Cybersecurity in der Zeit nach Covid

Nach Corona-Lockdown: Mit welchen sichtbaren und unsichtbaren IT-Security-Herausforderungen Unternehmen zu kämpfen haben und: Warum sind Awareness-Trainings für Mitarbeiter gerade jetzt so wichtig?

Zug, 18.05.2020 /

Die neue Normalität nach COVID-19 ist für die Unternehmensleitung, die Mitarbeiter und die IT-Security-Abteilung im Besonderen eine Herausforderung. Die Firmen sind mit der Tatsache konfrontiert, dass sich der Cyberraum aufgrund von Home-Office & Co. massiv und schlagartig erweitert hat. Der Trend geht zur nachhaltigen Akzeptanz von Home-Office. Das führt bei der IT-Security zu Auswirkungen auf die bestehenden Sicherheitsmaßnahmen. Ein wichtiges Element der Sicherheit, neben IT-Sicherheits-Lösungen, sind regelmäßige Awareness-Trainings, um das Sicherheitsbewusstsein der Mitarbeiter zu steigern.

Sie wirken gleichzeitig dem mit der Digitalisierung einhergehenden schleichenden Prozess des ‚Unbossings’ entgegen. Mitarbeiter und Teams im Home-Office müssen in Sachen Cybersecurity und technischer Ausstattung mehr Eigenverantwortung übernehmen. Die größeren Freiheiten machen jedoch dem Management und auch den Systemadministratoren sowie IT-Security-Spezialisten Kopfzerbrechen.

‚More of the Same’, aber gefährlicher
Unternehmen bieten jetzt eine noch größere Angriffsfläche für Cyberkriminelle. Die Bedrohung ist real, denn 75 Prozent der IT-Security-Anbieter vermelden massiv mehr Phishing-Angriffe seit Ausbruch der Corona-Pandemie (laut dem aktuellen „DA Davidson Security Software Report, Q1/20“). Es gibt somit nicht nur neue, unmittelbare Herausforderungen, sie nehmen auch in der Menge zu. Unternehmen berichten aktuell von folgenden Problembereichen, mit denen sie zu kämpfen haben, u.a.:

  • Vermeidung und Behebung von Sicherheitslücken in der VPN-Infrastruktur
  • Angriffe via Supply Chain
  • Social Engineering, insbesondere Whaling-Angriffe und CFO-Frauds
  • Angriffe auf Dienste außerhalb des Firmenperimeters (z.B. gehostete Entwicklungsumgebungen und cloudbasierte Kollaborationstools)
  • Malwaremails

Diese klassischen Hauptangriffsvektoren werden für Firmen noch gefährlicher, denn plötzlich kann ein Anonymous Persistent Threat (APT) in einem Heimnetzwerk oder auf einem Privatgerät seinen Anfang nehmen. Und die Frage ist immer: Ist der einzelne Mitarbeiter darauf vorbereitet und sensibilisiert?

Und die Gefahren verändern sich rasch: sei es wegen veränderten Geschäftsprozessen, wegen größerer Selbstständigkeit der Mitarbeiter, wegen Betrügereien, die die Pandemie auszunutzen versuchen, durch Corona-Apps, die vor ihrem Start einen Trojaner installieren.

Proaktives Handeln ist erforderlich und Awareness bleibt wichtig
In Anbetracht dieser Gefahren und Veränderungen darf ein Unternehmen gerade jetzt nicht vergessen, den Mitarbeitern aufzuzeigen, welche Gefahren im virtuellen Raum liegen. Die Mitarbeiter sollten mit Hilfe von aktuellen Nachrichten auf die bestehenden und sich verändernden Angriffsmuster hingewiesen werden. Die Aufarbeitung und Bereitstellung aktueller Informationen gehören in Zeiten nach COVID-19 noch viel mehr zum Tagesgeschäft der IT-Security-Abteilung als vorher.

