{"id":3859,"date":"2022-07-05T11:52:00","date_gmt":"2022-07-05T11:52:00","guid":{"rendered":"https:\/\/cybercompare.com\/?p=3859"},"modified":"2023-09-06T07:48:07","modified_gmt":"2023-09-06T07:48:07","slug":"mitarbeiter-awareness-incident-response-nachholbedarf-fuer-unternehmen","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/mitarbeiter-awareness-incident-response-nachholbedarf-fuer-unternehmen\/","title":{"rendered":"Mitarbeiter-Awareness & Incident Response \u2013 Nachholbedarf f\u00fcr Unternehmen"},"content":{"rendered":"\n

Im Bosch CyberCompare Benchmarkreport 01\/22<\/a> haben wir u. a. die gr\u00f6\u00dften Handlungsbedarfe aus den Diagnostiken mit mehr als 100 mittelst\u00e4ndischen Unternehmen im DACH-Raum vorgestellt. Auf Platz 1 landete unzureichende Mitarbeiter-Awareness und auf Platz 2 mangelhafte Vorbereitung auf den Ernstfall, v. a. Incident Response \u2013 also der F\u00e4higkeit, schnell und fachkundig auf Attacken zu reagieren. Dazu haben wir mit Niklas Hellemann von SoSafe und Fred Tavas von Trustwave zwei erfahrene Kollegen gesprochen, um diese beiden Themen noch einmal gesondert zu beleuchten.<\/p>\n\n\n\n

Dr. Niklas Hellemann & Fred Tavas<\/h2>\n\n\n\n

Dr. Niklas Hellemann<\/strong><\/a> ist Diplom-Psychologe, Experte f\u00fcr Social Engineering sowie Mitbegr\u00fcnder und CEO von SoSafe \u2013 einem Cyber-Security-Awareness-Anbieter<\/a>. Neben seinem Hintergrund in Business Administration und seiner T\u00e4tigkeit als Unternehmensberater bei der Boston Consulting Group studierte er Psychologie, was ihn zum menschlichen Ansatz im technisch versierten Cybersicherheitsmarkt f\u00fchrte. Basierend auf Verhaltenspsychologie und Datenanalyse unterst\u00fctzt SoSafe Unternehmen dabei, eine nachhaltige Sicherheitskultur aufzubauen \u2013 und ihre Mitarbeitenden zu bef\u00e4higen, sich in der digitalen Welt sicher zu bewegen.<\/p>\n\n\n\n

Fred Tavas<\/strong><\/a> ist Director Sales Europe bei Trustwave \u2013 ein f\u00fchrender Anbieter von Cybersicherheits- und verwalteten Sicherheitsdiensten<\/a>, der Unternehmen dabei hilft, Internetkriminalit\u00e4t zu bek\u00e4mpfen, Daten zu sch\u00fctzen und Sicherheitsrisiken zu verringern. Sein Cybersecurity-Fachwissen ist breit gef\u00e4chert: von Hybrid-SOC\/SIEM \u00fcber MDR und Threat Hunting bis hin zu Penetration Tests und RedTeaming. Somit verf\u00fcgt er \u00fcber ein ausgepr\u00e4gtes Verst\u00e4ndnis von Cyber- und Cloud-Sicherheitstechnologien sowie von Angeboten der Konkurrenz.<\/p>\n\n\n\n

<\/p>\n\n\n\n

\n
\n
\"\"
Dr. Niklas Hellemann, Mitbegr\u00fcnder und CEO von SoSafe<\/figcaption><\/figure>\n<\/div>\n\n\n\n
\n
\"\"
Fred Tavas, Director Sales Europe Trustwave<\/figcaption><\/figure>\n<\/div>\n<\/div>\n\n\n\n

<\/p>\n\n\n\n

Erst einmal: Sie sprechen ja ebenfalls t\u00e4glich mit Kunden \u2013 sehen Sie dort ein \u00e4hnliches Bild? Oder vielleicht auch ganz andere Top-Themen?<\/strong><\/p>\n\n\n\n

