Informationssicherheit und

Datenschutz

Informations-Sicherheit und

Datenschutz

ISMS: sichere Technik | sichere Prozesse | sichere Mitarbeiter/ Sensibilisierungskampagnen und Live Phishing Training

  • sichere Technik

  • sichere Prozesse

  • sichere Mitarbeiter

Informationssicherheit und Datenschutz

Sichere Mitarbeiter für eine nachhaltige Sicherheitskultur

 

Cyberkriminalität ist Teil der Digitalisierung.

Angriffe auf digitale Infrastrukturen und digitale Angebote nehmen weltweit zu. Cyberkriminalität hat sich professionalisiert und ist zu einer gut organisierten, arbeitsteiligen Schattenwirtschaft – um nicht zu sagen: zu einem Wirtschaftszweig – geworden.

Künstliche Intelligenz hilft Cyberkriminellen in allen Phasen eines Angriffs, sorgt dafür, dass Angriffe weitgehend automatisiert zielpersonengenau gestaltet werden. Das erhöht die Anzahl möglicher Angriffe und Angriffsvarianten exponentiell. Inzwischen reichen Cyberkriminellen weniger als 3 Sekunden einer Sprachnachricht, um mithilfe generativer KI die Stimme eines Menschen zu klonen und damit einen Telefonanruf, ein Gespräch oder ein Video zu fälschen.

 

Hochwertige Ziele haben Vorrang

Cyberangriffe streben nach Effizienz. Hochwertige Ziele – Ziele, bei denen mit wenig Aufwand eine „gute“ Ergebnisse erzielt werden können – sind aus diesem Grund besonders beliebt – und besonders gefährdet.

Der Gesetzgeber hat reagiert und stellt mit NIS2 an Unternehmen und Organisationen bestimmter Größenklassen oder in kritischen Infrastrukturen hohe Anforderungen an Maßnahmen zur Schadensabwehr, Business Continuity Management und Resilienz.

 

Mitarbeiter müssen geschult werden

So gut wie alle erfolgreichen Angriffe auf die Informationssicherheit brauchen die „Hilfe“ von jemandem, der einen Computer bedient: also Entwickler, die auf Funktionalität achten, aber nicht auf Sicherheit; Systemadministratoren, die Software und Geräte nicht ausreichend sicher konfigurieren; Sachbearbeiter, die bei ihrer Arbeit Anforderungen von Informationssicherheit und Datenschutz außer Acht lassen; und schließlich Benutzer, die Sicherheit als gegeben ansehen und mit der Benutzerschnittstelle Dinge tun, an die niemand gedacht hat.

Zum Security Operations Center (SOC) gehört deswegen auf jeden Fall auch ein Security Learning Center (SLC), das für Mitarbeiter und Nutzer rollenbasiertes Training anbietet. Informationssicherheit ohne geschultes Personal ist nicht möglich, Schulungen für Personal werden deshalb jetzt auch vom Gesetzgeber gefordert.

Frei nach Loriot: Sicherheit vor Cyberangriffen ohne Lernumgebung ist nicht nur unmöglich, sondern auch sinnlos.

Social Engineering: der Mensch spielt als schwächstes Glied der Sicherheitskette in der Informationssicherheit eine besondere Rolle – weswegen Sensibilisierungsmaßnahmen – wie Awareness Training/ Live Phishing Training von herausragender Wichtigkeit sind.

 

Informationssicherheitsmanagement: Technik, Menschen, Prozesse

Informationssicherheit entsteht aus dem Zusammenwirken von Technologie, Organisation mit ihren Prozessen und Menschen. Nicht von ungefähr steht ein ISMS (Informations-Sicherheits-Management-System) am Anfang und im Zentrum aller Bemühungen.

Informationssicherheitsmanagement ist erfolgreich, wenn Technologien, Menschen und Prozesse aufeinander abgestimmt sind und sich schnell, flexibel, nachhaltig und dauerhaft an immer neue Bedrohungslagen anpassen können.

