Security Awareness der nächsten Generation - Blog #Ratgeber

Wie Human Risk Management zur Einhaltung globaler Standards beiträgt

Wed, 16 Apr 2025 09:04:00 +0200

Die Anforderungen an die Einhaltung von Sicherheitsvorschriften gehen weit über technische Schutzmassnahmen hinaus. Unternehmen müssen nachweisen, dass ihre Mitarbeitenden in der Lage sind, Risiken zu erkennen, zu verhindern und darauf zu reagieren. Hier kommt Human Risk Management (HRM) ins Spiel: Eine zentrale Strategie, um Compliance zu erfüllen und aufrechtzuerhalten. In diesem Blog zeigen wir, wie HRM mit globalen Compliance-Anforderungen in Einklang gebracht werden kann, um Sicherheitsmassnahmen zu optimieren und Unternehmensrisiken zu minimieren.

In diesem Blog behandeln wir:

Was ist Human Risk Management?
5 wichtige Komponenten für ein erfolgreiches HRM-Programm
Eine Übersicht globaler Standards, die HRM erfordern, mit Fokus auf Europa
Die Rolle von HRM für die Einhaltung von Compliance-Vorschriften

Was ist Human Risk Management (HRM)?

Human Risk Management ist ein strategischer Ansatz um die durch menschliches Verhalten innerhalb eines Unternehmens entstehenden Risiken zu identifizieren, zu bewerten und zu minimieren. Statt nur reaktiv zu handeln, setzt HRM auf Prävention: Mitarbeitende werden geschult und befähigt, um sicherheitskritische Fehler zu vermeiden. So lassen sich Verstösse gegen Vorschriften und Sicherheitsverletzungen reduzieren.

5 wichtige Komponenten eines erfolgreichen HRM-Programms

HRM umfasst verschiedene Werkzeuge und Massnahmen, um Sicherheitsrisiken durch menschliches Fehlverhalten, mangelndes Bewusstsein oder sogar böswillige Absichten zu minimieren. Die wichtigsten Bausteine sind:

Security-Awareness-Trainings: Regelmässige Schulungen sensibilisieren Mitarbeitende für Bedrohungen wie Phishing, Malware und Social Engineering. Interaktive Lernmethoden wie Animationen und szenariobasierte Schulungen steigern das Engagement und sorgen dafür, dass das Wissen hängen bleibt.
Phishing-Simulationen: Automatisierte Tests helfen, die Anfälligkeit von Mitarbeitenden für Phishing-Angriffe zu bewerten. Realistische Phishing-Mails sorgen für praxisnahe Lernsituationen. Echtzeitberichte liefern wertvolle Einblicke und Optimierungsmöglichkeiten.
Richtlinien-Management: HRM stellt sicher, dass Mitarbeitende die firmeninternen Sicherheitsrichtlinien verstehen und einhalten. Mit einer zentralen Plattform lassen sich Richtlinien einfach verwalten, automatisch verteilen und die Einhaltung überwachen.
Dark-Web-Monitoring: HRM hilft, kompromittierte Zugangsdaten und sensible Informationen im Dark Web frühzeitig zu erkennen. So können betroffene Mitarbeitende schnell handeln, um Schaden zu verhindern. Wenn eine Sicherheitsverletzung festgestellt wird, werden die betroffenen Mitarbeitenden sofort benachrichtigt.
Risikobewertung und Berichte: HRM liefert verwertbare Erkenntnisse, indem es Risiken auf Basis von Schulungsteilnahmen und Testergebnissen laufend bewertet. Unternehmen können gezielt Massnahmen ergreifen, um Schwachstellen zu beseitigen.

Insgesamt geht HRM über klassische Schulungen hinaus, indem es proaktive Überwachung, gezielte Risikominimierung und messbare Verbesserungen im Sicherheitsverhalten integriert.

Eine Übersicht globaler Standards die HRM benötigen mit Fokus auf Europa

Weltweit verknüpfen verschiedene Standards und Vorschriften HRM direkt mit Compliance-Anforderungen. Die ISO 27001 betont beispielsweise die Bedeutung von Schulungen zur Risikominderung. Es verlangt, dass Organisationen sicherstellen, dass ihre Mitarbeitenden sich ihrer Sicherheitsverantwortung bewusst sind und im Umgang mit Bedrohungen angemessen geschult werden.

Europa

Seit den frühen 2000er-Jahren haben europäische Länder Cybersicherheit stärker in den Fokus genommen. Die EU hat verbindliche Gesetze und Richtlinien eingeführt, die in allen Mitgliedstaaten gelten. Gleichzeitig haben Nicht-EU-Staaten wie Norwegen und die Schweiz eigene Cybersicherheitsgesetze entwickelt, die oft an europäische Standards angelehnt sind.

All diese Vorschriften legen grossen Wert auf den menschlichen Faktor in der Cybersicherheit: Mitarbeitende müssen geschult und sensibilisiert werden, um Risiken zu minimieren und die Einhaltung der gesetzlichen Vorgaben sicherzustellen.

Die EU-Datenschutzgrundverordnung (DSGVO) verlangt von Unternehmen organisatorische Massnahmen wie Schulungen, um menschliche Fehler zu reduzieren.
Auch die NIS-2-Richtlinie der EU schreibt ausdrücklich Schulungen für Mitarbeiter vor, um auf Vorfälle zu reagieren und das Bewusstsein für Cybersicherheit zu schärfen.
Das EU-Gesetz zur Cybersicherheit (CSA) stärkt die EU-Agentur für Cybersicherheit (ENISA) und schafft einen EU-weiten Zertifizierungsrahmen für Cybersicherheit der Organisationen dazu ermutigt, zertifizierte Produkte und Dienstleistungen einzuführen und Mitarbeitende entsprechend zu schulen.
Die EU-Verordnung „Digital Operational Resilience Act“ (DORA) richtet sich an den Finanzsektor und fordert Unternehmen auf, ihre operative Widerstandsfähigkeit zu gewährleisten. Dies soll durch die Implementierung umfassender Risikomanagement-Rahmenwerke erfolgen, die unter anderem regelmässige Schulungen der Mitarbeitenden zu Cyberbedrohungen und Sicherheitsprotokollen umfassen.
Das norwegische Gesetz über digitale Sicherheit (DSA) verlangt von Unternehmen, Systeme für digitales Sicherheitsmanagement einzuführen, Risiken zu bewerten und das Management von Zwischenfällen zu gewährleisten. Dabei wird besonders die Rolle des Personalmanagements für die digitale Sicherheit hervorgehoben. Auch die Nationale Strategie für Cybersicherheit (NCSS-NO) betont, wie wichtig der menschliche Faktor in der Cybersicherheit ist.
In der Schweiz schreibt das Bundesgesetz über den Datenschutz (DSG) vor, dass Mitarbeitende in den Datenschutzgrundsätzen geschult und sensibilisiert werden müssen. Dies entspricht bewährten HRM-Praktiken und hilft, unrechtmässige Datenverarbeitung zu verhindern. Die Nationale Strategie für Cybersicherheit (NCSS-CH) legt zudem Wert darauf, Kompetenzen gezielt aufzubauen, um Sicherheitslücken im Management zu schliessen.

Diese Vorschriften zeigen: Ohne einen gezielten HRM-Ansatz lässt sich Compliance in vielen Bereichen kaum erreichen.

Die Rolle von HRM für Compliance

Indem menschliche Schwachstellen durch Risikobewertung, strukturierte Schulungen, Richtlinienmanagement und Überwachung des Dark Web angegangen werden, hilft HRM Unternehmen, die Wahrscheinlichkeit der Nichteinhaltung von Vorschriften zu verringern und ihre allgemeine Sicherheitslage zu verbessern.

Ein gut umgesetztes HRM-Programm hilft Unternehmen in drei zentralen Bereichen:

1. Menschliches Versagen minimieren

Menschliches Versagen ist nach wie vor eine der Hauptursachen von Cybersicherheitsverstössen. HRM mindert dieses Risiko, indem es eine Sicherheitskultur aufbaut. Dies geschieht mittels Schulungen, Angriffssimulationen und laufender Risikobeurteilung.

Mitarbeitende werden mittels Lerneinheiten und Angriffssimulationen darin geschult, Bedrohungen wie Phishing, Social Engineering und andere Betrügereien zu erkennen.
Durch die individuelle Risikobeurteilung können Unternehmen gezielt Massnahmen ergreifen.

2. Dokumentation und Bereitschaft für Audits

Gesetze und Standards wie die DSGVO, HIPAA, SOC 2 und ISO 27001 verlangen, dass Unternehmen ihre Compliance-Bemühungen durch detaillierte Dokumentation nachweisen. HRM-Plattformen erleichtern die Compliance-Dokumentation durch automatisierte Berichte und Nachverfolgung von Schulungen.