Niklas Hellemann, SoSafe:<\/strong> In einer Umfrage<\/a>, die wir k\u00fcrzlich mit \u00fcber 250 IT-Sicherheitsverantwortlichen in Europa durchgef\u00fchrten hatten, zeigte sich ein \u00e4hnliches Bild: Mehr als 90 Prozent der Expertinnen und Experten sagten, dass Awareness in ihrer Organisation sehr wichtig sei. Davon gaben jedoch 40 Prozent an, das Awareness-Level der Mitarbeitenden sei immer noch niedrig. 99 Prozent der Befragten verk\u00fcndeten daher, dass im n\u00e4chsten Jahr das St\u00e4rken der organisationseigenen Sicherheitskultur eines der Top-Themen sein wird. Unsere Kundenorganisationen sind schon einen Schritt weiter: Sie haben sich bereits f\u00fcr die St\u00e4rkung ihrer Sicherheitskultur entschieden und arbeiten mit uns zusammen, um diese kontinuierlich und nachhaltig zu etablieren.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Was bedeutet es denn \u00fcberhaupt, Cyber-Security Awareness in einem Unternehmen zu st\u00e4rken\/aufzubauen?<\/strong><\/p>\n\n\n\n

Hellemann:<\/strong> Cyber-Security-Awareness sollte zun\u00e4chst einmal mehr sein, als die Pflicht, Compliance-Boxen abzuhaken. Stattdessen sollte es darum gehen, eine nachhaltige Sicherheitskultur im Unternehmen aufzubauen und kontinuierlich zu st\u00e4rken. Daf\u00fcr ist ein Umdenken n\u00f6tig: Mitarbeitende sollten nicht l\u00e4nger als \u201eschw\u00e4chstes Glied\u201c in der Informationssicherheit gesehen werden \u2013 sondern als M\u00f6glichkeit einer weiteren, starken Sicherheitsbarriere, der \u201eHuman Firewall\u201c. Mit einer nachhaltigen Sicherheitskultur k\u00f6nnen Mitarbeitende dabei unterst\u00fctzt werden, sich sicher im digitalen Raum zu bewegen und das Unternehmen so aktiv zu sch\u00fctzen. Essenziell ist dabei, dass es Mitarbeitenden leicht gemacht wird, Cybersicherheit in ihren Arbeitsalltag zu integrieren und dass die Inhalte so vermittelt werden, dass sie auch einfach erlernt und erinnert werden k\u00f6nnen \u2013 Grundlagen der Verhaltens- und Lernpsychologie helfen dabei. Die Lernenden sollten daher immer im Fokus der Inhalte stehen: Inhalte und Informationen sollten so einfach und intuitiv wie m\u00f6glich vermittelt werden, damit die Lernenden sie nachhaltig im Ged\u00e4chtnis behalten.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Warum glauben Sie, dass viele Unternehmen im Bereich Cyber-Security-Awareness Nachholbedarf haben?<\/strong><\/p>\n\n\n\n

