Der Faktor Mensch im Mittelpunkt Cyber Security Training

Transkript

1 Der Faktor Mensch im Mittelpunkt Cyber Security Training

2 Cyber Security Training Wissen ist wichtig eine richtige und banale Aussage Foto: freedigitalphotos-net - Stuart Miles Wieso ist Wissen besonders im Kontext Cyber Security wichtig?

3 Digitalisierung, Globalisierung, Foto: picture alliance / dpa Foto: picture alliance / dpa Foto: kolibree Smart- Phone / -TV / -Meter / -Home / -City / Von welchem Gerät werden welche Daten zu welchem Zweck auf welche Weise an wen versendet?! (Un-)bewusst eingebaute Sicherheitslücken Usability versus Sicherheit Foto: ericmeeuwsen.de Foto: picture alliance / dpa Foto: picture alliance / dpa Foto: picture alliance / dpa

4 Risiken und Gefahren SQL-Injection Trojaner Backdoor Spam Drive-by-Exploit Bot- Netz DDoS-Angriffe Zero-Day-Exploit Ransomware Skimming Phishing Carding Cross-Site-Scripting Social Engineering Advanced Persistent Threat Datendiebstahl Digitale Erpressung Cyber-Mobbing Spionage Sabotage Datenfälschung Computer-Betrug Hacktivismus Cyber War Foto: cyber_world_c_edelweiss_fotoliacom

5 Risiken und Gefahren Mozilla legt unfreiwillig Nutzerdaten offen Die Firefox-Macher haben durch einen Konfigurationsfehler Backups mit Nutzernamen und verschlüsselten Passwörtern eines Bugtrackers offen zugänglich auf einen Server abgelegt. Die Daten waren knapp drei Monate frei erreichbar. Hacker knacken Fernseher, Rollläden und Heizungen App von Kabel Deutschland mit Datenleck Hacker warnt vor Router- Schutzfunktion WPS Fingerabdrucksensor des iphone 6 überlistet Ihr Online-Banking ist vorübergehend gesperrt. Gartner Studie: 75 Prozent Mobile Apps mit Sicherheitsmängeln Angriffe auf icloud-konten, Promi-Nacktfoto-Klau

6 Beteiligte - Betroffene Betroffen sind alle Bereiche Unternehmen Öffentliche Verwaltung Kritische Infrastrukturen Sicherheitsbehörden, Kirchen,.. und fast alle Altersgruppen Bürger - Individuum Foto: medienbewusst.de

7 Gefahren Datenverlust Anonymitätsverlust Persönlichkeitsverlust Materieller Schaden Imageschaden Überwachung.

8 Cyber Space Hochkomplex Hochdynamisch Viele Möglichkeiten Viele Risiken Erhebliche Gefahren Foto: cyberraum_by_krümel_pixelio

9 Der Weg zur sicheren Organisation? Die technologisch gesicherte IT-Sicherheitsfestung alles bestens?! Firewall Secure WLAN Honeypot Intrusion Detection System Authentisierung Verschlüsselung Biometrie ID-Management Virenschutz

10 Der Weg zur sicheren Organisation? Technik ist ein wichtiger Faktor, aber: muss richtig eingesetzt werden hat ihre Grenzen Newsletter des Bürger-CERT, Ausgabe vom : Die Fachzeitschrift Computerwoche hat sich der Frage angenommen, warum Spam- und Phishing-Angriffe immer noch so gut funktionieren. Festzustellen ist, dass die Cyber-Kriminellen in ihren Methoden immer besser werden. Ausgenutzt wird hierbei der gesellschaftliche Wandel zur Schnelllebigkeit und zur jederzeitigen Erreichbarkeit. Kaum ist die Nachricht zugestellt, schon unterliegen viele Nutzer dem inneren Zwang zu sehen, was andere und uns beschäftigen könnte. Damit wir noch weniger Zeit mit den Meldungen verschwenden, kommen uns die Cyber-Kriminellen entgegen und gestalten die Nachrichten klickfähig aufbereitet.