3. Kontinuierliche Schulung und Richtlinien-Management unterstützen

Compliance ist kein einmaliger Aufwand. Inhalte müssen laufen neuenGesetzten und Standards angepasst werden. HRM-Systeme unterstützen wie folgend:

Automatisierte Trainings und Erinnerungen: Rollenspezifische Trainings stellen sicher, dass Mitarbeitende stets über aktuelle Sicherheitsmassnahmen und regulatorische Anforderungen informiert sind.
Vereinfaches Richtlinien-Management: Die Plattform ermöglicht, Richtlinien zu verteilen, Aktualisierungen zu versenden und Lesebestätigungen einzufordern.

Fazit: HRM als Schlüssel zu Compliance und Sicherheit

Die Umsetzung einer HRM-Strategie mag komplex wirken, doch mit der richtigen Plattform wird sie einfach und effizient. Eine moderne HRM-Lösung hilft Unternehmen, menschliche Risiken zu minimieren und Compliance-Vorgaben mühelos zu erfüllen.

Wenn du deine HRM-Strategie optimieren möchtest, teste unsere Plattform 14 Tage kostenlos oder melde dich für ein unverbindliches Erstgespräch.

Kostenlose 14-Tage Testversion

Testen Sie unsere Plattform und erfahren Sie, wie Sie damit das Sicherheitsbewusstsein in Ihrem Unternehmen steigern können. Sie können die Plattform ohne Einschränkungen nutzen und bereits erste Phishing-Simulationen versenden.

Unverbindlich testen

Identity Management Day: Schützen Sie Ihre digitale Identität

Tue, 08 Apr 2025 07:00:00 +0200

Der am 8. April 2025 stattfindende Identity Management Day soll uns daran erinnern, unsere digitalen Identitäten zu schützen. Da sich Cyberbedrohungen ständig weiterentwickeln ist es wichtig, proaktive Schritte zum Schutz von Online-Identitäten zu unternehmen. Dieser Tag dient als Aufruf zum Handeln für Einzelpersonen und Organisationen, um sich auf den Schutz digitaler Informationen, die Verbesserung der Sicherheitspraktiken und die Reduzierung menschlicher Fehler zu konzentrieren.

Hier ist eine umfassende Anleitung, die dir hilft, deine Konten zu sichern und den Identity Management Day zu feiern.

Was ist MFA?

MFA (Multi-Faktor-Authentifizierung) fügt eine zusätzliche Sicherheitsebene zu Passwörtern hinzu. Sie fordert zwei oder mehr unabhängige Formen der Verifizierung ein. Dies könnte Folgendes beinhalten:

Etwas, das du weisst: Passwort, PIN
Etwas, das du hast: Sicherheitsschlüssel, Smartphone-App (wie Microsoft Authenticator oder Authy)
Etwas, das du bist: Biometrie (Fingerabdruck, Gesichtserkennung)

MFA ist zwar ein wichtiges Werkzeug zur Sicherung von Konten, aber es ist am effektivsten, wenn es als Teil einer umfassenderen digitalen Sicherheitsstrategie eingesetzt wird.

Umfassendere digitale Sicherheitspraktiken, die mit MFA kombiniert werden sollten

MFA ist zwar effektiv, sich aber ausschliesslich darauf zu verlassen kann deine Konten immer noch anfällig machen. Ein mehrschichtiger Ansatz ist für maximalen Schutz erforderlich.

Starke Passwörter: Die Grundlage der Sicherheit
- Stelle sicher, dass du komplexe Passwörter verwendest, die eine Kombination aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.
- Passwort-Manager sind eine hervorragende Möglichkeit starke Passwörter sicher zu generieren und zu speichern, ohne das Risiko, sie zu vergessen.
Regelmässige Software- und Systemaktualisierungen: Schwachstellen verhindern
- Cyberkriminelle nutzen oft bekannte Schwachstellen in veralteter Software aus. Aktualisiere regelmässig dein Betriebssystem, deine Anwendungen und deine Sicherheitssoftware um sicherzustellen, dass du über den neuesten Schutz verfügst.
- Aktiviere wo immer möglich Automatisiere Aktualisierungen, um wichtige Patches nicht zu verpassen.
Sicherheitsbewusstsein: Bilde dich und dein Team weiter
- MFA hilft, sich vor unbefugten Anmeldungen zu schützen. Trotzdem müssen sich Benutzer dennoch den Phishing-Angriffen und Social-Engineering-Taktiken bewusst sein. Denn genau solche Angriffe können klassische Sicherheitsmassnahmen umgehen.
- Zeige Mitarbeitenden und Familienmitgliedern, wie sie verdächtige E-Mails oder Nachrichten erkennen können.
Datenverschlüsselung: Schütze deine sensiblen Informationen
- Verwende Verschlüsselungstools um sensible Daten auf deinen Geräten zu schützen.
- Egal ob deine persönlichen Dateien oder vertrauliche Geschäftsinformationen: Die Verschlüsselung stellt sicher, dass deine Daten auch bei Abfangen ohne den richtigen Entschlüsselungsschlüssel unlesbar bleiben.
Sicherungs- und Wiederherstellungspläne: Bereite dich auf das Schlimmste vor
- Schütze dich vor Datenverlust, indem du regelmässige Sicherungen wichtiger Dateien und Informationen durchführst. Verwende sicheren Cloud-Speicher oder externe Festplatten um sicherzustellen, dass deine Daten im Falle eines Cyberangriffs oder Systemausfalls wiederhergestellt werden können.
- Entwickle ausserdem einen Notfallwiederherstellungsplan, um dich schnell von einem Einbruch oder Datenverlust zu erholen.
Zero-Trust-Sicherheitsmodell: Gehe davon aus, dass Einbrüche unvermeidlich sind
- Das Zero-Trust-Modell basiert auf dem Prinzip, dass niemandem automatisch vertraut werden sollte (egal ob innerhalb oder ausserhalb der eigenen Organisation). Alle Benutzer müssen kontinuierlich verifiziert und der Zugriff sollte nur nach Bedarf gewährt werden.
- MFA ist eine kritische Komponente dieses Ansatzes. Sie stellt sicher, dass jeder Zugriffsversuch unabhängig vom Standort des Benutzers verifiziert wird.

Dein Sicherheitsbewusstsein stärken und menschliche Risiken mindern

MFA und andere technische Massnahmen sind zwar unerlässlich, aber menschliche Fehler bleiben eine der grössten Sicherheitslücken. Um dich und deine Organisation besser zu schützen ist es wichtig, Lösungen zum Management menschlicher Risiken einzuführen. Erfahre mehr über unsere Security-Awareness / Human Risk Management Dienstleistungen, mit der das Menschliche Risiko mit minimalem Aufwand reduziert werden kann.

Zusätzliche Informationen

Der Identity Management Day wurde 2021 von der Identity Defined Security Alliance (IDSA) und der National Cybersecurity Alliance (NCA) gegründet.
Der Tag zielt darauf ab, Führungskräfte in Unternehmen, IT-Entscheider und die Öffentlichkeit über die Bedeutung des Identitätsmanagements und der Sicherung digitaler Identitäten aufzuklären.

Kostenlose 14-Tage Testversion

Unverbindlich testen

KI-Sicherheitsrisiken: So bleiben Unternehmen konform

Wed, 26 Mar 2025 11:54:00 +0100

Künstliche Intelligenz (KI) verändert die Art und Weise wie Unternehmen arbeiten. Sie bringt Effizienz, Automatisierung und Innovation in viele Branchen. Doch mit der zunehmenden Nutzung steigen auch die Sicherheitsrisiken und Compliance-Herausforderungen. Ohne klare Richtlinien können Unternehmen schnell mit Datenpannen, Gesetzesverstössen oder einem Image-Schaden konfrontiert sein.

In diesem Blog erfährst du:

Welche Sicherheitsrisiken KI mit sich bringt
Warum eine KI-Compliance-Strategie wichtig ist
Wie du KI-Risiken richtig einordnest
Wie uPolicy die Einhaltung von Vorschriften erleichtert

Die grössten KI-Sicherheitsrisiken für Unternehmen

KI birgt einige Herausforderungen, die Unternehmen nicht ignorieren sollten:

Datenschutzrisiken: Mitarbeitende könnten unbeabsichtigt sensible Unternehmens- oder Kundendaten in KI-Tools eingeben und damit gegen Datenschutzgesetze wie die DSGVO oder das CCPA verstossen.
Ungeregelte KI-Nutzung: Ohne klare Vorgaben können Mitarbeitende nicht zugelassene KI-Anwendungen nutzen, was Sicherheitslücken und ungewollte Datenweitergabe begünstigt.
KI-generierte Fehlinformationen: Automatisch erstellte Inhalte können ungenau oder irreführend sein und der Glaubwürdigkeit des Unternehmens schaden.
Herausforderungen bei der Compliance: KI-Tools müssen branchenspezifische Vorschriften erfüllen. Doch vielen Unternehmen fehlen klare Richtlinien für eine sichere Nutzung.