Hellemann:<\/strong> In der Cybersicherheit wurde der Faktor Mensch allgemein lange Zeit vergessen oder sogar bewusst \u201eausgeklammert\u201c. Es wurde nahezu ausschlie\u00dflich auf technische Barrieren gesetzt. Selbst heute hat noch nicht \u00fcberall das Umdenken stattgefunden, dass Menschen als Teil der Cyberabwehr aktiviert werden m\u00fcssen. Aber die Zahlen zeigen: 20-30 Prozent der Phishing-Mails schaffen es durch die technischen Filter und Barrieren. Zus\u00e4tzlich professionalisiert sich die Cyberkriminalit\u00e4t zunehmend weiter. Organisationen sehen sich einer Dark Economy gegen\u00fcbergestellt, in der Cybercrime-as-a-Service das g\u00e4ngige Gesch\u00e4ftsmodell ist. Taktiken werden im Minutentakt weiterentwickelt. Die Schnittstelle zwischen Mensch und Maschine bleibt dabei weiterhin Einstiegstor Nummer 1 \u2013 mehr als 85 Prozent aller Angriffe starten beim Faktor Mensch. Das ist nicht \u00fcberraschend. Denn die Menschen hinter den Bildschirmen lassen sich auch beim Einsatz der vielf\u00e4ltigsten Tools immer auf eine \u00e4hnliche Art und Weise angreifen \u2013 \u00fcber emotionale Manipulation. Cyberkriminelle instrumentalisieren unsere menschliche Psyche auf Basis von Verhaltenspsychologie. Diese komplexen, sich st\u00e4ndig \u00e4ndernden Entwicklungen k\u00f6nnen nicht durch sporadische Compliance-Schulungen zur Informationssicherheit abgedeckt werden. Stattdessen ist eine kontinuierliche Weiterbildung sowie eine hohe generelle Awareness f\u00fcr dieses Thema in Unternehmen notwendig. Organisationen m\u00fcssen sich auf der Verteidigerseite genauso professionell und dynamisch aufstellen wie die Angreiferseite \u2013 und diese Priorit\u00e4t ist in vielen Unternehmen noch nicht gesetzt.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Wie Sie schon sagen: der Mitarbeitende als vermeintlich \u201eschwaches Glied\u201c in der Verteidigungskette wurde schon vielfach beschrieben. Wie gut eignet sich ein reiner Phishing KPI wirklich zur Messung der Awareness im Unternehmen?<\/strong><\/p>\n\n\n\n

Hellemann:<\/strong> Wie gesagt m\u00f6chten wir gerade diese Sichtweise auf Mitarbeitende \u00e4ndern. Statt des \u201eschw\u00e4chsten Glieds\u201c k\u00f6nnen sie zu einem starken Bestandteil der Cyberabwehr von Unternehmen werden. Die Awareness im Unternehmen sollte aber tats\u00e4chlich nicht nur durch einen Blick auf Klick- und Interaktionsraten mit simulierten Phishing-Mails gemessen werden. Ein weiterer, wichtiger Indikator ist die Reporting-Rate: Sie zeigt letztlich, dass Mitarbeitende noch einen Schritt weitergehen als nicht auf die Phishing-Mail reinzufallen \u2013 und zu klicken oder mit der Mail zu interagieren. Stattdessen melden sie die Gefahr an das IT-Team des Unternehmens, und tragen so proaktiv zur Weiterentwicklung der Cybersicherheit eines Unternehmens bei.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Was halten Sie von der Sicht, dass man hier doch besser alternativ in Technik investiert, wie z. B. Mail Security, um die Phishing Mails noch besser auszufiltern, oder verst\u00e4rkte Cloud-Nutzung oder Konzepte wie Thin Clients, als immer wieder aufw\u00e4ndig in Schulungsma\u00dfnahmen zu investieren mit einem verbleibenden hohen \u201eRestrisiko\u201c?<\/strong><\/p>\n\n\n\n

Hellemann:<\/strong> Bei dieser Diskussion geht es nicht um ein Entweder-Oder. Wenn wir die Evolution und Innovation in der Cybersecurity betrachten, geht es vielmehr um das Erweitern des Schutzes um zus\u00e4tzliche \u201eLayer\u201c. Sowohl eine technisch starke Abwehr sowie auch eine hohe Awareness sind in einer Organisation notwendig, um diese holistisch und nachhaltig vor Cyberangriffen zu sch\u00fctzen. Durch Technik kann niemals ein Set-Up erreicht werden, welches Cyberkriminelle nicht umschiffen k\u00f6nnen \u2013 daf\u00fcr gibt es zu viele Angriffspunkte, die sich wie erw\u00e4hnt aufgrund der Professionalisierung st\u00e4ndig weiterentwickeln. Spear Phishing, Voice Phishing, CEO Fraud sind nur einige der Bereiche, die man sich daf\u00fcr n\u00e4her anschauen kann. Daher sollte unser Meinung nach immer in beide Abwehrmechanismen investiert werden: Technik und Mensch.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Nicht alle Mitarbeitende sitzen den ganzen Tag am PC und sind eine ideale Zielgruppe f\u00fcr Web-Trainings, z. B. diejenigen im Bereich Service oder Produktion. Was sollte man dieser wichtigen Gruppe anbieten?<\/strong><\/p>\n\n\n\n