11 Der Faktor Mensch Technik ist ein wichtiger Faktor, aber: muss richtig eingesetzt werden hat ihre Grenzen Der Faktor Mensch: potenzielle Sicherheitslücke und -Enabler (das schwächste und das stärkste Glied der Kette) Wissen

12 Der Faktor Mensch Ebenen und Rollen innerhalb von Organisationen Leitung / Management, Führungskräfte Experten: IT-Sicherheitsbeauftragte, IT-Leiter, IT-Administratoren, IT- Notfallmanager, Auditoren, Datenschutzbeauftragte,. Unterschiedliche Aufgaben, Verantwortlichkeiten, Wissensbedarf Mitarbeiter

13 Der Faktor Mensch Leitung / Management, Führungskräfte Letztendlich verantwortlich für IT-Sicherheit und Datenschutz Anforderungen: Kenntnis der Risiken und Risikoübernahme Initiierung und Erlass von Sicherheitsstrategien und -richtlinien Kompetente Entscheidungen Vorbildfunktion

14 Der Faktor Mensch Experten: IT-Sicherheitsbeauftragte, IT-Leiter, IT-Administratoren, IT- Notfallmanager, Auditoren, Datenschutzbeauftragte,. Anforderungen: Kenntnis der Angriffsmethoden und -mittel Kenntnis von Schutzmaßnahmen und -mitteln Identifikation und Bewertung von Risiken Ausarbeitung von Sicherheitskonzepten und Maßnahmen sowie Umsetzung und Kontrolle Erstellung von Notfallvorsorgekonzepten Durchführung von Sensibilisierungen

15 Der Faktor Mensch Mitarbeiter Anforderung: Kenntnis der Risiken Kenntnis und Anwendung der Sicherheitsrichtlinien im Alltag

16 Cyber Security Training Zielgruppen und thematische Zuordnung Leitung / Management, Führungskräfte Zielgruppen- und organisationsspezifische Sensibilisierungen und Grundlagen Experten: IT-Sicherheitsbeauftragte, IT-Leiter, IT-Administratoren, IT- Notfallmanager, Auditoren, Datenschutzbeauftragte,. Fachspezifische Aus- und Fortbildungen, aktuelle Grundlagen, Trends und Best Practices Mitarbeiter Zielgruppen- und organisationsspezifische Sensibilisierungen

17 Cyber Security Training für Experten Methoden & Organisation PRÄVENTION REAKTION ISMS IT- Forensik IS- Revision Notfallübungen Incident Response Risikoanalysen Notfallplanung Awarenessmaßnahmen Technik Web Security Mobile Device Security Hacking Pen Testing WLAN Security IPv6 Cloud Security Verschlüsselung

18 Sensibilisierung Das Sprichwort vom schwächsten Glied in einer Kette. Ein Mindest-Wissen und Sensibilität bei allen Beteiligten ist der erste Schritt für mehr Sicherheit Awareness-Maßnahmen vermitteln Risiken, Handlungsmöglichkeiten, Verantwortungsbewusstsein

19 Herausforderungen Herausforderungen an Cyber Security Training Komplexität Bandbreite Aktualität Zielgruppengerecht Praxisgerecht Rahmenbedingungen

20 Herausforderungen Rahmenbedingungen Sicherheit ist kein Gegenstand, dessen Wert man beziffern kann. Sicherheit wird erst dann bewusst wahrgenommen, wenn sie fehlt. Sicherheitsmaßnahmen sind Spaßbremsen. Sicherheitsbudgets sind eher gering bemessen (vor allem für Aus-/Fortbildung) Bei Budget-Kürzungen sind Sicherheitsausgaben in der Regel zuerst betroffen.

21 Nachhaltigkeit Nach der Sensibilisierung ist bald wieder alles beim Alten?! Nichts ist so beständig wie der Wandel! Empfehlungen: Sensibilisierungs-Kampagnen Sicherheits-Checks / -Audits IT-Notfall- / Krisenmanagementübungen Aus- und Weiterbildungsplan

22 Zum Schluss Technologie ist nur ein Sicherheitsbaustein. Der gesunde Menschenverstand und Wissen sind mehr denn je von Bedeutung. Sensibilität für Risiken und Gefahren bei allen Beteiligten ist Grundvoraussetzung für Cyber- Sicherheit.

23 Danke für Ihre Aufmerksamkeit! Ralf Kaschow Geschäftsführer Cyber Akademie Tel.: Fax: Büro Bonn: Friedrich-Ebert-Allee 57, Bonn Büro Berlin: Kaskelstr. 41, Berlin