Warum eine KI-Compliance-Strategie wichtig ist

Ohne eine klare KI-Governance setzen sich Unternehmen Cyber-Bedrohungen, rechtlichen Konsequenzen und Betriebsunterbrüchen aus. Eine solide Strategie sollte festlegen:

Wer KI-Tools nutzen darf und unter welchen Bedingungen
Richtlinien zum Umgang mit sensiblen Daten
Prüfanforderungen für KI-generierte Inhalte
Konsequenzen bei Nichteinhaltung und Meldeprozesse für Verstösse

KI-Risiken richtig einordnen

Um KI sicher und verantwortungsvoll einzusetzen, sollten Unternehmen ihre Anwendungen je nach Risiko, Datensensibilität und Auswirkungen auf den Betrieb klassifizieren:

Niedriges Risiko

Interne KI-Tools für nicht kritische Aufgaben, z. B. Rechtschreibprüfungen oder Datenvisualisierung.
Nutzung erlaubt, solange keine sensiblen Daten eingegeben werden.

Mittleres Risiko

Extern gehostete KI-Systeme für interne Prozesse wie Chatbots oder automatisierte Berichte.
Mitarbeitende müssen sicherstellen, dass keine geschäfts- oder kundensensiblen Daten eingegeben werden.
Externe KI-Anwendungen, wie KI-gestützter Kundenservice, benötigen Genehmigung durch IT und Compliance.

Hohes Risiko

KI für geschäftskritische Prozesse oder sensible Daten, z. B. Finanzanalysen, Personalentscheidungen oder rechtliche Automatisierung.
Benötigt Überwachung durch IT-, Sicherheits- und Compliance-Teams.
Einsatz nur nach strengen Tests und Freigabe für Entscheidungen mit Auswirkungen auf Kunden, Mitarbeitende oder Finanzen.

Durch eine klare Klassifizierung lassen sich Risiken minimieren, ohne die Vorteile von KI zu verpassen.

Vereinfachte Compliance mit der Manguito Richtlinienverwaltung

Die manuelle Verwaltung von KI-Richtlinien ist ineffizient und führt schnell zu veralteten Vorschriften oder mangelnder Nachverfolgbarkeit. Mit der automatisierten Richtlinienverwaltung von Manguito sorgst du dafür, dass Compliance keine einmalige Aufgabe, sondern ein kontinuierlicher, kontrollierter Prozess ist.

Mit der Richtlinienverwaltung können Unternehmen:

Alle KI- und Sicherheitsrichtlinien zentral verwalten
Richtlinienfreigaben mit eSignaturen und Compliance-Tracking automatisieren
Versionskontrolle gewährleisten, damit immer die neuesten Richtlinien gelten
Automatische Updates versenden, um Mitarbeitende informiert und involviert zu halten
Einen klaren Prüfpfad für Audit- und Risikomanagement erstellen

Mit der Manguito Richtlinienverwaltung bleibt die KI-Governance effizient, skalierbar und gesetzeskonform.

Mehr über die Manguito Richtlinienverwaltung erfahren

Regelwerk für KI-Sicherheit und Compliance

Mit dem Regelwerk erhalten Sie eine anpassbare Grundlage für die KI-Richtlinien in Ihrem Unternehmen.

Basisrichtlinie für die KI-Nutzung in Ihrem Unternehmen

Sie können Ihr Logo hinterlegen

Anpass- und erweiterbar

Regelwerk heunterladen

So erhalten Sie Budget für Security-Awareness Trainings

Wed, 04 Sep 2024 13:11:00 +0200

Budget für Cybersicherheit und insbesondere für Mitarbeitertrainings zu erhalten kann herausfordernd sein. Das liegt daran, dass präventive Massnahmen oft als Kostenfaktor betrachtet werden und dadurch so gering wie möglich gehalten werden sollen. In diesem Artikel zeigen wir Möglichkeiten, wie Sie das notwendige Budget erhalten können, um eine neue Security-Awareness Lösung in Ihrem Unternehmen einzuführen. Folgende Schritte sind dazu notwendig:

Zeigen Sie auf, dass Sicherheitsschulungen ein kosteneffizientes Instrument zur Risikominimierung sein können
Veranschaulichen Sie mittels Daten, welche Kosten ein Sicherheitsvorfall verursachen kann
Führen Sie eine Phishing-Simulation mit Ihren eigenen Endbenutzern durch
Erinnern Sie das Management an die regulatorischen Verpflichtungen
Schätzen Sie ab, wie viel Geld eine Security-Awareness-Lösung Ihrem Unternehmen einsparen könnte

Sicherheitsschulungen als kosteneffizientes Instrument zur Risikominimierung

Die grösste Schwierigkeit Budget für eine Security-Awareness-Lösung zu erhalten liegt darin, die Unternehmensführung davon zu überzeugen, dass es sich bei solchen Trainings nicht nur um einen Kostenfaktor handelt. Um erfolgreich ein überzeugendes Argument für Security-Awareness-Trainings vorzubringen, müssen Sie aufzeigen, dass solche Schulungen dem Unternehmen kein Geld kosten, sondern genau das Gegenteil bewirken. Die Einführung eines Schulungsprogramms wird dem Unternehmen Geld sparen – und gleichzeitig seinen Ruf bei Kunden und Partnern schützen.

Menschliches Risiko ist einer der Hauptfaktoren für Cybervorfälle. In den folgenden Abschnitten sehen wir uns an, wie Sie mit Statistiken und Risikodaten Ihrer eigenen Organisation ein starkes Argument für Sicherheitsbewusstseinsschulungen als Form des Risikomanagements für menschliche Faktoren formulieren können.

Die Kosten eines Sicherheitsvorfalls

Sicherheitsverletzungen sind teuer. IBM schätzt, dass die durchschnittlichen Kosten einer Datenpanne inzwischen bei 4,88 Millionen US-Dollar liegen. Die Summe kann jedes Unternehmen für sich selbst interpretieren. Sie zeigt jedoch, dass die Kosten hoch sind und nicht einfach ignoriert werden sollen. Es ist wichtig, Ihrem Management solche Zahlen zu präsentieren, aber ebenso sollten Sie den Zusammenhang zwischen menschlichem Versagen und Cyberangriffen hervorheben.

95% aller erfolgreichen Cyberangriffe starten mit menschlichem Versagen. Dazu gehört, dass Mitarbeitende auf Phishing-E-Mails hereinfallen, bösartige Websites besuchen und es versäumen, ihre Betriebssysteme und Applikationen auf dem neuesten Stand zu halten. Wenn Sie menschliches Versagen als Faktor angehen, könnten Sie die Wahrscheinlichkeit eines kostspieligen Sicherheitsvorfalls in Ihrem Unternehmen erheblich verringern.

Phishing-Simulation in Ihrem Unternehmen

Mit einer Phishing-Simulation in Ihrem Unternehmen können Sie aufzeigen, wie anfällig Ihre eigenen Endbenutzer für menschliches Versagen sind. Mit bereits einem kompromittierten Benutzer können Daten exfiltriert und Zugriff auf weitere Systeme verschafft werden. Mit realen Daten von Ihrem Unternehmen können Sie aufzeigen, dass eine Security-Awareness-Lösung notwendig ist. Füllen Sie folgendes Formular aus, um eine kostenlose Simulation zu starten.

Kostenloses Assessment

Möchten Sie wissen, wie hoch das Menschliche Risiko in Ihrem Unternehmen ist? Melden Sie sich an und wir erstellen ein kostenloses Assessment.

Dark Web Scan

Realistische Phishingsimulation

Bericht inkl. Human Risk Score

Aktionsplan

Regulatorische Verpflichtungen

Unabhängig von der Branche oder dem Land Ihres Unternehmens besteht eine hohe Wahrscheinlichkeit, dass es mindestens eine Zertifizierung, Regulatorien oder eine Datenschutzverordnung gibt, mit denen Sie konform sein müssen. Ob es sich dabei um Finanz-, Gesundheits- oder personenbezogene Daten handelt – die Verletzung sensibler Daten kann zu schwerwiegenden regulatorischen Massnahmen oder hohen Geldstrafen für Ihr Unternehmen führen.

Es sind jedoch nicht nur die direkten Strafmassnahmen der Regulierungsbehörden, über die sich Ihr Unternehmen Sorgen machen sollte. Eine Verletzung von personenbezogenen oder sensiblen Daten könnte dem Ruf des Unternehmens ernsthaften und langanhaltenden Schaden zufügen. Dies kann schwieriger und teurer zu bewältigen sein als jede Geldstrafe.

Security-Awareness Schulungen helfen Ihnen, den Ruf Ihres Unternehmens bei Kunden und Partnern zu schützen, indem sie die Wahrscheinlichkeit eines schwerwiegenden Cyberangriffs verringern. Ihr Management und Ihre Kunden werden ruhiger schlafen, wenn Ihre Endbenutzer wissen, wie sie die persönlichen Daten Ihrer Kunden schützen können. Ausserdem senken Sie das Risiko einer schweren Sicherheitsverletzung.