Hellemann:<\/strong> Unsere Inhalte konzentrieren sich in erster Linie auf Mitarbeitende, die in der Regel in B\u00fcros mit Internetanschluss arbeiten, da sie mit gr\u00f6\u00dferer Wahrscheinlichkeit Ziel von Cyberangriffen sind. Aufgrund der hohen Individualisierbarkeit unserer Inhalte k\u00f6nnen wir jedoch alle Mitarbeitenden ansprechen \u2013 insbesondere von Unternehmen aus der Fertigung und von Krankenh\u00e4usern kriegen wir positives Feedback zu unseren Mikromodulen und den Phishing Simulationen, die auch mobil genutzt werden k\u00f6nnen. Denn grunds\u00e4tzlich sollten alle Mitarbeitenden in die Awareness-Schulungen integriert werden, um eine nachhaltige Sicherheitskultur zu integrieren.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Abschlie\u00dfend an Sie: sehen Sie im Bereich Learning und Awareness neue Trends, mit denen Unternehmen sich auseinandersetzen sollten?<\/strong><\/p>\n\n\n\n

Hellemann:<\/strong> Bez\u00fcglich der Inhalte, \u00fcber die Mitarbeitende informiert und aufgekl\u00e4rt werden sollten, gilt, dass nie ausgelernt ist. Aufgrund der st\u00e4ndigen Professionalisierung werden Angriffsstrategien im Minutentakt weiterentwickelt. Das haben wir insbesondere zu Pandemie-Beginn oder zu Beginn des Ukraine-Krieges gesehen, wo aktuelle Informationen f\u00fcr neue Cyberangriffe instrumentalisiert wurden. Daher sollte Inhalte kontinuierlich adaptiert und vermittelt werden. Dar\u00fcber hinaus sollte die Art der Vermittlung stets den Lernenden in den Mittelpunkt stellen. Gamification ist beispielsweise ein Trend, der sich auszahlt: So ist die Aktivierungsrate von Lernenden beispielsweise um 53 Prozent h\u00f6her, wenn das E-Learning Gamification verwendet \u2013 beziehungsweise wie in unserem Fall \u201eDeep Gamification\u201c: Also nicht nur die Gamifizierung durch \u201eCasual Games\u201c, die nicht mit den Inhalten vernetzt sind, sondern eine gesamtheitliche Gamifizierung der Lernerfahrung und spielerische Vermittlung der Inhalte.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Herr Tavas, sprechen wir \u00fcber das Thema Incident Response: ein Incident Response Retainer ist vermutlich ein echter Kassenschlager und langweilig wird den Analysten sicherlich nicht. Welche Garantien habe ich denn als Kunde, wenn ich zwar SLAs eingekauft habe, aber die IR-F\u00e4higkeiten beim Anbieter doch ausgelastet sind? <\/strong><\/p>\n\n\n\n

Fred Tavas, Trustwave:<\/strong> Ein professioneller und global aufgestellter DFIR Provider (Digital Forensics und Incident Response) sorgt durch die entsprechende Anzahl von Respondern, dass er in mehr als 99 Prozent der F\u00e4lle in der Lage ist innerhalb des SLA zu reagieren. Dabei kann es dann nat\u00fcrlich vorkommen, dass der Responder aus einer anderen Region als der Kunde agiert. Damit garantieren wir im Ernstfall sofortige Verf\u00fcgbarkeit, in der Regel ca. 15-30 Minuten nach Eingang des Anrufs\/Meldung.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Welche Bedeutung kommt aus Ihrer Sicht den Vorort-Eins\u00e4tzen zu? Wie viel kann heute von Remote unterst\u00fctzt werden? <\/strong><\/p>\n\n\n\n

