Startseite » Chemie » Sicherheit (Chemie) »

Cyber Security Awareness stärkt die Abwehrkräfte

Es gibt kein Patentrezept
Cyber Security Awareness stärkt die Abwehrkräfte

Laut Digitalverband Bitkom entstanden der deutschen Wirtschaft im Jahr 2019 102,9 Mrd. Euro Schaden durch Cyberkriminalität (55 Mrd. Euro in 2018). Tendenz steigend – zumal im Kontext von Covid-19 neue Ansatzpunkte entstehen, die von Cyberkriminellen ausgenutzt werden. Die Hacker greifen gezielt die Belegschaft an. Cyber Security Awareness Trainings helfen dabei, sich gegen derartige Cyberattacken zu wappnen.

Das Bundeskriminalamt beziffert in seinem Cybercrime Bundeslagebild die Zahl der gemeldeten Angriffe im Jahr 2019 auf 100 514 Fälle von Cybercrime im engeren Sinne. Dazu wird eine deutlich hohe Dunkelziffer vermutet, da viele Unternehmen aus Angst vor einem Reputationsverlust von einer Anzeige absehen. Prominente Beispiele haben gezeigt, dass auch in der Chemieindustrie noch keine ultimative Formel zum Schutz vor Cybercrime gefunden wurde. In den letzten Jahren wurden unter anderem Angriffe auf Thyssenkrupp, Bayer, BASF, Henkel und Covestro bekannt. Auch Lanxess bestätigte Anfang des Jahres 2020, Opfer einer Cyberattacke geworden zu sein. Das Unternehmen hat zwischenzeitlich den internationalen Roll-out seiner erweiterten Sicherheitsstrategie durchgeführt und setzt genau dort an, wo auch Kriminelle ihre Angriffe starten: Bei den Menschen im Unternehmen. Für die weltweite Belegschaft wurde ein umfassendes Trainingsprogramm zur Cyber Security Awareness umgesetzt. Ein wirkungsvolles Engagement, für das Lanxess beim Digital Leader Award 2020 mit dem Sonderpreis für Cyber Security ausgezeichnet wurde.

Cyber Security Awareness in pandemischen Zeiten

Laut Bitkom wird für das Pandemie-Jahr 2020 erneut ein Umsatzrekord in Höhe von 5,2 Mrd. Euro im Bereich der Cyber Security erwartet. Deutsche Unternehmen investieren in Hardware, Software und Services zur Verbesserung ihrer Cybersicherheit. Der Schwerpunkt hierbei liegt mit 55 % bei Dienstleistungen, auf diese Sparte entfallen 2,8 Mrd. Euro der Investitionen. In Summe sind dies stolze Zahlen – in Relation zu 37,5 Mio. Arbeitsplatzcomputern und unzähligen mobilen Endgeräten erscheint das Investitionsvolumen keinesfalls zu hoch.

Unternehmen investieren, um ihre IT-Infrastruktur, Netzwerke, Daten und Geräte zu schützen. Was dabei nie vergessen werden darf: Hinter jedem Gerät steht oder sitzt mindestens ein Benutzer. Ein Mensch, der eben nicht komplett durch Antivirensoftware oder Firewalls geschützt werden kann, weil er auf anderen, subtileren Ebenen angreifbar ist. Im Zuge der Pandemie kommt zur ohnehin bestehenden Unsicherheit im technischen Umfeld der Faktor der menschlichen Verunsicherung hinzu. Das berufliche und private Leben der gesamten Belegschaft verschiebt sich mehr und mehr in den digitalen Raum, die Grenzen zwischen beruflich und privat verschmelzen und Corona ist ein Thema, das von Cyberkriminellen gerne als Hebel für Social Engineering genutzt wird. Darum ist Cyber Security Awareness derzeit eine unerlässliche Qualifikation, um alle Menschen innerhalb eines Unternehmens zu sensibilisieren und damit ihre Abwehrkräfte gegen digitale Angriffe zu steigern.

Corona und andere Infektionen

Das Bundekriminalamt veröffentlichte im letzten Jahr eine Sonderauswertung zu Cybercrime in Zeiten der Pandemie mit ersten Beobachtungen und Erkenntnissen aus dem Zeitraum bis Juli 2020. Da immer noch kein Ende von Corona in Sicht ist, lohnt es sich, die Learnings daraus für die Sicherheitsplanung 2021 zu berücksichtigen. Die Methoden, mit denen Cyberkriminelle Unternehmen angreifen, haben sich seit Start der Pandemie nicht wesentlich verändert. Fake-Websites, Phishing, Malware und Ransomware sind auch hier nach wie vor weitverbreitete Angriffsvektoren. Bedauerlicherweise ist Corona ein thematischer Türöffner, der von Kriminellen gerne und erfolgreich genutzt wird. Auch Menschen, die normalerweise achtsam und vorsichtig im digitalen Raum agieren, lassen sich in diesem Kontext manipulieren – die allgemeine Verunsicherung wird höchst perfide ausgenutzt. Dazu ein paar Beispiele:

  • Auf diversen Fake-Websites zur Beantragung von Soforthilfen wird versucht, über Formulare eine große Menge sensibler Daten abzufragen.
  • Über Fake-Websites mit Corona Virus Maps und aktuellen Informationen zur Pandemie wird Malware in Umlauf gebracht.
  • In groß angelegten Kampagnen werden Phishing-Mails und Malware Spam versendet – mit vorgetäuschten Absendern von Institutionen und Behörden wie zum Beispiel WHO, Bundesregierung, Gesundheitsministerium, Arbeitsagentur oder Förderbanken. Häufig kommen hier als Attachments auch maliziöse Office-Dokumente in Form von Antragsformularen zum Einsatz.
  • Durch die Verlagerung beruflicher Aktivitäten werden vermehrt auch Homeoffice-Infrastrukturen und mobile Endgeräte angegriffen.