So viel Geld kann Ihnen eine Security-Awareness-Lösung einsparen

Recherchieren Sie die regulatorischen Rahmenbedingungen, Compliance-Anforderungen oder Vorgaben für ISO-Zertifizierungen, die für Ihr Unternehmen gelten. Überlegen Sie, wie viel eine Sicherheitsverletzung kosten könnte. Berücksichtigen Sie dabei Geldstrafen, Reputationsschäden, Datenverlust, Systemstillstand, IT-Kosten etc... Der Reputationsschaden, der durch eine Sicherheitsverletzung entstehen kann, ist langfristig am teuersten zu bewältigen. Kein Unternehmen kann langfristig erfolgreich sein, wenn die Kunden dem Unternehmen nicht vertrauen. Mit dem Abwägen der potentiellen Kosten sowie aller vorherigen Punkten haben Sie überzeugende Argumente, Budget für Security-Awareness-Training zu erhalten.

Teil 3/3: Best Practises und Mitarbeitertraining in der Praxis

Wed, 14 Aug 2024 14:42:00 +0200

Im ersten Teil dieser Serie haben wir uns damit beschäftigt, weshalb KMU interessante Ziele für Cyberangriffe sein können. Im zweiten Teil zeigen wir Massnahmen auf, wie Sie Ihr KMU schützen können. Im letzten Teil zeigen wir, wie Sie einige dieser Massnahmen in der Praxis umsetzen können und welche Tools dafür in Frage kommen. Für einige Praxistipps wählen wir Microsoft 365, da es sich um einen weit genutzten Dienst im Schweizer KMU-Umfeld handelt. Wir gehen von einer Microsoft 365 Business Premium Lizenzierung aus, da diese Lizenz für Firmen unter 300 Mitarbeitenden der beste Wert fürs Geld liefert.

Mitarbeitende sensibilisieren und das Sicherheitsbewusstsein fördern (Prävention)

Microsoft selbst bietet eine Security-Awareness Plattform. Diese ist im Vergleich zur Konkurrenz jedoch teuer. Wir bieten mit Manguito eine günstigere Alternative mit Integration zu M365, sodass bspw. das On- und Offboarding von Mitarbeitenden vollständig automatisiert werden kann. Melden Sie sich einfach für eine Produktdemo an.

Schulungen

Schulungen sollten kontinuierlich stattfinden und auf die individuellen Schwächen und Bedrohungen abgestimmt sein. Einige Tipps für effektive Schulungen sind:

Interaktive Trainings: Nutzen Sie Simulationen und Rollenspiele, um reale Szenarien nachzustellen.
Phishing-Simulationen: Führen Sie regelmässige Phishing-Tests durch, um die Wachsamkeit der Mitarbeiter zu überprüfen.
E-Learning-Plattformen: Setzen Sie auf flexible, digitale Lernplattformen wie Manguito, die es Mitarbeitern ermöglichen, in ihrem eigenen Tempo zu lernen.

Sensibilisierungskampagnen

Neben Schulungen können auch kleinere Sensibilisierungskampagnen helfen, das Sicherheitsbewusstsein zu erhöhen. Stellen Sie bspw. Infoposter im Pausenraum zur Verfügung. Gerne stellen wir Ihnen Vorlagen zur Verfügung.

Belohnungen

Damit die Schulungen auch langfristig absolviert werden, sollten Sie Mitarbeitende durch ein Belohnungssystem für sicheres Verhalten motivieren:

Werten Sie Daten aus Ihrer Plattform aus und prämieren Sie sicheres Verhalten.
Für erfolgreich absolvierte Trainingseinheiten und richtig erkannte Phishing-Simulationen stellt Manguito Zertifikate zur Verfügung.

Einbinden des Managements

Weiter sollte die Führungsebene ein Vorbild in Sachen Cybersicherheit sein und aktiv an Schulungen und Sensibilisierungsmassnahmen teilnehmen. Weiter kann die Bedeutung von Cybersicherheit in Meetings und Event herhorgehoben werden.

Zu guter Letzt: Schaffen Sie eine Kultur, in der Sicherheitsvorfälle und -risiken offen kommuniziert werden können.

Nutzen von Mehrfaktorauthentifizierung

M365 Conditional Access Policies (Bedingter Zugriff) sind ein mächtiges Tool, den Zugriff zu Systemen, Diensten und Applikationen granular zu steuern. Damit können Sie auch einzelne Mitarbeitende oder ganze Gruppen mit MFA zu schützen. Microsoft stellt Vorlagen für die gängigsten Richtlinien bereit. Bspw. kann so für jedes Login MFA erzwungen werden. Praxistipp: Wenn Sie aktivieren, dass das Registrieren von MFA-Geräten eine erneute Bestätigung von MFA erfordert, haben wir bei neuen Mitarbeitenden ein Problem. Denn diese haben noch kein Gerät für die Bestätigung hinterlegt. Sie können hierfür mit Temporary Access Codes (TAP) arbeiten oder eine dynamische Gruppe erstellen, die von der MFA-Bestätigung ausgeschlossen ist. Die Gruppe beinhaltet bspw. alle User, die innerhalb der letzten 14 Tage eingetreten sind.

Datenverschlüsselung

Verschlüsseln Sie Ihre Daten und Computer. Für Windows steht Ihnen Bitlocker zur Verfügung, welches via Gruppenrichtlinien oder Intune / Endpoint Manager konfiguriert werden kann. Datenablagen in SharePoint sind von Hause aus verschlüsselt. Den lokalen Fileserver können Sie ebenfalls mit Bitlocker oder anderen Tools wie Cryptomator absichern. Wichtig: Virtuelle Maschinen sind für Bitlocker einige zusätzliche Konfigurationen notwendig.

Netzwerk absichern

Alle Systeme die vom Internet erreichbar sind empfehlen wir, diese in eine DMZ-Zone zu setzen. Weiter sollte das WLAN und LAN wieder eigene Zonen sein. Je nach Nutzung von Telefonen, Überwachungskameras oder anderen Geräten kann eine weitere Zone sinnvoll sein.

Zugriffe kontinuierlich überprüfen

Mittels den oben beschriebenen Conditional Access Policies können neben MFA auch Zugriffe auf M365, interne oder externe Ressourcen abgesichert werden. So kann bspw. der Zugriff auf gewisse Quellsysteme eingeschränkt oder erneutes MFA verlangt werden.

Systeme und Software aktuell halten

Ein RMM-Tool wie PDQ, Atera oder NinjaOne vereinfacht das Patching von Computern, Servern und Applikationen. Setzen Sie ein solches Tool ein, konfigurieren Sie Wartungsfenster und automatisieren Sie so die Updateinstallation. Wichtig: Trotz aller Automatismen ist eine manuelle Kontrolle in regelmässigen Abständen sinnvoll.

Zugriffsrechte vergeben

Für lokale Datenablagen ist es sinnvoll, Berechtigungen nur auf den obersten zwei Ebenen zu vergeben. Nur so kann der Überblick behalten werden. Arbeiten Sie mit Gruppen und Rollen. Mitarbeitende sind Mitglieder von Gruppen, Gruppen wiederum von Rollen und Rollen sind effektiv auf dem Fileshare berechtigt. In SharePoint Online können Sie ebenfalls Rechte vergeben aber auch mit Dokumentenlabels arbeiten.

Antivirenschutz einsetzen

Verknüpfen Sie Ihre Computer und wenn notwendig auch Smartphones mit Microsoft Endpoint Manager (ehem. Intune). Dieses kann durch eine spezielle Richtlinie mit Windows Defender, welcher auf jedem Windows-System vorinstalliert ist, sprechen. So sehen Sie zentral in M365 den Sicherheitsstatus aller verwalteten Geräte, werden bei einer verdächtigen Aktivität benachrichtigt und können sofort Massnahmen vornehmen.

Daten sichern

Für die Datensicherung empfehlen wir VEEAM und VEEAM for M365. Behalten Sie drei Kopien der Daten:

Produktivdaten
Backup
Kopie des Backups an einen zweiten, unabhängigen Standort

Stellen Sie sicher, dass die Daten im Backup nicht verändert werden können (auch nicht von internen Mitarbeitenden, Stichwort "Insider Protection"). Stellen Sie durch regelmässige Restore-Tests sicher, dass die Daten auch wiederhergestellt werden können. Bestenfalls haben Sie einen Notfallplan zur Hand damit Sie wissen, was bei einem Vorfall wie wiederhergestellt werden kann.

Fazit

Der Schutz vor Cyberangriffen erfordert eine ganzheitliche Strategie, die sowohl technische Massnahmen als auch die kontinuierliche Schulung der Mitarbeiter umfasst. Durch die Implementierung von Best Practices und gezielten Trainings können KMU ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen erheblich erhöhen. Dabei ist es wichtig, dass Sicherheitsmassnahmen und Schulungen regelmässig überprüft und angepasst werden, um stets auf dem neuesten Stand der Technik und Bedrohungslage zu sein. Viele Massnahmen lassen sich ohne grossen Aufwand implementieren und bieten einen guten Schutz gegen Cyberangriffe.

