vom sicherheitsrisiko mitarbeiter zum sicherheitsfaktor

Vom Sicherheitsrisiko Mitarbeiter zum Sicherheitsfaktor Mitarbeiter

Michael Hirschmann

Presales Manager / Senior Presales Engineer

Trends und Bedrohungen

Bedrohungslage

Kaspersky | Allgemein

1EIN NEUER VIRUS PRO STUNDE

1994

1EIN NEUER VIRUS PRO MINUTE

2006

1EIN NEUER VIRUS PRO SEKUNDE

2011

> 360.000NEUEVARIANTEN TÄGLICH

2018

Wie gelangt Malware u.a. ins Firmennetz ?


Exploit-Kits

E-Mail

SozialeNetzwerke

USB

Das Problem


Menschen sind das schwächste Glied in der Cybersicherheit

52% der Unternehmen betrachten Mitarbeiter als die

größte Bedrohung für die Cybersicherheit * 60% der Mitarbeiter haben vertrauliche Daten auf ihrem

Unternehmensgerät (Finanzdaten, E-Mail-DB usw.) **

* Research: “The cost of a data breach”, Kaspersky, Spring 2018.

** “Sorting out a Digital Clutter”. Kaspersky, 2019.

30%der Mitarbeiter geben zu, dass sie die Anmelde-

und Kennwortdaten ihres Arbeits-PCs mit

Kollegen teilen ** 23%der Organisationen haben keine Cybersicherheits-

Regeln oder -Policies für die Speicherung von

Unternehmensdaten **

Menschliches Versagen als Cyber-Risiko für das Unternehmen

Das Verhalten der Mitarbeiter ist ein großes IT-Sicherheitsrisiko, auch wenn evtl. traditionelle Awareness-Programme vorhanden sind:

$1,057,000pro Enterprise Organisation

The average financial impact of

data breaches caused by

inappropriate IT resource use by

employees *

$98,000pro SMB

The average financial impact of

data breaches caused by

inappropriate IT resource use by

employees *

bis zu $400pro Mitarbeiter pro Jahr

The average cost of phishing

attacks alone***

$101,000pro SMB

The financial impact of attacks

caused by phishing/social

engineering*

($1,3M per enterprise) **

* Report: “On the Money: Growing IT Security Budgets to Protect Digital Transformation Initiatives . Kaspersky Lab, 2019

** Report: “Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within”, Kaspersky Lab and B2B International, June 2017.

** Calculations based on Ponemon Institute, “Cost of Phishing and Value of Employee Training”, August 2015.

Das Problem

Beispiele Unbewusster Schädigung und Fehlverhaltens

Öffnen von dubiosen oder fragwürdigen E-Mail Anhängen oder schnelle Klicks auf

URL Links (professionelle Phishing-Mails, Malware getarnt als Rechnungen usw.)

USB-Sticks

Unsichere Passwörter

Umgang mit sozialen Netzwerken usw.

„Social Engineering“ um z.B. vertrauliche Informationen zu erhalten

Shoulder Surfing, Dumpster Diving, Tailgating

Auslegen/Liegenlassen präparierter USB-Sticks

Gezielte Kontaktaufnahme per E-Mail (Spear-Phishing)

CEO Fraud d.h. z.B. via gefälschte E-Mail oder z.B. am Telefon als Mitarbeiter der IT Abt.

oder als Techniker oder als Führungsperson/Chef ausgeben


Das Problem und die Auswirkungen z.B.



STRAVA Fitness-App


Das Problem


Das Problem

Fakt:

Auch die zuverlässigste Security-Software schützt nicht vor der

„Schwachstelle Mitarbeiter“

Cyber-Kriminelle haben den Fokus auch auf ein neues,

vermeintlich einfacheres Angriffsziel verändert – den Mitarbeiter

Lösung:

Cyber-Security Awareness bzw. Sicherheitsbewusstsein ist

mittlerweile ein "must have" Element der IT-Sicherheit


Mitarbeiter schulen – IT-Grundschutz & DSGVO

DSGVO :

Die Datenschutz-Grundverordnung sieht die Überwachung der Sensibilisierung

und Schulung von Mitarbeitern als Aufgabe des Datenschutzbeauftragten vor

(Art. 39 Abs. 1 lit. b) DSGVO) .


