Vom Sicherheitsrisiko Mitarbeiter zum Sicherheitsfaktor Mitarbeiter
Michael Hirschmann
Presales Manager / Senior Presales Engineer
Bedrohungslage
Kaspersky | Allgemein
1EIN NEUER VIRUS PRO STUNDE
1994
1EIN NEUER VIRUS PRO MINUTE
2006
1EIN NEUER VIRUS PRO SEKUNDE
2011
> 360.000NEUEVARIANTEN TÄGLICH
2018
Wie gelangt Malware u.a. ins Firmennetz ?
Kaspersky | Allgemein
Exploit-Kits
SozialeNetzwerke
USB
Das Problem
Kaspersky | Allgemein
Menschen sind das schwächste Glied in der Cybersicherheit
52% der Unternehmen betrachten Mitarbeiter als die
größte Bedrohung für die Cybersicherheit * 60% der Mitarbeiter haben vertrauliche Daten auf ihrem
Unternehmensgerät (Finanzdaten, E-Mail-DB usw.) **
* Research: “The cost of a data breach”, Kaspersky, Spring 2018.
** “Sorting out a Digital Clutter”. Kaspersky, 2019.
30%der Mitarbeiter geben zu, dass sie die Anmelde-
und Kennwortdaten ihres Arbeits-PCs mit
Kollegen teilen ** 23%der Organisationen haben keine Cybersicherheits-
Regeln oder -Policies für die Speicherung von
Unternehmensdaten **
Menschliches Versagen als Cyber-Risiko für das Unternehmen
Das Verhalten der Mitarbeiter ist ein großes IT-Sicherheitsrisiko, auch wenn evtl. traditionelle Awareness-Programme vorhanden sind:
$1,057,000pro Enterprise Organisation
The average financial impact of
data breaches caused by
inappropriate IT resource use by
employees *
$98,000pro SMB
The average financial impact of
data breaches caused by
inappropriate IT resource use by
employees *
bis zu $400pro Mitarbeiter pro Jahr
The average cost of phishing
attacks alone***
$101,000pro SMB
The financial impact of attacks
caused by phishing/social
engineering*
($1,3M per enterprise) **
* Report: “On the Money: Growing IT Security Budgets to Protect Digital Transformation Initiatives . Kaspersky Lab, 2019
** Report: “Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within”, Kaspersky Lab and B2B International, June 2017.
** Calculations based on Ponemon Institute, “Cost of Phishing and Value of Employee Training”, August 2015.
Das Problem
Beispiele Unbewusster Schädigung und Fehlverhaltens
Öffnen von dubiosen oder fragwürdigen E-Mail Anhängen oder schnelle Klicks auf
URL Links (professionelle Phishing-Mails, Malware getarnt als Rechnungen usw.)
USB-Sticks
Unsichere Passwörter
Umgang mit sozialen Netzwerken usw.
„Social Engineering“ um z.B. vertrauliche Informationen zu erhalten
Shoulder Surfing, Dumpster Diving, Tailgating
Auslegen/Liegenlassen präparierter USB-Sticks
Gezielte Kontaktaufnahme per E-Mail (Spear-Phishing)
CEO Fraud d.h. z.B. via gefälschte E-Mail oder z.B. am Telefon als Mitarbeiter der IT Abt.
oder als Techniker oder als Führungsperson/Chef ausgeben
Kaspersky | Allgemein
Das Problem
Fakt:
Auch die zuverlässigste Security-Software schützt nicht vor der
„Schwachstelle Mitarbeiter“
Cyber-Kriminelle haben den Fokus auch auf ein neues,
vermeintlich einfacheres Angriffsziel verändert – den Mitarbeiter
Lösung:
Cyber-Security Awareness bzw. Sicherheitsbewusstsein ist
mittlerweile ein "must have" Element der IT-Sicherheit
Kaspersky | Allgemein
Mitarbeiter schulen – IT-Grundschutz & DSGVO
DSGVO :
Die Datenschutz-Grundverordnung sieht die Überwachung der Sensibilisierung
und Schulung von Mitarbeitern als Aufgabe des Datenschutzbeauftragten vor
(Art. 39 Abs. 1 lit. b) DSGVO) .
