![\"Mitarbeiter,](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-1179983758.jpg\" "\\"Bild")
<\/p>\n<\/p>\n
\u201eDas Problem liegt zwischen dem Stuhl und der Tastatur.\u201c <\/em>Diese Redensart, die (zu) oft in der IT- und Cybersicherheitsbranche verwendet wird, erinnert daran, dass eine der gr\u00f6\u00dften Cyber-Schwachstellen eines Unternehmens auf der Naivit\u00e4t seiner Mitarbeiter beruht. Aber ist es wirklich relevant? Und wer sind diejenigen, die am ehesten in die Falle von Cyberkriminellen tappen? Antwortelemente <\/strong><\/p>\n Im kollektiven Unterbewusstsein zielen Cyberangriffe auf einen Mitarbeiter, der in der Unternehmenshierarchie weit oben steht, da er Zugang zu sensiblen und kritischen Informationen hat. Dennoch erinnert S\u00e9bastien Viou<\/strong>, Direktor f\u00fcr Produktsicherheit und Cyber-Spezialist bei Stormshield, daran, dass \u201ediese wertvollen Ziele auch die am besten gesch\u00fctzten und vorsichtigsten sind<\/em>\u201c. Deshalb\u00a0\u201ehandelt der Cyberkriminelle meist aus Opportunismus<\/em>. Er greift dort an, wo sich die Schwachstelle in der Sicherheitskette<\/em>\u00a0befindet\u201c. Was w\u00e4re, wenn hinter den offensichtlichen Profilen der F\u00fchrungskr\u00e4fte schlie\u00dflich alle Mitarbeiter potenzielle Ziele w\u00e4ren?<\/p>\n <\/p>\n Denn selbst ein Ziel mit begrenztem Zugriff auf die digitalen Ressourcen des Unternehmens kann zum ersten Meilenstein eines Cyberangriffs werden. Wie der Bauer, der auf einem Schachbrett so weit gehen kann, dass er die Dame umwirft. \u201eDie meisten digitalen Angriffe bewegen sich innerhalb des Unternehmensnetzwerks<\/em>\u201c, sagt S\u00e9bastien Viou. Ein Endger\u00e4t mit eingeschr\u00e4nkten Zugriffsrechten kann sehr wohl in ein trojanisches Pferd umgewandelt werden, um andere Endger\u00e4te im Netzwerk zu infizieren, sodass Cyberkriminelle nach und nach immer gr\u00f6\u00dfere Zugriffsrechte unterwandern k\u00f6nnen<\/em>\u201c. Obwohl ein Mitarbeiter also keine wichtigen Berechtigungen im Informationssystem eines Unternehmens hat, ist er dennoch ein interessantes Ziel f\u00fcr Cyberkriminelle, wenn es um Seitw\u00e4rtsbewegungen und die Erh\u00f6hung von Privilegien geht.<\/p>\n Es gibt immer noch sehr viele Unternehmen, in denen Mitarbeiter ohne ersichtliche Rechtfertigung Zugang zu kritischen Ressourcen haben. F\u00fcr einige sind die Adminrechte ihrer Positionen wie soziale Errungenschaften.<\/em><\/p>\n Und selbst das w\u00fcrde voraussetzen, dass die Unternehmen ihre Zugriffsrichtlinien ordnungsgem\u00e4\u00df verwalten. S\u00e9bastien Viou stellt jedoch fest, \u201edass es immer noch sehr viele Unternehmen gibt, in denen Mitarbeiter ohne ersichtlichen Grund Zugriff auf kritische Ressourcen bekommen.F\u00fcr einige sind die Adminrechte ihrer Positionen wie soziale Errungenschaften.