BSI IT-Grundschutz :

IT-Grundschutz-Kompendium –

Baustein „ORP.3 Sensibilisierung und Schulung“

https://www.bsi.bund.de/DE/Themen/ITGrund

schutz/ITGrundschutzKompendium/bausteine/

ORP/ORP_3_Sensibilisierung_und_Schulung.ht

ml

https://dsgvo-gesetz.de/art-39-dsgvo/

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/ORP/ORP_3_Sensibilisierung_und_Schulung.html

Herausforderungen beim Mitarbeiter schulen

Wahrscheinlich investieren Sie schon Geld in die Security-Awareness, ABER…


- zu lang

- zu technisch

- langweilig, nicht für

Manager

- nur Bedrohungen und

“Don’t”, ohne “DO’s”)

Langweilige,

frustrierende

Trainings

Poster sind

nicht genug

Mitarbeiter sehen

IT-Sicherheit Abt.

nicht als Partner

nur 22% glauben , dass sie

von Cyber-Kriminellen

attackiert werden können

Keine Motivation,

Irrglaube

Die Lösung

Kaspersky Approach


Wissen

VerhaltenMotivation

Die meisten Awareness Programme adressieren nur Wissen

Der Ansatz, den wir vorschlagen ist:- Umfassend, verständlich, einflussreich & messbar- auf 3 Ebenen – Wissen, Verhalten, Motivation

Verhalten ist das eigentliche Ziel der Awareness und eng mit Wissen und Motivation verbunden

Profit, Misserfolg,

Nutzen, Gewohnheit

„spielerisches Lernen“, Angriffssimulationen und interaktive Schulungen

Kaspersky

Awareness Portfolio

KIPS – Überblick

Dauer: ca. 2 – 2,5 Std.

Zielgruppe: Manager., IT & Security Abt. usw.

Anzahl: ca. 9 – 40 Leute (ggf. auch mehr)

Setup: Aufteilung der Gruppe in mehrere Teams, Mix von 3 – 5 Leuten/Team

Szenarien: Wasserwerk, Corporate, Financial, Government, LPA (DSGVO) etc.

Grund: Separates Event oder z.B. Session in einer Konferenz/Seminar

Verfügbar: Deutsch, Englisch, Französisch usw.

Spielformat fördert das Verständnis der Cyber-Sicherheits-Maßnahmen; Wettbewerb und Teamwork

CITO – Überblick

CITO = Interaktives Online-Training zum Aufbau einer

starken Cybersicherheit und First-Level Incident Response

Skills für allgemeine IT-Spezialisten

Online Training Plattform für IT Teams z.B. Service Desk,

IT Security, Administratoren, IT Support, IT Professionals

Lösung zwischen Awareness und

professionellen und teuren IT-Security Trainings

SaaS/Cloud Plattform oder als SCORM Module

4 interaktive Schulungsmodule z.B. Malicious Software,

Investigation Basics (seit Juli 2018 auch in

Deutsch)

ASAP – Überblick

ASAP = ideal für Unternehmen, die sofort starten möchten mit voll

automatisierten, einfachen Management und festgelegten Trainings

integrierte Plattform für Schulung, Assessments, Simulierte Phishing-

Angriffe und Reporting

SaaS/Cloud Plattform (auch als SCORM Module)

11 Sprachen (Engl. Dt. Fr. It. SpEU. SPLat. Port. Rus. Arab. Poln.

Tschech.)

„Automated Micro-Learning Path“

Seit 29.07.20 Standalone Phishing Simulator

MSP Unterstützung

VSMB und SMB Ready (ab 5+ Benutzer)

Monatliche Subscription (bei SaaS/Cloud)

Schulungs-module

+ Simulierte

Phishing-Angriffe

Skills Assessment

Analyse und Reporting

Vielen Dank für Ihre Aufmerksamkeit !

kaspersky.com

Michael Hirschmann

Presales Manager / Senior Presales Engineer

vom sicherheitsrisiko mitarbeiter zum sicherheitsfaktor

Documents