In dieser dreiteiligen Serie haben wir aufgezeigt, warum KMU attraktive Ziele für Cyberangriffe sind, welche Massnahmen für die Risikoreduktion ergriffen werden können und wie durch Best Practices und effektive Mitarbeiterschulungen eine nachhaltige Sicherheitskultur geschaffen werden kann. Nehmen Sie Cybersicherheit ernst – denn auch kleine und mittlere Unternehmen sind nicht vor Angriffen gefeit.

Kostenloses Assessment

Möchten Sie wissen, wie hoch das Menschliche Risiko in Ihrem Unternehmen ist? Melden Sie sich an und wir erstellen ein kostenloses Assessment.

Dark Web Scan

Realistische Phishingsimulation

Bericht inkl. Human Risk Score

Aktionsplan

Teil 2/3: So schützen Sie Ihr KMU gegen Cyberrisiken

Wed, 07 Aug 2024 14:13:00 +0200

Im ersten Teil dieser Serie haben wir uns damit beschäftigt, weshalb KMU interessante Ziele für Cyberangriffe sein können. Im zweiten Teil zeigen wir Massnahmen auf, wie Sie Ihr KMU schützen können. Dabei berücksichtigen wir einige Gründe aus dem ersten Teil. Über 40% aller Cyberattacken in der Schweiz zielen auf KMU ab und bei jedem dritten Unternehmen sind solche Angriffe erfolgreich. Der Schaden kann aufgrund von Betriebsunterbruch, Datenverlust oder Reputationsschaden schnell sehr gross werden. Deshalb ist es wichtig, dass sich Unternehmen proaktiv gegen Cyber-Angriffe schützen. Doch wie? Vorweg: Vollständiger Schutz gegen Cyber-Angriffe gibt es nicht. Trotzdem lässt sich mit folgenden Punkten das Risiko Opfer eines erfolgreichen Angriffs zu werden minimieren:

Mitarbeitende sensibilisieren und das Sicherheitsbewusstsein fördern (Prävention)

Bei ca. 90% aller Sicherheitsvorfällen ist der Faktor Mensch involviert. Angriffe starten typischerweise mittels Phishing oder Social Engineering. Deshalb ist es ratsam, Mitarbeitende regelmässig über solche Gefahren zu informieren und zu prüfen. Achten Sie darauf, dass Ihre Mitarbeitenden wiederkehrend auf ihren individuellen Schwächen geschult und getestet werden. Jährliche Trainings verfehlen die Wirkung. Ein Anbieter für wiederkehrende Trainings ist Ma nguito.

Nutzen von Mehrfaktorauthentifizierung

Mittels gestohlenen oder durch Phishing-Angriffe erbeuteten Zugangsdaten gelangen Angreifer auf Ihre IT-Systeme. Die Nutzung eines zweiten Faktors wie Mobiltelefon, Smartcard oä. erschweren den Zugang. Denn nur wer Zugangsdaten und den zweiten Faktor besitzt, kann auf ein System zugreifen. Deshalb ist die Mehrfaktorauthentifizierung ein äusserst wirkungsvoller Schutz. Viele Schweizer KMU setzten auf Microsoft 365. Mit den Abo "Business Premium" ist ein umfangreicher Mehrfaktorauthentifizierungsschutz bereits inbegriffen.

Netzwerk absichern

Schützen Sie Ihre Netzwerke mittels Firewalls und erlauben Sie Zugriffe auf Ihr System nur von bekannten, vertrauenswürdigen Standorten auf erwünschten Netzwerk-Ports. Segmentieren Sie Ihre Netzwerke in sinnvolle Zonen, sodass die Kommunikation zwischen den Zonen eingeschränkt werden kann. So ist es beispielsweise sinnvoll, das WLAN abzuschotten. Zugriffe von zu Hause können bspw. via VPN oder Zero Trust Networking abgesichert werden.

Systeme und Software aktuell halten

Ein gerne vernachlässigter, aber wichtiger Punkt. Aktualisieren Sie Ihre IT-Systeme wie Computer, Server, Telefonanlage, Überwachungssystem, Computersoftware, Webseite etc... Bekannte Sicherheitslücken werden von Herstellern geschlossen. Wird ein Update nicht installiert, können Angreifer die bekannten Lücken einfach ausnutzen. Cloud-Lösungen übernehmen diese Aufgabe typischerweise für Sie, da der Anbieter die Systeme pflegt.

Zugriffsrechte vergeben

Nicht alle Mitarbeitenden müssen alle Daten einsehen. Schränken Sie den Zugriff auf Dateien und Systeme für jeden Mitarbeitenden auf das Minimum ein, sodass er seine Funktion erfüllen kann. So hat ein Angreifer im Falle einer erfolgreichen Attacke nur minimale Rechte.

Antivirenschutz einsetzen

Stellen Sie sicher, dass auf Computern ein Antivirenschutz installiert ist. Windows liefert einen solchen gleich mit. Den "Windows-Defender". Zusätzliche Sicherheitsfeatures werden im bereits vorher erwähnten Microsoft 365 Business Premium-Abo, welches häufig in KMU eingesetzt wird, bereits mitgeliefert.

Daten sichern

Erstellen Sie drei Kopien Ihrer Daten:

Produktivdaten
Backup
Kopie des Backups

Sichern Sie Ihre Daten regelmässig und speichern Sie diese an einem anderen Ort als ihr Büro ab (am besten in einem komplett getrennten Netz oder bei einem externen Anbieter). Stellen Sie durch regelmässige Restore-Tests sicher, dass die Daten auch wiederhergestellt werden können. Bestenfalls haben Sie einen Notfallplan zur Hand damit Sie wissen, was bei einem Vorfall wie wiederhergestellt werden kann.

IT-Verantwortliche challengen

Vertrauen ist gut, Kontrolle ist besser. Stellen Sie sicher, dass die versprochenen Dienstleistungen auch umgesetzt werden. Fragen Sie intern oder Ihren IT-Dienstleister nach Protokollen zu durchgeführten Arbeiten. Wann wurden zuletzt Updates installiert? Ist das Backup erfolgreich gelaufen? Wie sehen die letzten Warnmeldungen vom Überwachungssystem aus? Welche User sind mit Mehrfaktorauthentifizierung geschützt? usw...

Cyberversicherung

Die Cyberversicherung bietet zwar keinen direkten Schutz, kann im Falle eines Cyberangriffs den erlittenen Schaden jedoch reduzieren.

Auf Ernstfall vorbereiten und Verantwortlichkeiten definieren

Stellen Sie sicher, dass die Verantwortlichkeiten im Ernstfall definiert sind und ein Desaster-Recovery-Plan vorhanden ist. Wie stelle ich sicher, dass während dem Vorfall mein Geschäft weiter betriebsfähig ist? Wie stelle ich meine Systeme möglichst schnell wieder her? Sind die Prioritäten der Systeme klar? Wie kommuniziere ich einen Vorfall? Im Ernstfall sind Sie froh, diese Fragen bereits vorgängig geklärt zu haben.

Kostenloses Assessment

Möchten Sie wissen, wie hoch das Menschliche Risiko in Ihrem Unternehmen ist? Melden Sie sich an und wir erstellen ein kostenloses Assessment.

Dark Web Scan

Realistische Phishingsimulation

Bericht inkl. Human Risk Score

Aktionsplan

Teil 1/3: Deshalb ist das Cyberrisiko bei KMU nicht zu unterschätzen

Wed, 31 Jul 2024 08:52:00 +0200

In dieser dreiteiligen Serie beschäftigen wir uns damit, weshalb das Risiko von Cyberangriffen bei KMU nicht zu unterschätzen ist und wie man sein Unternehmen schützen kann. Dieser Beitrag bildet die Grundlage und räumt mit Klischees auf, weshalb KMU "keine interessanten Ziele" seien. Beispiele von erfolgreichen Hacks auf Schweizer firmen gibt es genügend. In diesem Beitrag haben wir bereits eine kleine Übersicht einiger erfolgreichen Hacks in der Schweiz erstellt.

Wie steht es aktuell um Cybersicherheit bei Schweizer KMU?

Die Fachhochschule Nordwestschweiz (FHNW) hat 2023 die vierte Studie zum Thema Homeoffice und Cybersicherheit in Schweizer KMU veröffentlicht. Das Wichtigste in Kürze:

11% aller KMU mussten aufgrund eines Cyberangriffs erheblichen Aufwand betreiben, um Schäden zu beheben
55% aller befragten KMU beklagen finanzielle Schäden aufgrund eines Cyberangriffs
13% gaben an, Kundendaten verloren und Reputationsschäden erlitten zu haben
Cyberrisiken und Massnahmen gegen Cyberattacken werden als wichtig angeschaut, wobei technische Lösungen eher umgesetzt werden als organisatorische Massnahmen.