<\/em>\u201c Eine (andere) Realit\u00e4t, die das ungezielte Phishing zum wichtigsten Angriffsvektor im CESIN-Barometer 2021 macht: 80\u00a0% seiner Mitglieder waren im Jahr 2020 Opfer dieser Praxis. Ein leicht durchzuf\u00fchrender Cyberangriff, der es erm\u00f6glicht, die Anzahl der Versuche zu vervielfachen und auf die Masse der Mitarbeiterinnen und Mitarbeiter abzuzielen. Cyberkriminelle setzen also auf Quantit\u00e4t, um die Statistik zu ihren Gunsten<\/strong> zu beeinflussen: Fr\u00fcher oder sp\u00e4ter wird die Falle irgendwann bei jemandem im Unternehmen zuschnappen\u00a0... Schachmatt. Massive Angriffe also und f\u00fcr Joseph Graceffa<\/strong>, Pr\u00e4sident des Clubs f\u00fcr vernetzte Informationssicherheit (CLUSIR) Nordfrankreich, sogar erfolgreich. Er warnt davor, dass \u201ekeine Person innerhalb der Zielorganisation vor Nachl\u00e4ssigkeit v\u00f6llig sicher ist<\/em>\u201c, auch nicht die vorsichtigsten Personen\u00a0...<\/p>\n Elemente, die leider eine Antwort auf die urspr\u00fcngliche Frage dieses Papiers erm\u00f6glichen. In Unternehmen k\u00f6nnen (und werden) alle Mitarbeiter Ziel von Cyberangriffen sein. Wie k\u00f6nnen Sie also verhindern, dass Sie sich in den Maschen verfangen?<\/p>\n \u00a0<\/em><\/p>\n Es ist zwar schwierig, eine allgemeine Analyse der Anf\u00e4lligkeitsprofile aufgrund der Funktion der Mitarbeiter innerhalb eines Unternehmens vorzunehmen, aber es scheint dennoch notwendig, die anf\u00e4lligsten Mitarbeiter zu ermitteln<\/strong>.<\/p>\n Durch Tests wird es m\u00f6glich, die Personen ausfindig zu machen, die systematisch in die Falle tappen, die somit die schw\u00e4chsten menschlichen Glieder in der Sicherheitskette sind.<\/em><\/p>\n So nimmt Joseph Graceffa das Beispiel des Phishing: \u201eEs gibt heute sehr leicht zug\u00e4ngliche und kosteng\u00fcnstige L\u00f6sungen, um Tests zu automatisieren<\/em>\u201c. Mit solchen Tools k\u00f6nnen Unternehmen Kampagnen programmieren, die sich selbstst\u00e4ndig ausf\u00fchren und gef\u00e4lschte E-Mails mit b\u00f6sartigen Inhalten an ihre Mitarbeiter senden. \u201eDurch Tests wird es m\u00f6glich, die Personen ausfindig zu machen, die systematisch in die Falle tappen, die somit die schw\u00e4chsten menschlichen Glieder in der Sicherheitskette sind<\/em>. Das Unternehmen kann also auf diese gef\u00e4hrdeten Mitarbeiter einwirken, \u201eangefangen damit, sicherzustellen, dass sie sich der m\u00f6glichen Folgen ihres Verhaltens bewusst werden und in den Grundbegriffen der Cybersicherheit geschult werden<\/em>\u201c. Viele Unternehmen f\u00fchren Sensibilisierungskampagnen und Schulungen zum Thema Cybersicherheit <\/strong>durch, um ihre Mitarbeiter besser mit den Regeln der digitalen Hygiene vertraut zu machen. Sie werden au\u00dferdem von \u00f6ffentlichen Einrichtungen wie der ANSSI stark dazu ermutigt, indem sie einen praktischen Leitfaden f\u00fcr Unternehmen anbietet,<\/a> dessen erstes Kapitel den Titel \u201eSensibilisieren und schulen<\/em>\u201c tr\u00e4gt. Auf europ\u00e4ischer Ebene bezieht die Agentur der Europ\u00e4ischen Union f\u00fcr Cybersicherheit (ENISA) dieses Konzept der Sensibilisierung der \u00d6ffentlichkeit direkt mit in ihren Auftrag ein. Um dies zu erreichen, will die Institution \u201edie Mitgliedstaaten bei der Bewusstseinsbildung<\/em>\u201c unterst\u00fctzen, \u201edie Koordination zwischen den Mitgliedstaaten<\/em>\u201c f\u00f6rdern und \u201eVerhaltenskodizes f\u00fcr Computerhygiene und digitale Kompetenz<\/em>\u201c bereitstellen. Eine Strategie, die auch von Frankreich bef\u00fcrwortet