Tavas: <\/strong>Die heute zur Verf\u00fcgung stehenden Technologien bieten fast die gleichen M\u00f6glichkeiten wie ein Einsatz vor Ort. Auf jeden Fall kann auf diese Weise sehr schnell reagiert und agiert werden. Sollte sich w\u00e4hrend der Untersuchung herausstellen, dass ein Einsatz vor Ort notwendig ist, dann kann dies auch organisiert werden.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Viele Cyberversicherungen inkludieren auch Notfallnummern und Zugriff auf entsprechende IR-Teams. Gibt es Argumente, sich zus\u00e4tzlich mit einem eigenen Retainer zu besch\u00e4ftigen? <\/strong><\/p>\n\n\n\n

Tavas:<\/strong> Bei diesen Notfallnummern verh\u00e4lt es sich wie bei denen f\u00fcr den Pannen-Service: nach der ersten Panne hat man die Erkenntnis, ob es ausgereicht hat oder man besser den dedizierten Service eines spezialisierten Anbieters gew\u00e4hlt h\u00e4tte. Da man im Vorfeld mit dem Anbieter nicht direkt interagiert oder agieren kann, bleibt es ein Abenteuer. Insbesondere dann, wenn ein DFIR Partner \u00fcber den Einsatz hinaus bereits im Vorfeld hinsichtlich technischen wie auch organisatorischen Ma\u00dfnahmen beraten kann.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Die IT eines mittelgro\u00dfen Unternehmens ist ja stets sehr komplex durch die Systemvielfalt, unterschiedliche Netzwerktopologien an unterschiedlichen Standorten, nicht-standardisierte Prozesse usw. Wie gehen Sie damit eigentlich im Rahmen eines Onboardings um? Wie stellen Sie sicher, dass die IR Analysten im Einsatz tats\u00e4chlich schnell effektiv arbeiten k\u00f6nnen? <\/strong><\/p>\n\n\n\n

Tavas: <\/strong>Wichtig ist, dass der Kunde gut vorbereitet ist und (s)eine Dokumentation aktuell verf\u00fcgbar ist. Jeder Fall ist individuell und beginnt aus Sicht des Responders daher auch immer mit den Informationen, die ihm zur Verf\u00fcgung stehen. Gerade deswegen ist es umso wichtiger mit seinem Provider VORHER zu sprechen.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Unsere Lieblingsfrage an Sie beide: Sie sind morgen CISO: Welches Thema gehen Sie als erstes an (au\u00dfer Awareness und IR ;-)) ?<\/strong><\/p>\n\n\n\n

Tavas: <\/strong>80 Prozent aller Angriffe gehen auf den Endpunkt, dementsprechend ist v.a. ein guter Managed Detection & Response (MDR) Ansatz wichtig. Der Nr. 1 Angriffsvektor sind E-Mails, so dass E-Mail Security kombiniert mit einer modernen SOAR L\u00f6sung f\u00fcr automatisierte Gegenma\u00dfnahmen angemessen auf diese Bedrohung reagieren kann.<\/p>\n\n\n\n

Hellemann:<\/strong> Neben einer hohen Awareness sollte jedes Unternehmen ein sehr gut aufgestelltes Security Operations Center haben. Das w\u00fcrde ich als erstes <\/p>\n\n\n\n

\u00dcbrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider \u2013 aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenw\u00e4rtigen Entwicklungen vertiefend und freuen uns \u00fcber Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abh\u00e4ngig von der kundenindividuellen Situation.<\/p>\n","protected":false},"excerpt":{"rendered":"

Im Bosch CyberCompare Benchmarkreport 01\/22 haben wir u. a. die gr\u00f6\u00dften Handlungsbedarfe aus den Diagnostiken […]<\/p>\n","protected":false},"author":24,"featured_media":3860,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[19],"tags":[],"class_list":["post-3859","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-interviews-de"],"_links":{"self":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3859","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/comments?post=3859"}],"version-history":[{"count":1,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3859\/revisions"}],"predecessor-version":[{"id":3862,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3859\/revisions\/3862"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media\/3860"}],"wp:attachment":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media?parent=3859"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/categories?post=3859"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/tags?post=3859"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}