IT-Sicherheit-DE
Published in

IT-Sicherheit-DE

Wie baut meine vernünftige Awareness Strategie auf?

Bildquelle: pixabay (https://pixabay.com/users/5132824-5132824/)

Das Jahr 2021 zeigt einmal mehr auf die schlecht es um die IT Landschaft bestellt ist:

  • Supplychain Angriffe: SolarWinds & Kaseya
  • Gravierende Schwachstellen in Tier 0 Systemen: Exchange
  • Ransomware Angriffe wohin das Auge reicht

Die ersten beiden oben genannten Probleme lassen sich technisch lösen, aber Ransomware? Was ist das mit Ransomware, dass mein Prä-DSGVO-Ära Blog ab ca. 2014 pro Tag tausende Mal zum Thema Ransomware konsultiert worden ist?

Jede Medaille hat zwei Seiten

Eine Active Directory Domäne zu besitzen ist äußerst bequem, verglichen mit der Verwaltung von hunderten Rechnern ohne zentrale Steuerung. Diese Bequemlichkeit hat natürlich seine Tücken, denn nichts ist nur mit Vorteilen bestückt.

Gehen wir kurz in die Landwirtschaft: Ransomware ist ein Schädling, der sich sein Nest gezielt ausgewählt und so einen gewaltigen Vorteil für sich vorgefunden hat:

Monokultur: fast 100% aller eingesetzten IT Systeme, die verschlüsselt werden sind Windows Systeme oder bieten Windows Dienste wie SMB an.

Bild: Mais Monokultur — pixabay https://pixabay.com/users/whiskerflowers-11224450/

Und jetzt? Alle zu MacOS oder Linux migrieren? Sicher nicht. Windows ist nur Ziel, weil es das am häufigst genutzte Betriebssystem in Firmen darstellt. Wären alle bei Apple Kunde, dann hätten wir dort ähnliche Probleme.

Was können wir also tun? Nun, zum einen die Monokultur abschaffen, aber das ist definitiv Material für einen anderen Beitrag. Stattdessen ist das Training der Benutzer im Fokus. Aber wie genau?

Der Weg ist das Ziel

Wie lernen Menschen? Die wenigsten sind mit Fähigkeiten ab der Geburt ausgestattet, die hier nützlich sind. Also ist ein kontinuierlicher Lernprozess nötig. Und am besten lernen wir durch:

  • Stetige Wiederholung
  • Spaß an den Themen
  • Einbezug möglichst aller Sinne

Nicht ohne Grund können wir viele Songs mitsingen und kennen die Texte. Die Musik ist angenehm und gute Musik hören oft, also lernen wir irgendwann die Texte automatisch.

Gleiches gilt für Awareness und Phishing Abwehr. Trockene Fakten alleine helfen keinem wirklich. Wie gehe ich also vor?

Langfristiger Trainingsplan

Dabei geht es darum alle Mitarbeiter mitzunehmen. Theoretisch sogar auf unterschiedlichen Levels, da wir nicht eine Gruppe langweilen wollen, während die anderen gespannt zu hören/zu sehen.

Deshalb bieten sich beispielsweise folgende Struktur an:

  • Awareness OnBoarding Sessions: Wer neu hinzukommt, wird noch im ersten Monat auf Phishing und Ransomware aufmerksam gemacht.
  • Phishing Kampagnen: Erstellung von Templates für Mails, Versand und Auswertung der Benutzerinteraktionen.
  • “Booster”-Trainings: Phishing verändert sich und spezialisiert sich auf Ziele. Angriffsarten ändern sich. Es ist Zeit für eine Auffrischung!

Was bleibt noch?

Phishing passiert ständig und niemand ist dafür geschützt. Ein kleines Beispiel, wie ich erfolgreich gephisht wurde:

  • Marketingveranstaltung mit Werbung für die Awareness Trainings meines Arbeitgebers
  • Teilnehmer schreibt am Schluss in den Chat: “Kenne ich Sie womöglich? Eventuell von dieser Veranstaltung? https:// …..”

Das war es schon. Ich habe geklickt. Warum hat das funktioniert?

Der Angreifer wusste, worauf er abzielen kann bei einem Vortragenden, der eine Show aus seinen Vorträgen macht: Eitelkeit.

“Oh jemand hat mich irgendwo erkannt? Wow, ich bin etwas berühmt. Das fühlt sich ja toll an.”

Das war ein großartiger Angriff, mit dem ich nicht gerechnet haben, vor allem weil das Thema eben genau dieses im Fokus lag.

Zeit für ein Webinar?

“Die letzte Firewall” buchen und genießen: https://www.konicaminolta.de/de-de/bitfuerbit/sicherheit-gestalten

--

--

--

IT Sicherheit ist meist so komplex, dass im Business Alltag keine Zeit bleibt, sich damit im Detail zu befassen. Diese Publication ist für die gedacht, die sich darauf verlassen, dass sie einen kurzen Abriss zu aktuellen Bedrohungen erhalten, den sie auch verstehen.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Andre Fritsche

Andre Fritsche

More from Medium

Shakespeare and English students have a love-hate relationship.

Polywork is the Professional Network that truly Supports Creatives

A screenshot of Polywork’s blog website. The upper left has the Polywork logo and name. The top right says “Articles, About, Contact, Join Waitlist”. There are then pictures of each of the Polywork mascots, which are a collection of multi-colored humanoid beings with their own personalities. There are distinctly human beings, robots, a Dragon, and a cat.

How to Access an FTP Server from the Browser | ExaVault Blog

Anonymous access in browser to Adobe FTP server.

Golden protocol. Project information and memes for content creation.