wird. Nach dem Anstieg der Cyberangriffe, die w\u00e4hrend der Gesundheitskrise beobachtet wurden, bekr\u00e4ftigte Guillaume Poupard, Generaldirektor der ANSSI vor dem Senat, wie wichtig es ist, auf Ausbildung, Zertifizierung und die kontinuierliche Suche nach sektorspezifischen digitalen Hygieneregeln zu setzen: \u201eDie Einhaltung der Computerhygiene ist die Grundlage, sonst w\u00e4re es so, als w\u00fcrde man mit schmutzigen H\u00e4nden einen hochpr\u00e4zisen chirurgischen Eingriff durchf\u00fchren wollen<\/em>\u201c.<\/p>\n Die Einhaltung der Regeln der Computerhygiene ist die Grundlage, sonst w\u00e4re es so, als w\u00fcrde man mit schmutzigen H\u00e4nden einen hochpr\u00e4zisen chirurgischen Eingriff durchf\u00fchren.<\/em><\/p>\n Doch auch wenn er die Bedeutung der Sensibilisierung der Mitarbeiter<\/a> als Antwort der Unternehmen auf Cyberrisiken nicht in Frage stellt, h\u00e4lt S\u00e9bastien Viou sie f\u00fcr \u201ev\u00f6llig unzureichend, um sicherzustellen, dass die grundlegenden Regeln der digitalen Hygiene angewendet werden<\/em>\u201c. Ist die Schlacht um das Cyberbewusstsein bereits verloren?<\/strong> Die Versuchung, mit Ja zu antworten, ist gro\u00df, wenn man sich auf die in sozialen Netzwerken ver\u00f6ffentlichten Fotos<\/a> von Gesch\u00e4fts-PCs verl\u00e4sst, die Personen an \u00f6ffentlichen Orten zug\u00e4nglich und unbeaufsichtigt gelassen haben. F\u00fcr S\u00e9bastien Viou zeigt dies, dass es h\u00f6chste Zeit ist, einen Gang h\u00f6her zu schalten und neben der Sensibilisierung auch eine Form der Verantwortungs\u00fcbernahme durch die Mitarbeiter<\/strong> einzuf\u00fchren. \u201eDas Bewusstsein ist nicht verloren, heute ist die Mehrheit der Mitarbeiter f\u00fcr Cyberrisiken sensibilisiert, und das ist gut so. Sie wenden die Sicherheitsregeln jedoch trotz allem nicht an, weil sie f\u00e4lschlicherweise davon ausgehen, dass das Risiko sie nicht betrifft<\/em>\u201c. <\/em>Diese Verantwortungs\u00fcbernahme k\u00f6nnte die Form annehmen, dass die Einhaltung der vom Unternehmen eingef\u00fchrten Sicherheitsstandards und -regeln in das Aufgabenblatt des Mitarbeiters aufgenommen wird. \u201eSo w\u00e4re das Risiko geteilt, da das Unternehmen im Falle eines nachgewiesenen schwerwiegenden Versto\u00dfes hart durchgreifen k\u00f6nnte<\/em>\u201c. <\/em>Diese Meinung teilt auch Joseph Graceffa, der darauf hinweist, dass diese Verantwortungs\u00fcbernahme der Mitarbeiter<\/a> bereits Realit\u00e4t ist, vor allem in gro\u00dfen angels\u00e4chsischen Unternehmen. \u201eSie erg\u00e4nzen in der Regel ihre Gesch\u00e4ftsordnungen mit einer IT-Charta und f\u00fchren dann eine Sanktionsskala<\/em> ein\u201c, um je nach Schwere der Verfehlung ihrer Mitarbeiter hart durchgreifen zu k\u00f6nnen.