Eine Lösung sind Awareness Trainings. Wie häufig hörte man in den letzten zwei Monaten: „Unsere Mitarbeiter haben Stress genug, Initiativen zur Security Awareness machen jetzt wenig Sinn.“ Doch Unternehmen sollten ihre Mitarbeiter gerade jetzt trainieren. Der Bedarf an Sensibilisierung und Schulung war nie größer!

Dieser Trainingsbedarf ist nicht mit einer Einzelmaßnahme abzudecken. Der Umgang mit Home-Office zum Beispiel kann nicht in einem einmaligen Workshop und mit Hilfe von Videos im Netflixformat geschult werden. Mitarbeiter müssen ihr Verhalten ändern. Das muss sichergestellt und gemessen werden. Abhängig von der Industrie sind Nachweise über Fortbildungen und Schulungen darüber sogar rechtlich erforderlich, Stichwort: Pflichtschulung.

Der Anfang eines Prozesses
Wenn ein Mitarbeiter gegenüber Cyber-Risiken sensibilisiert ist, dann ist das zwar ein guter Anfang. Doch Ziel ist das sichere Verhalten aller Mitarbeiter, innerhalb und außerhalb des Firmengebäudes. Dafür ist ein kontinuierliches Schulungsprogramm nötig. Bestimmte Richtlinien, die in den Trainings auch geschult werden können, sind wichtig, wie beispielsweise Vorgaben für den Umgang mit internen Dokumenten im Home-Office und mit privaten Geräten und Netzwerken. Aber auch hier gilt: Das ist ein Prozess und keine Einzelmaßnahme.

Ein neues Sicherheitsverständnis ist nötig
Weiter tun Unternehmen gut daran, mittelfristig ein umfassendes Sicherheitsverständnis zu entwickeln und umzusetzen. Die schwindende Relevanz des Perimeterschutzes – herbeigeführt durch die Vermischung von Privatsphäre und Geschäftsleben oder durch das Arbeiten im Bus oder am Küchentisch – stellt viel weiterreichende Anforderungen an die Unternehmenssicherheit.

Das größte Einfallstor wird weiterhin der Mensch bleiben. Diejenigen, die behaupten, Cyberangriffe seien lediglich dem Einsatz unausgereifter Produkte geschuldet, verleiten Unternehmen nur zu dem Glauben, jede Bedrohung könne mit Technologie abgewehrt werden.

Jetzt teilen:

Über Lucy Security

Lucy Security wurde 2015 gegründet und hat die Erfahrungen ihrer Gründer im Bereich des ethischen Hacking in eine umfassende Schulungssoftware umgewandelt, mit der eine 360°-Sicht auf die IT-Security Schwachstellen einer Organisation ermöglicht wird. Lucy erhält weiterhin zahlreiche Branchenauszeichnungen, darunter den ISPG-Preis 2020 für die beste Cybersicherheitsausbildung und -schulung und die Cybersecurity Excellence Awards 2020 für die beste Anti-Phishing und die beste Sicherheitsausbildungsplattform. Der Hauptsitz des Unternehmens befindet sich in Zug, Schweiz, mit einer US-Niederlassung in Austin, TX. Weitere Informationen finden Sie unter www.lucysecurity.com.

Lucy Security auf:

Pressekontakt Lucy Security

LUCY Security AG
Chamerstrasse 44
6300 Zug
Schweiz

Palo Stacho
Head of Operations bei Lucy Security AG
E-Mail: palo@lucysecurity.com
Web: www.lucysecurity.com.

Kontakt PR-Agentur

Schwartz Public Relations
Sendlinger Straße 42A
D-80331 München

Team Lucy Security
E-Mail: lucysecurity@schwartzpr.de

Sven Kersten-Reichherzer
Tel.: +49 (0) 89 211871-36
E-Mail: sk@schwartzpr.de

Carmen Ritter
Tel.: +49 89 211871-56
E-Mail: cr@schwartzpr.de

Downloads

Klicken Sie auf ein Bild, um eine große Version des Bildes anzuzeigen (und dann Download per Rechtsklick).

    Weitere Beiträge
    des Kunden