Sicherheitskultur etablieren: Schutz vor dem Human Risk

Inhaltsverzeichnis

Bedrohungen, die auf Menschen im Unternehmen abzielen oder durch Menschen im Unternehmen entstehen, bilden das "Gesamtrisiko Mensch" (Human Risk). Das kann Social Engineering über LinkedIn sein, um Menschen mit Jobangeboten zu ködern, oder auch das Einschleusen von Insidern als Mitarbeiter in Unternehmen. Sie bilden bei Weitem die kostspieligsten Risiken für die Sicherheit eines Unternehmens.

Dem IBM-Bericht "Cost of a Data Breach" zufolge belaufen sich die durchschnittlichen Kosten, die einem Unternehmen bei einem Sicherheitsvorfall entstehen, auf 4,99 Millionen US-Dollar bei einem böswilligen Insider, gefolgt von 4,88 Millionen US-Dollar bei der Kompromittierung von Geschäfts-E-Mails, 4,81 Millionen US-Dollar im Fall von Phishing mit gestohlenen oder kompromittierten Anmeldeinformationen und 4,77 Millionen US-Dollar bei erfolgreichem Social Engineering. Alle von Menschen verursachten Angriffsvektoren sind für mehr als 60 Prozent der gemeldeten Sicherheitsverletzungen verantwortlich, und damit nicht nur der Stoff aus Filmen, sondern ein sehr reales, konstantes Phänomen.

iX-tract

• 60 Prozent aller Datenschutzverletzungen beginnen mit unsicherem menschlichen Verhalten. Das Risikomanagement muss also menschliches Verhalten – das Human Risk – in den Blick nehmen, statt Sicherheit rein technisch herzustellen.
• Eine gute Sicherheitskultur, bei der jeder Mitarbeiter seinen Beitrag leistet, um Gefahren zu entdecken und abzuwehren, ist eine wichtige Maßnahme, um Human Risk einzudämmen.
• Bei technischen Sicherheitsmaßnahmen ist die Nutzererfahrung entscheidend, um das Human Risk zu bekämpfen. Zu wissen, wie Mitarbeiter tatsächlich mit der Sicherheitstechnik arbeiten, ist maßgeblich für Entwicklung und Einsatz der Technik.
• Um effektiv zu sein, muss das Risikomanagement einer Organisation anpassbar und individuell gestaltet sein, um Nutzer verschiedener Erfahrungs- und Bereitwilligkeitsstufen gleichermaßen einzubinden.

Mehr zu IT-Security

• Samba: Mehr Sicherheit mit Authentication Silos
• Security: Data Loss Prevention im Eigenbau
• Sicherheitskultur etablieren: Schutz vor dem Human Risk
• SOC 3.0: Transformation zur Resilienz
• Der Cyber Resilience Act und der Stand der Technik
• Vertrauenswürdige E-Mail: Spoofing-Schutz über DNS einrichten
• NIS2: Schulungspflicht für Geschäftsleitungen
• Interview: So können sich Nutzer und Firmen vor Phishing schützen
• Elektronische Schlösser für geregelte Zutrittskontrolle im Überblick
• So agieren Security Champions als Wächter der sicheren Software
• Smart-Home-Geräte sollen als Zeugen beim Einbruch aussagen
• IT-Sicherheit: Das Maximum bei der Umsetzung des IT-Grundschutzes herausholen
• Neues Computerstrafrecht: Mehr Schutz für Sicherheitsforscher
• Der EU Cyber Resilience Act: Was man wissen muss
•  Security: Top-Ten-Liste der Infrastrukturbedrohungen vorgestellt

Eine große Herausforderung bei dessen Bewältigung besteht darin, technische Veränderungen zu antizipieren, die auf den Menschen abzielen. Zurzeit ist das Künstliche Intelligenz, die bereits in großem Maßstab für Angriffe eingesetzt wird.

Das war die Leseprobe unseres heise-Plus-Artikels "Sicherheitskultur etablieren: Schutz vor dem Human Risk". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.