Die Risiken werden von KMU also mehrheitlich erkannt und 52% wollen in den kommenden drei Jahren Massnahmen zum Schutz gegen Cyberrisiken implementieren.

Weshalb ist die Cybersicherheit in KMU häufig schlechter als in grösseren Betrieben?

Budget: Das Budget für Schutzmassnahmen geben Cyberkriminalität bei KMU ist meist kleiner als bei Grossunternehmen.
IT als "notwendiges Übel": Die IT ist typischerweise nicht das Kerngeschäft der meisten KMU. Deshalb wird ihr häufig weniger Aufmerksamkeit geschenkt, obwohl sie wohl oder übel für die meisten KMU betriebsrelevant ist. Sicherheitslücken sind so vorprogrammiert.
Fehlendes Know-How: KMU sind typischerweise keine IT-Spezialisten. Technikaffine User oder externe Dienstleister übernehmen die Aufgabe der IT. Fehlendes internes Wissen führt zu unbewussten Cyberrisiken. Versuchen Sie folgende Fragen für sich zu beantworten: Sind die Netzwerke segmentiert? Werden Systeme regelmässig gesichert? Finden Updates statt? Wird der IT-Dienstleister kontrolliert und gechallenged? Sind unsere User durch Mehrfaktorauthentifizierung geschützt? Findet eine proaktive Systemüberwachung statt? Gibt es einen Desaster-Recovery-Plan? usw...

Weshalb sind KMU interessante Ziele von Angreifern?

"Mein Unternehmen ist für Angreifer uninteressant" oder "wir sind zu klein" sind zwei wiederkehrende Argumente, die Unternehmer und Unternehmerinnen nennen, wenn es um die Investition in Schutzmassnahmen geht. Hier einige Gründe, weswegen auf KMU interessante Ziele sein können:

Einfaches Ziel: Aufgrund der Punkte aus vorherigem Kapitel sind die Abwehrmassnahmen häufig minimal und KMU somit einfachere Ziele für Angreifer.
Lieferkette: Ich war überrascht als ich erfahren habe, wie viele Schweizer KMU in regionalen und globalen Lieferketten eine wichtige Rolle spielen. Genau deshalb kann ein KMU ein lukratives Ziel sein. Angreifer nutzen ein KMU als Einstiegspunkt für einen Angriff auf grössere Unternehmen.
Relevanz: Wie einleitend beschrieben unterschätzen KMU die Relevanz oder ihr Risiko. Eigene Datenbestände oder schlichtweg die Abhängigkeit von der eigenen Infrastruktur und Daten lassen KMU lukrative Opfer von bspw. Erpressung oder Verschlüsselungstrojaner werden.

Fazit

Schweizer KMU anerkennen, dass Cyberrisiken ein immer grösseres Thema werden. Bei der eigenen Risikoeinschätzung und Implementierung von Schutzmassnahmen besteht aber noch Luft nach oben. Aufgrund fehlendem Know-How, Budget oder IT-Fokus sind KMU häufig schlechter geschützt als grösseren Unternehmen. Genau deshalb sind KMU auch lukrative Ziele: Sie sind einfacher anzugreifen, aber trotzdem abhängig von der eigenen Infrastruktur und somit anfällig für bspw. Erpressung.

Im zweiten Teil dieser Serie gehen besprechen wir, wir sich KMU gegen Cyber-Bedrohungen effektiv schützen können.

Kostenloses Assessment

Möchten Sie wissen, wie hoch das Menschliche Risiko in Ihrem Unternehmen ist? Melden Sie sich an und wir erstellen ein kostenloses Assessment.

Dark Web Scan

Realistische Phishingsimulation

Bericht inkl. Human Risk Score

Aktionsplan

Deshalb sind Menschen die grösste Insider-Bedrohung für Ihr Unternehmen

Mon, 10 Jun 2024 11:36:00 +0200

Mitarbeitende werden seit langem als das "schwächste Glied" in der Cybersicherheitskette eines Unternehmens angesehen und auch heute ist menschliches Versagen nach wie vor die Hauptursache für Datenschutzverletzungen. Doch was macht Mitarbeitende zu einer solchen Insider-Bedrohung für Ihr Unternehmen? In diesem Artikel führen wir Sie durch die verschiedenen Arten von Insider-Bedrohungen in Ihrem Unternehmen und die Hauptgründe, warum Unternehmen Nutzer-verursachte Datenverletzung erleiden. Ausserdem geben wir Ihnen Tipps, wie Sie die oben genannten Risiken verringern können!

Was sind die verschiedenen Arten von Insider-Bedrohungen in Ihrem Unternehmen?

Laut dem Data Breach Investigation Report (DBIR) von Verizon sind über 85 % der Datenschutzverletzungen auf "das menschliche Element" zurückzuführen. Gemäss demselbigen Bericht können solche Datenschutzverletzungen auf folgende Ursachen und Faktoren zurückgeführt werden:

Fahrlässige Nutzer machen 61 % aus
Dies sind die Nutzer, die E-Mails an falsche Empfänger senden, falsche Anhänge an E-Mails anfügen oder auf einen bösartigen Link in einer Phishing-Mail klicken.
Fahrlässige Nutzer, die ihre Zugangsdaten im Dark Web preisgeben, machen 25 % aus
Obwohl diese Nutzer weniger häufig sind, sind sie gefährlicher, da sie Zugangsdaten wie Benutzernamen und Kennwörter preisgeben, die im Dark Web auftauchen. Angreifer nutzen diese verfügbaren Anmeldedaten für gezielte Angriffe, die raffinierter sind als Massen-Phishing-Angriffe.
Böswillige Benutzer machen 14 % aus
Die meisten Mitarbeiter haben keine böswilligen Absichten gegenüber ihrem Unternehmen. Leider gibt es jedoch einige, die sensible Unternehmensdaten stehlen, um sie zu verkaufen oder für andere Zwecke zu nutzen.

Warum sind Mitarbeitende eine solche Insider-Bedrohung?

Menschen machen Fehler

Jeder Mitarbeiter macht von Zeit zu Zeit Fehler, sei es, dass er eine E-Mail falsch weiterleitet oder die falsche Datei anhängt. Tatsächlich geben 43 % der Mitarbeiter an, dass sie bei der Arbeit schon einmal einen Fehler gemacht haben, der die Cybersicherheit gefährdet hat. Das Problem ist, dass selbst kleine Fehler dazu führen können, dass sensible Daten in die Hände von Cyberkriminellen oder ins Dark Web gelangen, wo sie für gezielte Angriffe verwendet werden können.

Menschen sind ein lukratives Ziel

Im Internet sind viele Informationen über Ihr Unternehmen einschliesslich Ihrer Lieferanten, Auftragnehmer und Kunden verfügbar. Dies erleichtert es Angreifern, sich als interne und externe Kontakte auszugeben. Es reicht aus, dass eine Person erfolgreich getäuscht wird, um Ihr Unternehmen zu gefährden.. Dies erleichtert es Angreifern, sich als interne und externe Kontakte auszugeben. Es reicht aus, dass eine Person erfolgreich getäuscht wird, um Ihr Unternehmen zu gefährden.

Die häufigste Technik, mit der Angreifer Mitarbeiter ins Visier nehmen, ist Phishing. Diese Angriffe haben sich weiterentwickelt und konzentrieren sich jetzt mehr auf "Spear-Phishing-Angriffe", bei denen gezielte Täuschung durch vorherige Recherche angewendet wird.

Menschen brechen Regeln

In jedem Unternehmen können Mitarbeitende die Vorschriften umgehen - sei es absichtlich oder versehentlich. Typischerweise gehen solche Regelverstösse über die Nichteinhaltung von Kennwortrichtlinien hinaus. Beispielsweise können Unternehmensdaten gestohlen und im Dark Web verkauft werden. Meistens handelt es sich jedoch um weniger böswillige Verstösse, bei denen Mitarbeitende versuchen Kosten zu senken oder Zeit zu sparen. So werden bspw. Passwörter mit Kollegen geteilt, damit kein zweites Konto für einen Systemzugang erstellt werden muss.

Wie man Mitarbeitende als Pfeiler in der Cybersicherheit integriert

Um das Cybersicherheitsproblem anzugehen, versuchen Unternehmen ihre Mitarbeitenden in jährlichen oder quartalsweisen Security-Awareness-Schulungen zu sensibilisieren. Da die ganze Belegschaft trainiert wird, werden solche Workshops jedoch schnell generisch und wenig interaktiv. Ausserdem verfliegt die Wirkung schnell, da die Schulungen in zu weit auseinanderliegenden Intervallen stattfinden.

Es sind regelmässige, kurze und auf die einzelnen Mitarbeitenden angepassten Trainingseinheiten notwendig, um die Mitarbeitenden auf dem Laufenden zu halten. Weiter soll mit regelmässigen Phishing-Simulationen das Gelernte in der Praxis getestet werden.