Cyber Security Awareness ist in diesen schwierigen Zeiten eine große Hilfe, um die Resilienz von Unternehmen und Mitarbeitenden gegenüber Social Engineering zu stärken. Durch gezielte Trainings im Rahmen eines iterativen Prozesses etablieren Unternehmen damit ihre eigene „Human Firewall“.

Tipps zur Etablierung von Cyber Security Awareness

Die Grundvoraussetzung: Top-down Commitment

  • Cyber Security Awareness betrifft das komplette Unternehmen – mit allen Abteilungen und Mitarbeitenden.
  • Cyber Security ist Chefsache. Vorstand und Unternehmensleitung sind besonders gefordert, um die Schirmherrschaft für die Etablierung der Sicherheitskultur im Unternehmen zu übernehmen und diese kontinuierlich vorzuleben.
  • Für die Entwicklung und Umsetzung ist ein Gremium erforderlich, in dem sich nicht nur Führungskräfte sondern auch Mitarbeitende engagieren und in dem idealerweise alle Fachbereiche repräsentiert sind – dazu gehören unter anderem: Personal- und Rechtsabteilung, Betriebsrat, Cyber Security Team, Kommunikation/Marketing, Produkt- und Kundenmanagement.

Das Erfolgsrezept: Motivation und Interaktion

  • Mit Frontal-Unterricht in Form von Vorträgen oder schriftlichen Vorgaben durch Checklisten, Rundmails oder Vertragsklauseln lässt sich keine Cyber Security Awareness etablieren. Es geht nicht darum, Informationen zu transportieren oder Vorschriften zu formulieren – Ziel des Unterfangens ist es, bei allen Menschen im Unternehmen eine Verhaltensänderung zu bewirken.
  • Die gesamte Belegschaft soll die Sicherheitskultur des Unternehmens verinnerlichen und durch tägliches Erleben lernen, welche aktuellen Sicherheitsrisiken bestehen und wie sie mit diesen umgehen kann. Hierzu sind am besten multimediale und interaktive Formate geeignet, mit denen auch auf individuelle Situationen und Gefährdungsfaktoren eingegangen werden kann. Computerbasierte Cyber Security Awareness Trainings orientieren sich dabei am Wissensstand einzelner Teilnehmer. Auch spielerische Komponenten und kleine Wettbewerbe kommen zum Einsatz und schaffen zusätzlichen Ansporn.

Das Setup: Roadmap zur Einführung von Cyber Security Awareness

  • Sicherheitskultur ist kein Projekt, sondern ein lebender Prozess. Ein initialer Impulsvortrag zum Start des Prozesses dient dazu, zunächst einmal alle beteiligten Instanzen im Unternehmen abzuholen und ein gemeinsames Bewusstsein für Cyber Security zu schaffen.
  • In dieser ersten großen Runde sollen Ziele, Erfolgsfaktoren und Kriterien für die Cyber Security im Unternehmen diskutiert und festgehalten werden. Im Teilnehmerkreis sollten Vorstand, Geschäftsführung, Betriebsrat, Personalwesen, Cyber Security Team, Rechtsabteilung und Marketing/Kommunikation vertreten sein. In dieser Besetzung kann ein Gremium gebildet werden, das dann anhand der Ziele und Erfolgskriterien mit der Entwicklung, Operationalisierung und dem Roll-out des Prozesses betraut wird.

Der Ablauf: Iterativer Prozess

  • Cyber Security Awareness Trainings bestehen aus einem wiederholten Kreislauf mit Analyse-, Trainings- und Testeinheiten. So wird turnusmäßig der Status des Unternehmens sichtbar und kann gezielt optimiert werden.
  • Die Trainings berücksichtigen einerseits übergreifende Faktoren wie die Sicherheitskultur des Unternehmens, Organisationsstrukturen wie zum Beispiel Berechtigungen und Sicherheitsfreigaben in verschiedenen Abteilungen und Positionen. Zum anderen können sie individuell auf den Kenntnisstand, die Stärken und Schwächen einzelner MitarbeiterInnen eingehen. Im Trainingszyklus wird das Sicherheits- und Risikobewusstsein übergreifend gesteigert.
  • Trainings starten mit einem Einstufungstest. Darauf aufbauend erhalten die Teilnehmer dann spezifische Schulungsinhalte, etwa in Form von Erklärvideos.
  • Nach der Trainingsphase folgt eine Test- und Analysephase. Es wird geprüft, welchen Wissensstand die TeilnehmerInnen haben, um in der nächsten Iteration gezielt darauf aufzubauen und Awareness-Lücken zu schließen.

Vinci Energies Deutschland ICT GmbH, Ludwigshafen


Autor: Stefan Buchta

Vertriebsleiter Süd,

Axians IT Security


Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

Prozesstechnik-Videos

Hier finden Sie alle aktuellen Videos

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick

Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de