweifellos eine verbesserte Schulung zur Sensibilisierung der Benutzer. Unternehmen können auf dem Markt eine Vielzahl von Tools finden, die dabei helfen. Die besten ermöglichen es ihnen, Phishing- und BEC-Simulationsübungen durchzuführen, die reale Bedrohungskampagnen nachahmen, Daten über die Leistung jedes Mitarbeiters sammeln und analysieren und das Programm dann in Zukunft anpassen. Die beste Chance, eine echte Verhaltensänderung zu bewirken, besteht darin, Kurse durchzuführen – kurz aber häufig, beispielsweise mit einer Länge von 10-15 Minuten. Und es versteht sich von selbst, dass alle teilnehmen müssen – vom CEO bis hin zu Teilzeitbeschäftigten und externen Auftragnehmern.

Da der hybride Arbeitsplatz Realität wird und immer mehr Menschen regelmäßiger von zu Hause aus arbeiten, ist eine solche Schulung so wichtig wie nie zuvor – zumal viele sagen, dass sie sich abgelenkter fühlen, wenn sie außerhalb des Büros arbeiten.

Zu diesem Rat merkt das NCSC einen wichtigen zusätzlichen Punkt an: Organisationen müssen auch über die richtigen internen Kommunikationsprozesse verfügen, um alle an der Sicherheitsmission Beteiligten zusammenzubringen.

Die neue Normalität


In vielerlei Hinsicht ist dieser Konflikt und der längere Zeitraum der erhöhten Cyberbedrohung, die dieser darstellt, die neue Realität der Cybersecurity in den 2020er Jahren. In derselben Woche der Ankündigung des NCSC gaben die Führungspersonen von MI5 und FBI eine beispiellose gemeinsame Pressekonferenz, um vor der „massiven“ Bedrohung von Unternehmen, Wissenschaftlern und westlichen politischen Systemen durch China zu warnen. Dies ist in mehrfacher Hinsicht eine Bedrohung auf unbestimmte Zeit.

Das Verständnis der akuten und langwierigen Phasen einer möglicherweise zyklischen Erhöhung und Herabstufung von Spannungen wird für die Chefs der Cybersecurity-Abteilungen von Unternehmen eine immer wichtigere Disziplin sein. Beginnen Sie besser jetzt mit der Planung.

Bekämpfen Sie Sicherheitsbedrohungen mit Schulungen zur Stärkung des Risikobewusstseins

Phil Muncaster

Phil Muncaster ist technischer Redakteur und Herausgeber mit über 12 Jahren Erfahrung bei einigen der größten Technologiepublikationen auf dem Markt, darunter Computing, The Register, V3 und MIT Technology Review. Er verbrachte mehr als zwei Jahre in Hongkong und konnte dadurch tief in die asiatische Technologieszene eintauchen. Jetzt ist er nach London zurückgekehrt, wo die Informationssicherheit zu einem wichtigen Schwerpunkt seiner Arbeit geworden ist.

Folgen Sie Phil auf Twitter und vernetzen Sie sich auf LinkedIn mit ihm.

Verwandte Beiträge:
Erfolg in der realen Welt: Wie Hunt Brothers Pizza Microsoft 365 absichert
Erfolg in der realen Welt: Wie Hunt Brothers Pizza Microsoft 365 absichert
 Secured.22: Risiken von Account Takeover und ihr Management
Secured.22: Risiken von Account Takeover und ihr Management
 Security awareness computer based training could save your business
Security awareness computer based training could save your business
Threat Spotlight: Document-Based Malware
Threat Spotlight: Document-Based Malware