Aufbau einer sicherheitsbewussten Belegschaft durch Human Risk Management (HRM)

Human Risk Management (HRM) ist der moderne Ansatz für den Aufbau einer sicherheitsbewussten Belegschaft, ohne die Produktivität des Teams zu beeinträchtigen. Mit unserem vollständig verwalteten HRM-Service sind Sie in der Lage, das Cyber-Risiko für Mitarbeitende zu verstehen und durch regelmässige Schulungen, Phishing-Simulationen, Überwachung des Dark Web und vereinfachte Richtlinienprozesse zu verringern. Zum Start bieten wir Ihnen die Möglichkeit, Ihr menschliches Cyber-Risiko mit einem kostenlosen Human Risk Report (HRR) zu berechnen. In wenigen Schritten berechnen wir den Human Risk Score Ihres Unternehmens und stellen Ihnen einen klaren Aktionsplan zur Stärkung der identifizierten Risikobereiche zur Verfügung. Füllen Sie dieses Formular aus, um ein kostenloses Assessment anzufordern.

Kostenloses Assessment und Phishing-Simulation

Füllen Sie das Kontaktformular aus.
Wir scannen Ihre Domäne und das Dark Web und starten eine realistische Phishing-Simulation.
Sie erhalten einen einseitigen Human Risk Report über:
- Human Risk Score Ihres Unternehmens
- Schätzung „Time-to-breach“
- Resultate des Phishing-Angriffs
- Übersicht der Entdeckungen im Dark Web
- Schritt-für-schritt Verbesserungsplan

Wie man Risikobewertungen im Bereich der Cybersicherheit erfolgreich umsetzt

Wed, 24 Apr 2024 10:00:00 +0200

Eine Risikobewertung der Cybersicherheit ist ein wichtiges Instrument zum Schutz Ihrer Vermögenswerte, zur Ermittlung potenzieller Schwachstellen und zur Gewährleistung der Zuverlässigkeit Ihrer Dienste.

Risikobewertungen gelten als Schutzmassnahme und dienen dazu, die Risiken potenzieller Bedrohungen wie auch den Schaden im Worst-Case-Szenario zu minimieren.
Wir geben Ihnen einen fachkundigen Einblick in die Methoden der Cybersicherheits-Risikobewertungen, so dass sie für jede Organisation von Nutzen sein können.

Wir sprechen über:

Wann sollte ich meine Cybersicherheitsrisiken bewerten?

Eine Risikobewertung ist am nützlichsten, wenn sie regelmässig aber nur so oft wie nötig durchgeführt wird. Wenn Sie sie zu oft durchführen, verursachen Sie hohe Kosten und Änderungen an Ihren Systemen und Prozessen. Wenn Sie sie zu wenig durchführen, bleibt das Risiko von Cyberbedrohungen bestehen.

Die Bewertung sollte jährlich und immer bei der Einführung von neuen IT-Systemen durchgeführt werden. Besondern bei neuen Systemen sollte die Implementierung überprüft werden. Ziehen Sie ausserdem in Erwägung, die E-Mail-Sicherheit in Ihre regelmässigen Bewertungen aufzunehmen, um die Sicherheit Ihrer Kommunikationskanäle und E-Mail-Systeme zu gewährleisten.

Was sind die Vorteile einer regelmässigen Risikobewertung?

Heutzutage sind Cyber-Risiken eine der Hauptrisiken, wie Unternehmen geschädigt werden können. Die Risikobewertung ist deshalb eine Möglichkeit, um Schwachstellen zu erkennen und Massnahmen zu ergreifen. Ausserdem können Sie sich auf allfällige Kosten und Datenschutz-Fragen im Falle eines Vorfalls vorbereiten.
Eine Risikobewertung kann auch dazu beitragen, das Verständnis über die eigenen Systeme und die Kommunikation innerhalb Ihres Unternehmens zu verbessern. Je besser die Risiken und Lösungen kommuniziert werden, desto besser für alle.

Schützen Sie Ihre Daten:
Die Bewertung kann dazu beitragen, diverse für Missbrauch anfällige Bereiche in Ihrem Unternehmen zu identifizieren. Ziel ist es, den Diebstahl oder Verlust von sensiblen persönlichen Daten, Systeminformationen oder Passwörtern zu verhindern, die Ihrem Unternehmen schaden könnten.
Sicherstellung der Systemfunktionalität für Mitarbeitende:
Ein Cyberangriff kann Sie daran hindern, aktiv am Geschäft teilzunehmen. Wenn bspw. Ihre IT-Plattform beschädigt wird oder nicht mehr erreichbar ist, können Mitarbeitende nicht mehr auf dem System arbeiten und es besteht ein hohes Risiko von Gewinn- und Produktivitätseinbussen. Eine Risikobewertung kann Sie auf solche Fälle vorbereiten.
Vorgaben des Regulators einhalten:
Es muss sichergestellt werden, dass Sie und Dienste die Sie nutzen Ihren gesetzlichen Verpflichtungen nachkommen.
Langfristige Kostenwirksamkeit:
Es ist kaum messbar, wieviel Geld Sie durch das Schliessen von in der Risikobewertung erkannten Sicherheitslücken einsparen. Es wird jedoch davon ausgegangen, dass langfristig damit Geld gespart wird.

Welche Formen der Risikobewertung gibt es?

Es gibt im Wesentlichen zwei Möglichkeiten für die Durchführung von Risikobewertungsprüfungen: Intern und Extern. Je nach Budget ist die eine oder andere Methode sinnvoller. Oft ist es jedoch ratsam eine interne und externe Risikobewertung durchzuführen.

Intern:
Jedes Unternehmen sollte entweder intern oder über den IT-Dienstleister auf geschulte Mitarbeiter zugreifen können, die in der Lage sind, ihre eigene Risikobewertung durchzuführen. Dies ist die kostengünstigere Variante, da diese Mitarbeitenden entweder intern sind oder ihre Infrastruktur bestens kennen. Ein Vorteil: Ein internes Team kennt die Zusammenhänge der einzelnen Systeme und kann so besser über die einzelnen Risiken beurteilen. Jedoch besteht das Risiko der Betriebsblindheit oder im Falle eines IT-Dienstleisters der Gesichtsverlust.
Extern:
Ganz gleich ob Sie einfach nur eine zweite Meinung einholen möchten oder intern nicht auf die notwendigen Ressourcen zugreifen können: Eine externe und unabhängige ist die beste Möglichkeit, eine Risikobewertung der Cybersicherheit durchzuführen. Denn anders als intern, ist ein externer Dienstleister auf solche aufgaben spezialisiert und kann auf Erfahrung zurückgreifen. Ausserdem kann er Systeme in einem anderen Blickwinkel betrachten.

Welche potenziellen Risiken können die Bewertungen aufzeigen?

Risiken werden in folgende drei Kategorien aufgeteilt:

Schwachstellen:
Als Schwachstelle gilt eine Lücke in Ihren Systemen, die dazu genutzt werden könnte, auf Ihre Daten zuzugreifen, Vermögenswerte zu stehlen oder andere Angriffe durchzuführen. Die Schwachstellen werden nach Wahrscheinlichkeit der Ausnutzung sowie Höhe des potenziellen Schadens eingestuft. Zum Schluss werden mögliche Massnahmen zur Reduktion des Risikos aufgezeigt. Es ist wichtig, dass Risikobewertungen auch aktuell bekannte Schwachstellen berücksichtigen.
Bedrohungen:
Damit sind alle potenziellen Bedrohungen gemeint, die für Ihr Unternehmen spezifisch sind. Dazu können unter anderem Malware, Cyberangriffe, Phishing, Insider oder Ransomware gehören.
Assets:
Bei der Bewertung wird die Notwendigkeit über Schutz jedes einzelnen Assets bewertet. Unter Assets wird alles verstanden, was für Ihr Unternehmen von Wert ist, einschliesslich Mitarbeitende, Produkte, Ressourcen, Systeme oder sogar Ethik. Assets können einen Buchwert besitzen oder sonstige Vorteile für Ihr Unternehmen darstellen. Daher ist es von entscheidender Bedeutung diese zu identifizieren, die Wichtigkeit zu bewerten und sie dann entsprechend zu schützen.

Wie wird eine Risikobewertung durchgeführt?

