Informationssicherheit und Datenschutz

Gelebte Informationssicherheit im Zeichen der DSGVO

Wir helfen Ihnen Informationssicherheit, IT-Sicherheit und Datenschutz durch Maßnahmen in den Bereichen Technik, Prozesse und Menschen auf ein Niveau zu heben, das den Anforderungen der Digitalisierung und den gesetzlichen Vorschriften genügt.

Ihre Informationen brauchen eine sichere IT-Infrastruktur. Wir unterstützen Sie bei der Absicherung der Datenspeicherung, Datenübertragung und Datenverarbeitung auf eigenen Geräten, in der Cloud und damit verbundenen Geräten und Netzen.

Dies geschieht unter anderem durch

  • Dokumentation und Bewertung Ihres aktuellen technischen Sicherheitsstands
  • Unterstützung bei der Planung von Anpassungen
  • Hilfe bei der Konfiguration von technischen Komponenten und Protokollen
  • Beratung hinsichtlich der Überwachung Ihrer IT-Infrastruktur mit Bericht bei Abweichungen

Informationssicherheit ist immer so gut wie die Sicherheitsprozesse und die Sicherheitskultur in einer Organisation, sei es ein Unternehmen, eine Behörde oder eine andere Einrichtung. Wir unterstützen Sie bei der Konzeption und der Einführung Ihres ISMS (Informations-Sicherheits-Management-System) und Ihrer Sicherheitsstrategie. Unsere Prämissen sind dabei „Hilfe zur Selbsthilfe“ und „lebbare Informationsicherheit“ im Rahmen Ihrer Bedürfnisse und Möglichkeiten.

Das Ergebnis genügt den gängigen nationalen und internationalen Referenzstandards und den jeweils aktuellen Gesetzeslagen und der bisher erfolgten Rechtsprechung.

Wir helfen bei der Vorbereitung und Durchführung von Sensibilisierungs-Kampagnen, Phishing-Simulationen und bei der Erstellung und Umsetzung von Schulungskonzepten, um dem Faktor Mensch in der Informationssicherheit Rechnung zu tragen.

Es unterstützt Sie ein interdisziplinäres Team von Psychologen, Technikern und Kommunikationsfachleuten bei der Realisierung eines ganzheitlichen Konzepts, das ihre „human firewall“ / menschliche Firewall nachhaltig stärkt, z.B. durch Sensibilisierungs-Kampagnen oder Phishing-Simulationen.

 

„Nur Amateure greifen Maschinen an.
Profis beschäftigen sich mit Menschen.“

Bruce Schneier

Unser Angebot: Live Phishing Training – Mitarbeitersensibilisierung in der Praxis

 

Phishing Mails

Semantische Angriffe richten sich direkt auf die Mensch-Maschine-Schnittstelle und nutzen so das blinde Vertrauen der Benutzer in die Systeme: der Mensch ist in seiner Fehlbarkeit, Leichtgläubigkeit oder Bestechlichkeit das schwächste Glied in der Sicherheitskette. Informationssicherheit ist allerdings ein abstraktes Konzept – es führt zu Schwierigkeiten in der Vermittlung, die Unbelehrbarkeit von Nutzern tut das Ihre: eindeutige Sicherheitswarnungen werden ignoriert!

Mangelndes Problembewusstsein

Wird der Angriff bemerkt, dann war er schon erfolgreich!
Erpressungstrojaner werden über infizierte E-Mail-Anhänge eingeschleust. In über 95% aller Sicherheitsvorfälle spielt „menschliches Versagen“ eine Rolle und in 91% aller Angriffe wurden Phishing E-Mails eingesetzt: das Öffnen eines mit Schadsoftware infizierten E-Mail Anhangs hat meistens den Aufruf einer unsicheren Internetadresse im Browser zur Folge: „spear phishing“ ist das wichtigste Werkzeug, mit dem sich APT-Angreifer Zugang zu ihren Zielnetzwerken verschaffen – die Folgen können gravierend sein!

Die neue DSGVO schreibt Schulungen vor!

Die europäische Datenschutzverordnung DSGVO  schreibt in den Artikeln 32, 39 und 47 die Sensibilisierung und das Training der Mitarbeiterinnen und Mitarbeiter künftig vor.

Habituelles Lernen – Learning by Doing – Verhaltenstraining

Moderne Psychologie und Pädagogik: Zum Wesen einer Sensibilisierungskampagne gehört ein mehrstufiger Prozess, in dem der Mensch dazu gebracht werden soll, selbst in der Praxis zu lernen.

Habitualisierung: Die Vermittlung erfolgt nicht über Frontalunterricht, sondern mit den Mitteln der konstruktivistischen Didaktik – kognitionspsychologisch werden die Benutzer dahin gebracht, anwendungsnahes Wissen selbst zu generieren. Über Simulationen immer wieder neuer Phishing-Variationen und Planspiele konstruieren Benutzer das Wissen selbst, das sie zu einem sicheren Umgang mit E-mails benötigen. Das richtige Handeln soll in Fleisch und Blut übergehen: es soll „im Schlaf“ funktionieren.

Konkret: „Sie wurden gefischt“ – Während der Sensibilisierungskampagne werden den Benutzern in einer Testumgebung innerhalb zweier Tage fingierte Phishing-Mails mit persönlicher Ansprache und beispielsweise einem Gutschein im Anhang zugesandt, die beim Öffnen des Anhangs auf eine Seite führen, die auf das richtige Verhalten hinweisen.

Bei Interesse an einer Sensibilisierungskampagne  (Phishing-Simulation) mit dem „co3tools Phishing Simulator“ von Code and Concept kontaktieren Sie uns bitte. Wir melden uns gerne mit weiterführenden Informationen.

 

Presseschau: Artikel und Hintergrundinformationen zum Live Phishing Training

 

Wenn Sie am Thema Informationssicherheit und Datenschutz oder an einer Live Phishing Training Kampagne interessiert  sind , kontaktieren Sie uns. Wir melden uns gerne mit weiterführenden Informationen.