<\/p>\n <\/p>\n Diese Verantwortungs\u00fcbernahme muss jedoch mit einem besseren Zugriff der Mitarbeiter auf Werkzeuge und Informationen zur Cybersicherheit<\/strong> einhergehen. \u201eDa von ihnen verlangt wird, Verantwortung zu \u00fcbernehmen, muss man ihnen sicherlich auch helfen, die Bedrohungen und deren Umfeld zu verstehen<\/em>\u201c,<\/em> best\u00e4tigt Joseph Graceffa. Allerdings: \u201eDie Cybersicherheitsl\u00f6sungen des Unternehmens fallen traditionell in den Zust\u00e4ndigkeitsbereich der CISO-Teams. Und es wurde bis heute wenig unternommen, um die Nutzung f\u00fcr ein nicht spezialisiertes Publikum zu vereinfachen<\/em>\u201c. <\/em>Eine leichter zug\u00e4ngliche und ergonomische (oder benutzerfreundliche<\/em>) Cybersicherheitsl\u00f6sung k\u00f6nnte dazu beitragen, dass die Mitarbeiter des Unternehmens sie annehmen und ihre Kompetenzen erweitern.<\/p>\n Aus Sicht der internen Organisation sollte die Personalabteilung eine st\u00e4rkere Rolle in Bezug auf Fragen der Cybersicherheit spielen<\/strong>. Das legt zumindest eine dedizierte Studie des Lehrstuhls RHO der Universit\u00e4t Freiburg und der CISEL Informatique SA nahe. Aufgrund ihrer traditionellen Zust\u00e4ndigkeiten w\u00e4re die Personalabteilung des Unternehmens am besten geeignet, das allgemeine Qualifikationsniveau der Organisation im Bereich der Cybersicherheit zu gew\u00e4hrleisten. Denn sie kann bereits in der Einstellungsphase je nach Profil Parameter der Cybersicherheitskultur einbeziehen. Da die Personalabteilung f\u00fcr die Schulungsprogramme der Mitarbeiter zust\u00e4ndig ist, kann sie auch am besten daf\u00fcr sorgen, dass deren Wissen \u00fcber Cybersicherheit st\u00e4ndig auf dem neuesten Stand ist (und zwar durch m\u00f6glichst p\u00e4dagogische Methoden, wie z. B. Tests). Zu diesem Zweck kann die Schaffung einer verst\u00e4rkten Austauschstruktur zwischen der Personalabteilung und dem CISO sicherstellen, dass die Schulungsprogramme mit den Realit\u00e4ten vor Ort \u00fcbereinstimmen. Schlie\u00dflich ist die Personalabteilung (in Verbindung mit der Rechtsabteilung) am ehesten in der Lage, Mitarbeiter, die gegen die in der Organisation geltenden Sicherheitsregeln versto\u00dfen, zur Verantwortung zu ziehen und zu sanktionieren. Dazu muss sie sich an der Erstellung und Aktualisierung dieser Regeln beteiligen und gleichzeitig sicherstellen, dass sie den Mitarbeitern regelm\u00e4\u00dfig zur Kenntnis gebracht werden.<\/p>\n In einer idealen Welt w\u00e4ren alle Mitarbeiter eines Unternehmens f\u00fcr die Cybersicherheit verantwortlich und qualifiziert. Wenn dies der Fall w\u00e4re, k\u00f6nnte das Unternehmen ihnen dann volles Vertrauen entgegenbringen?<\/strong> F\u00fcr S\u00e9bastien Viou \u201e schlie\u00dft das Vertrauen nicht die Kontrolle aus. Sie k\u00f6nnte auf deren guten Glauben vertrauen, aber nicht auf deren Unfehlbarkeit. Selbst wenn sie sich alle an die Regeln der digitalen Hygiene halten w\u00fcrden, g\u00e4be es kein Nullrisiko. Der vorsichtigste Mensch, manchmal sogar ein Experte f\u00fcr Cybersicherheit, kann<\/em> darauf hereinfallen\u201c. Diese Analyse wird durch den Aufschwung des Cloud-Computing oder Organisationsformen mit Telearbeit oder BYOD noch verst\u00e4rkt. In diesem Zusammenhang k\u00f6nnen Unternehmen nicht mehr davon ausgehen, dass alles, was innerhalb ihres IT-Perimeters existiert, absolut vertrauensw\u00fcrdig ist. Und immer mehr von ihnen \u00fcbernehmen das Konzept \u201eZero Trust\u201c<\/a>. Laut einer von IT SOCIAL ver\u00f6ffentlichten Studie<\/a> besch\u00e4ftigen sich 90\u00a0% der befragten Unternehmen ernsthaft mit diesem ganzheitlichen