Im Folgenden sind die acht Schritte aufgeführt, aus denen eine Risikobewertung im Bereich der Cybersicherheit besteht:

Die wertvollsten und kritischsten Assets ermitteln:
In einem ersten Schritt müssen die wichtigsten Assets identifiziert werden. Dazu gehören Mitarbeitende, Büros, IT-Systeme, Daten und Datenbanken uvm... So kann für die restliche Bewertung Zeit und Geld gespart werden. Alles zu schützen ist aufgrund der hohen Kosten oft unmöglich.
Identifizierte Assets bewerten:
Die im ersten Schritt identifizierten Assets werden auf ihre Wichtigkeit gewichtet und definiert, wie stark sich die Risikobewertung mit den einzelnen Assets befassen soll.
Identifizieren von Bedrohungen:
Das bringt uns zur Identifizierung von Bedrohungen. Die Kenntnis Ihrer potenziellen Bedrohungen gibt Ihnen Aufschluss darüber, welche Änderungen Sie an Ihren Sicherheitssystemen und -Prozessen vornehmen. Zu den Bedrohungen können menschliches Versagen, Insider, Systemausfälle, kriminelle Bedrohungen - auch im Zusammenhang mit dem Dark Web-, Missbrauch von Informationen und Daten, Unterbrechung von Diensten oder sogar Schäden durch Naturkatastrophen gehören. Diese Bedrohungen werden dann nach dem Ausmass des potenziellen Schadens eingestuft, den sie verursachen können.
Ranking der Bedrohungen:
Die im vorherigen Schritt identifizierten Bedrohungen werden weiter eingegrenzt und wiederum auf Wahrscheinlichkeit und potenziellen Schaden eingestuft. So können dann entscheiden, wohin das Schutzbudget fliessen soll.
Analyse:
Als Nächstes müssen wir alle gesammelten Informationen auswerten und herausfinden, welche Massnahmen zur Minderung der Risiken ergriffen werden können. Dies könnten neue Authentifizierungsverfahren, Personalschulungen, Sicherheitssensoren in Gebäuden, physische Schlösser oder Softwarelösungen sein.
Wahrscheinlichkeit und Auswirkungen potenzieller Bedrohungen:
Auch hier muss die Liste der Bedrohungen auf der Grundlage der Auswirkungen der Bedrohung verfeinert werden. Angenommen es kommt zu einer Datenpanne. Welche Verfahren hat Ihr Unternehmen für solche Fälle vorgesehen? Dies könnte bedeuten, dass Sie eine Versicherung abschliessen und Mittel zur Deckung der Kosten bereitstellen müssen oder Sie können ermitteln, wie viel Geld Sie für präventive Sicherheitsmassnahmen ausgeben sollten.
Risikopriorisierung auf der Grundlage von Kosten und Wert:
Sie müssen den Wert eines Assets (sowohl in finanzieller Hinsicht als auch in Bezug auf den Ruf) ermitteln und dann die Kosten für seinen Schutz bestimmen. Wenn die Kosten geringer sind als der Wert, sollten Massnahmen ergriffen werden.
Bericht erstellen:
Der letzte Schritt jeder Risikobewertung besteht darin, einen umfassenden Bericht über die gesammelten Informationen und Einstufungen zu erstellen. Im Bericht werden die Risiken, Schwachstellen und Wertbeurteilungen behandelt und auch die empfohlenen Optionen aufgeführt.

Abschliessende Gedanken zu Risikobewertungen

Die Durchführung einer Risikobewertung im Bereich der Cybersicherheit ist für den Schutz eines jeden Unternehmens von entscheidender Bedeutung. Wenn Sie die grössten Risiken, denen Ihr Unternehmen ausgesetzt ist, nicht erkennen und sich nicht dagegen schützen, kann grosser Schaden entstehen. Deshalb ist es wichtig, die Risiken regelmässig nach Wert und Kosten zu bewerten, anzugehen und zu mindern.

Kostenloses Assessment und Phishing-Simulation

Füllen Sie das Kontaktformular aus.
Wir scannen Ihre Domäne und das Dark Web und starten eine realistische Phishing-Simulation.
Sie erhalten einen einseitigen Human Risk Report über:
- Human Risk Score Ihres Unternehmens
- Schätzung „Time-to-breach“
- Resultate des Phishing-Angriffs
- Übersicht der Entdeckungen im Dark Web
- Schritt-für-schritt Verbesserungsplan

Neues Feature: Phishing mit Anhängen

Wed, 21 Feb 2024 09:28:00 +0100

Mit der neuen Funktion lassen sich ganz neue Arten von Angriffssimulationen starten. E-Mails mit Anhängen können verschickt und das Öffnen von Anhängen überwacht werden.

Warum müssen sich IT-Verantwortliche mit dem Risiko von Attachment-Phishing befassen?

Attachment-Phishing, eine Methode, bei der Angreifer Malware oder bösartige Links in E-Mail-Anhängen verstecken. Diese Methode stellt ein erhebliches Risiko für heutige Unternehmen dar. Wie die nachstehenden Statistiken zeigen, klicken Endbenutzer mit grösserer Wahrscheinlichkeit auf einen schädlichen E-Mail-Anhang als auf einen Link in einer Phishing-E-Mail.

20% öffnen einen Anhang
12% klicken auf einen gefährlichen Link
4% geben Zugangsdaten auf einer gefälschten Webseite ein

Diese E-Mails gaukeln Vertrauenswürdigkeit vor, indem sie sich als bekannte Marke, Bestandeskunde oder ähnlich ausgeben. Riskant sind auch Spear-Phishing-Angriffe (hochgradig auf den Empfänger personalisiert), da in Benutzer in solchen Fällen E-Mail-Anhänge besonders gerne öffnen und somit Ihre IT-Sicherheit gefährden. Das Trainieren der Benutzer über das Erkennen und Reagieren auf diese Bedrohungen ist von grösster Bedeutung, da diese Angriffe die menschliche Neugier und das Vertrauen ausnutzen, um die Sicherheitsvorkehrungen von Unternehmen zu durchbrechen.

Genauere Einblicke in Phishing-Risiken durch unterschiedliche Angriffstechniken

Die neue Funktion ermöglicht dem IT-Personal oder dem IT-Dienstleister das Risiko "E-Mail-Anhang" zu messen und zu visualisieren. Gezielte in der Plattform integrierte Trainings helfen dabei, Endnutzer zu schulen und sensibilisieren.

Wir unterstützen Sie dabei mit vorgefertigten, realistischen Templates. Die Templates gehen dabei auf obige Punkte ein: Vorgaukeln einer Marke und Spear-Phishing. So können Sie sich Zeit und Ressourcen sparen.
Soll es doch individueller sein, können Sie selbst massgeschneiderte Phishing-Simulationen erstellen. Erstellen Sie einfach eine E-Mail-Vorlage und laden Sie Ihre Anhänge hoch.
Überwachen Sie die Kompromittierungsrate der Simulationen. Egal ob Sie eine eigene Simulation erstellt oder unsere Templates verwendet haben. Verfolgen Sie, wie viele Benutzer den Anhang herunterladen oder auf einen Link innerhalb des Anhangs klicken, der auf eine gefälschten Phishing-Landingpage führt, die die Übermittlung von Anmeldedaten an einen böswilligen Akteur imitieren soll.

Klären Sie Mitarbeitende über das Risiko "E-Mail-Anhang" auf

Ergänzend zu der praxisnahen Simulation können Mitarbeitende mittels zwei neuen Kursen geschult werden. Die Kurse vermitteln Wissen, wie Attachment-Phishing erkannt und vermieden werden kann.

Kurs Nr. 1 - Attachment-Phishing: Dieser Kurs wurde entwickelt, um alle Benutzer proaktiv zu schulen, indem er Einblicke und Tipps zum Schutz bietet.
Kurs Nr. 2 - Attachment Phishing Micro Training: Entwickelt, um Benutzer, die eine Phishing-Simulation mit Anhängen nicht bestanden haben darüber aufzuklären, was sie verpasst haben und wie sie verhindern können, in Zukunft gefährdet zu werden.

Setzen Sie auf proaktive Sicherheit mit Manguito

Diese neue Funktion erweitert die Möglichkeiten zum Erkennen und Beheben von Schwachstellen in Unternehmen. IT-Personal, Manager und IT-Dienstleister steht ein leistungsstarkes Tool zur Verfügung, mit dem sie nicht nur die Schwachstellen ihrer Organisation testen, sondern auch ihre Teams schulen und befähigen können, die erste Verteidigungslinie gegen Cyber-Bedrohungen zu sein.

Noch heute loslegen

Entdecken Sie die neue Phishing-Simulation für Anhänge und die dazugehörigen Kurse, um eine widerstandsfähige und informierte Belegschaft aufzubauen, die in der Lage ist, sich gegen die trügerischsten Angriffe zu verteidigen.

Bestandeskunden: Melden Sie sich einfach im Portal an und legen Sie gleich noch
Noch kein Kunde?: Gerne können Sie ein kostenloses Beratungsgespräch buchen oder gleich selbst eine 14-Tägige kostenlose Testphase starten.

Kostenloses Assessment und Phishing-Simulation

Füllen Sie das Kontaktformular aus.
Wir scannen Ihre Domäne und das Dark Web und starten eine realistische Phishing-Simulation.
Sie erhalten einen einseitigen Human Risk Report über:
- Human Risk Score Ihres Unternehmens
- Schätzung „Time-to-breach“
- Resultate des Phishing-Angriffs
- Übersicht der Entdeckungen im Dark Web
- Schritt-für-schritt Verbesserungsplan