Kaspersky | Allgemein
BSI IT-Grundschutz :
IT-Grundschutz-Kompendium –
Baustein „ORP.3 Sensibilisierung und Schulung“
https://www.bsi.bund.de/DE/Themen/ITGrund
schutz/ITGrundschutzKompendium/bausteine/
ORP/ORP_3_Sensibilisierung_und_Schulung.ht
ml
Herausforderungen beim Mitarbeiter schulen
Wahrscheinlich investieren Sie schon Geld in die Security-Awareness, ABER…
Kaspersky | Allgemein
- zu lang
- zu technisch
- langweilig, nicht für
Manager
- nur Bedrohungen und
“Don’t”, ohne “DO’s”)
Langweilige,
frustrierende
Trainings
Poster sind
nicht genug
Mitarbeiter sehen
IT-Sicherheit Abt.
nicht als Partner
nur 22% glauben , dass sie
von Cyber-Kriminellen
attackiert werden können
Keine Motivation,
Irrglaube
Die Lösung
Kaspersky Approach
Kaspersky | Allgemein
Wissen
VerhaltenMotivation
Die meisten Awareness Programme adressieren nur Wissen
Der Ansatz, den wir vorschlagen ist:- Umfassend, verständlich, einflussreich & messbar- auf 3 Ebenen – Wissen, Verhalten, Motivation
Verhalten ist das eigentliche Ziel der Awareness und eng mit Wissen und Motivation verbunden
Profit, Misserfolg,
Nutzen, Gewohnheit
„spielerisches Lernen“, Angriffssimulationen und interaktive Schulungen
KIPS – Überblick
Dauer: ca. 2 – 2,5 Std.
Zielgruppe: Manager., IT & Security Abt. usw.
Anzahl: ca. 9 – 40 Leute (ggf. auch mehr)
Setup: Aufteilung der Gruppe in mehrere Teams, Mix von 3 – 5 Leuten/Team
Szenarien: Wasserwerk, Corporate, Financial, Government, LPA (DSGVO) etc.
Grund: Separates Event oder z.B. Session in einer Konferenz/Seminar
Verfügbar: Deutsch, Englisch, Französisch usw.
Spielformat fördert das Verständnis der Cyber-Sicherheits-Maßnahmen; Wettbewerb und Teamwork
CITO – Überblick
CITO = Interaktives Online-Training zum Aufbau einer
starken Cybersicherheit und First-Level Incident Response
Skills für allgemeine IT-Spezialisten
Online Training Plattform für IT Teams z.B. Service Desk,
IT Security, Administratoren, IT Support, IT Professionals
Lösung zwischen Awareness und
professionellen und teuren IT-Security Trainings
SaaS/Cloud Plattform oder als SCORM Module
4 interaktive Schulungsmodule z.B. Malicious Software,
Investigation Basics (seit Juli 2018 auch in
Deutsch)
ASAP – Überblick
ASAP = ideal für Unternehmen, die sofort starten möchten mit voll
automatisierten, einfachen Management und festgelegten Trainings
integrierte Plattform für Schulung, Assessments, Simulierte Phishing-
Angriffe und Reporting
SaaS/Cloud Plattform (auch als SCORM Module)
11 Sprachen (Engl. Dt. Fr. It. SpEU. SPLat. Port. Rus. Arab. Poln.
Tschech.)
„Automated Micro-Learning Path“
Seit 29.07.20 Standalone Phishing Simulator
MSP Unterstützung
VSMB und SMB Ready (ab 5+ Benutzer)
Monatliche Subscription (bei SaaS/Cloud)
Schulungs-module
+ Simulierte
Phishing-Angriffe
Skills Assessment
Analyse und Reporting