Ansatz, der darauf abzielt, das Konzept des Perimeters weiterzuentwickeln, indem niemandem innerhalb oder au\u00dferhalb des Unternehmensnetzwerks standardm\u00e4\u00dfig Vertrauen entgegengebracht wird. F\u00fcr Joseph Graceffa ist Zero Trust jedoch \u201enicht mehr und nicht weniger als ein weiterer Marketingbegriff<\/em>\u201c. Der Vorsitzende von CLUSIR Nordfrankreich erinnert daran, dass der Begriff zwar immer h\u00e4ufiger verwendet wird, es sich dabei aber vor allem um eine \u201eAktualisierung der Verfahren der Network Access Control [NAC] handelt, die nun auf alle IT-Ressourcen (Anwendungen, Computerarbeitspl\u00e4tze usw.) angewendet werden. Aber die CISOs und Spezialisten f\u00fcr Cybersicherheit kennen sie seit \u00fcber 20 Jahren<\/em>\u201c. In jedem Fall ist die breite Anwendung eines Zero-Trust-Ansatzes eine Transformation, die extrem langwierig sein k\u00f6nnte, insbesondere f\u00fcr Unternehmen, die mit einem veralteten und abgeschotteten IT-Bestand arbeiten. Die Umsetzung dieses Ansatzes scheint daher schrittweise erfolgen zu m\u00fcssen.<\/p>\n <\/p>\n Cybersicherheit ist also nicht nur eine Frage der Mittel. Angesichts der Zunahme von Cyberangriffen besteht kein Zweifel mehr daran, dass der Mensch der gr\u00f6\u00dfte Risikofaktor ist. Es ist daher von entscheidender Bedeutung, dass das Unternehmen seine Mitarbeiter ausbildet, sensibilisiert und schlie\u00dflich in die Verantwortung nimmt. Denn wenn das Unternehmen Verantwortung f\u00fcr die Mitarbeiter \u00fcbernimmt, \u00fcbernehmen die Mitarbeiter Verantwortung f\u00fcr das Unternehmen.<\/p>\n","protected":false},"excerpt":{"rendered":" \u201eDas Problem liegt zwischen dem Stuhl und der Tastatur.\u201c Diese Redensart, die (zu) oft in der IT- und Cybersicherheitsbranche verwendet wird, erinnert daran, dass eine der gr\u00f6\u00dften Cyber-Schwachstellen eines Unternehmens auf der Naivit\u00e4t seiner Mitarbeiter beruht. Aber ist es wirklich relevant? Und wer sind diejenigen,…<\/p>\n","protected":false},"author":51,"featured_media":266873,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1615],"tags":[4367],"business_size":[],"industry":[],"help_mefind":[],"features":[],"type_security":[],"maintenance":[],"offer":[],"administration_tools":[],"cloud_offers":[],"listing_product":[1564],"class_list":["post-267425","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-meinungen","tag-cybersecurity-erste-schritte","listing_product-ses-de"],"acf":[],"yoast_head":"\nCyberangriffe auf Unternehmen: Wenn der Bauer die Dame schl\u00e4gt<\/h2>\n
S\u00e9bastien Viou<\/strong>, Direktor f\u00fcr Produktsicherheit und Cyber-Spezialist bei Stormshield<\/pre>\n<\/blockquote>\n
Von der Sensibilisierung zur Verantwortungs\u00fcbernahme durch die Mitarbeiter\/innen \u00fcbergehen<\/h2>\n
Joseph Graceffa<\/strong>, Pr\u00e4sident des Clubs f\u00fcr vernetzte Informationssicherheit (CLUSIR) Nordfrankreich<\/pre>\n<\/blockquote>\n
Guillaume Poupard<\/strong>, Generaldirektor der franz\u00f6sischen Nationalen Agentur f\u00fcr Sicherheit der Informationssysteme (ANSSI) [in franz\u00f6sischer Sprache]<\/pre>\n<\/blockquote>\n
Einen besseren Zugang zur Cybersicherheit gew\u00e4hrleisten<\/h2>\n