Security Awareness as a Service
Ein Impuls pro Jahr reicht nicht aus für ein nachhaltiges Security-Awareness-Training – der technische Fortschritt läuft einfach zu schnell. Die Forderung nach besserer Sensibilisierung schließt allerdings nicht nur die Mitarbeitenden ein, sondern auch IT-Teams und das Top-Management.
Der März 2023 war der bislang „produktivste“ Monat bei Ransomware-Angriffen. Cybersecurity-Analysten haben weltweit 459 Attacken gemessen, ein Anstieg von 91 Prozent gegenüber dem direkten Vormonat und 62 Prozent gegenüber März 2022. Die am häufigsten angegriffenen Branchen waren die Industrie (32 %), gefolgt von zyklischen Konsumgütern (13 %). Rund 28 Prozent der Angriffe entfielen auf Europa. Laut NCC Group, die den Bericht erstellt hat, war „CVE-2023-0669“ der Grund dafür, dass der März 2023 alle Rekorde bei Ransomware-Angriffen gebrochen hat. Schon mal gehört?
Bei der laufenden Nummer der Liste häufiger Schwachstellen und Risiken (Common Vulnerabilities and Exposures – CVE) handelt es sich um eine Schwachstelle in Fortras GoAnywhere-Tool für sichere Dateiübertragungen, die von der cl0p-Ransomware-Bande als Zero-Day gegen Unternehmen eingesetzt wurde. Mit Erfolg – die Chance für den Einbruch ergab sich laut Medienberichten, weil die betroffenen Organisationen den Admin-Zugang im Internet nicht abgeschlossen hatten. Somit waren es keine „DAUs“ im Homeoffice, die mit dem Klick auf einen Phishing-Link die Angreifenden eingeladen haben.
Awareness bedeutet Bewusstsein
Auch dieser Vorfall weckt ein paar Zweifel am grundsätzlichen Erfolg der Awareness-Bewegung, die durch den Umzug in das Homeoffice einen Schub erhalten hat. Und zwar nicht nur auf Ebene der Mitarbeitenden, sondern bei den IT-Fachleuten, die ihre Systeme eigentlich dichthalten sollten. Ganz zu schweigen vom Top-Management, das vielfach immer noch IT-Security mit einer neuen Firewall gleichsetzt und Wert darauf legt, dass die jährlich vorgeschriebenen Awareness-Umfragen abgegeben wurden.
Auf allen Ebenen könnte etwas mehr Bewusstsein für die Lage nicht schaden, wie man in Gesprächen mit Security-Profis immer wieder hört. Schließlich sind Forderungen, dass Menschen für Angriffe und Risiken sensibilisiert sein sollen, zwar alt, aber oft noch Wunschdenken. Denn mit nur einem Sensibilisierungsimpuls pro Jahr schwindet die Abwehrbereitschaft schnell. Hinzu kommt, dass IT immer komplexer wird, da sie nicht nur die klassische Peripherie umfasst, sondern auch Zutrittskontrollen, Maschinen, Smartphones, Fahrzeuge, die Infrastruktur und Anlagen. Abgesehen davon, dass sich die Angriffswege täglich verändern.
Awareness: Security News as a Service
Um das Sicherheitsbewusstsein auf allen Ebenen stetig zu trainieren, kuratieren wir die interessantesten Security-Vorfälle jede Woche in unseren Security News Collections. In Form kurzer Zusammenfassungen mit Links auf die Quellen, unter denen sich die vollständigen Nachrichten abrufen lassen, werden nicht nur CISOs oder ISOs regelmäßig über die aktuelle Bedrohungslage informiert. Darüber hinaus können die Informationen den Mitarbeitenden wie auch dem Top-Management zur Verfügung gestellt werden, um die Achtsamkeit hinsichtlich Cyberrisiken zu erhöhen – im Büro, von unterwegs und zuhause.
Regelmäßige Impulse stärken die Abwehr
Der Service spart den Empfängern viel Zeit, da sie sich nicht selbst auf die Suche nach Security-News begeben müssen, und er zeigt übersichtlich, wie Angreifende gegen ihre Ziele vorgehen – ein Hack, ein Phish oder durch Social Engineering? Wer sich für die regelmäßige Security News Collection interessiert, kann sie auf der Seite kostenlos lesen oder sich registrieren. Für mehr Individualität passen wir die Security News Collections auch bedarfsgerecht an und schneiden diese auf bestimmte Themen, Personenkreise oder Branchen zu. Diese individuell kuratierten News kosten einen kleinen Betrag.
Angreifen lassen und abwehren lernen
Als Teil des Awareness-Pakets verschicken wir intern in der metafinanz die Security-News jede Woche an unsere Mitarbeitenden und haben bislang gute Erfahrungen damit gemacht. Eine Ebene darüber in der IT-Organisation ist Awareness ebenfalls nicht selbstverständlich, CVE-2023-0669 lässt grüßen. Hier gehen wir beispielsweise so vor, dass ein Red Team regelmäßig die eigene IT angreift, um Schwachstellen zu entdecken. Das stärkt nicht nur das Bewusstsein der IT-Organisation, sondern auch ihre Kompetenzen.
Und mit einem Partner bieten wir einen „Pentest Light“ an, um Server ohne aktuelle Patches und Updates aufzuspüren. Diese Ansätze offenbaren Lücken, die sich im Tagesgeschäft fast zwangsläufig ergeben – etwa nach Updates, Upgrades oder beim Einsatz eines neuen Tools. Das alles gewährleistet zwar keine 100-prozentige Sicherheit, aber es reduziert zumindest die Wahrscheinlichkeit, dass es zu einem schwerwiegenden Security-Vorfall kommt – und dass es regelmäßig neue Ransomware-Rekorde gibt.
Quelle Titelbild: AdobeStock/Bits and Splits