 

  • Technologien – sichere Technik, kontrollierter Zugang zu Gebäuden, Geräten und Diensten
  • MenschenSensibilisierung, Schulung, Phishing Simulationen, Sicherheitstraining, Sicherheitskultur
  • Prozesse – Richtlinien, Risikomanagement, Krisenmanagement, Unternehmenskommunikation

 

Wir beraten Sie kontaktieren Sie uns!

Informationssicherheit und Datenschutz

Sichere Mitarbeiter für eine nachhaltige Sicherheitskultur

 

Cyberkriminalität ist Teil der Digitalisierung.

Angriffe auf digitale Infrastrukturen und digitale Angebote nehmen weltweit zu. Cyberkriminalität hat sich professionalisiert und ist zu einer gut organisierten, arbeitsteiligen Schattenwirtschaft – um nicht zu sagen: zu einem Wirtschaftszweig – geworden.

Künstliche Intelligenz hilft Cyber- kriminellen in allen Phasen eines Angriffs, sorgt dafür, dass Angriffe weitgehend automatisiert zielper- sonengenau ge- staltet werden. Das erhöht die Anzahl möglicher Angriffe und Angriffs- varianten exponentiell. Inzwischen reichen Cyberkriminellen weniger als 3 Sekunden einer Sprachnachricht, um mithilfe generativer KI die Stimme eines Menschen zu klonen und damit einen Telefonanruf, ein Gespräch oder ein Video zu fälschen.

 

Hochwertige Ziele haben Vorrang

Cyberangriffe streben nach Effizienz. Hochwertige Ziele – Ziele, bei denen mit wenig Aufwand eine „gute“ Ergebnisse erzielt werden können – sind aus diesem Grund besonders beliebt – und besonders gefährdet.

Der Gesetzgeber hat reagiert und stellt mit NIS2 an Unternehmen und Organisationen bestimmter Größenklassen oder in kritischen Infrastrukturen hohe Anforderungen an Maßnahmen zur Schadensabwehr, Business Continuity Management und Resilienz.

 

Mitarbeiter müssen geschult werden

So gut wie alle erfolgreichen Angriffe auf die Informationssicherheit brau- chen die „Hilfe“ von jemandem, der einen Computer bedient: Entwickler, die auf Funktionalität achten, aber nicht auf Sicherheit; Systemad- ministratoren, die Software und Geräte nicht ausreichend sicher konfigurieren; Sachbearbeiter, die bei ihrer Arbeit Anforderungen von Informationssicherheit und Daten- schutz außer Acht lassen; und schließlich Benutzer, die Sicherheit als gegeben ansehen und mit der Benutzerschnittstelle Dinge tun, an die niemand gedacht hat.

Zum Security Operations Center (SOC) gehört deswegen auf jeden Fall auch ein Security Learning Center (SLC), das für Mitarbeiter und Nutzer rollenbasiertes Training anbietet. Informationssicherheit ohne geschul- tes Personal ist nicht möglich, Schulungen für Personal werden deshalb jetzt auch vom Gesetzgeber gefordert.

Frei nach Loriot: Sicherheit vor Cyberangriffen ohne Lernumgebung ist nicht nur unmöglich, sondern auch sinnlos.

Social Engineering: der Mensch spielt als schwächstes Glied der Sicherheitskette in der Informationssicherheit eine besondere Rolle – weswegen Sensibilisierungs- maßnahmen – wie Awareness Training/ Live Phishing Training von herausragender Wichtigkeit sind.

 

Informationssicherheits-Management: Technik, Menschen, Prozesse

Informationssicherheit entsteht aus dem Zusammenwirken von Techno- logie, Organisation mit ihren Prozessen und Menschen. Nicht von ungefähr steht ein ISMS (Informations – Sicherheits – Management – System) am Anfang und im Zentrum aller Bemühungen.

Informations – Sicherheits – Management ist erfolgreich, wenn Technologien, Menschen und Prozesse aufeinander abgestimmt sind und sich schnell, flexibel, nachhaltig und dauerhaft an die immer neuen Bedrohungslagen anpassen können.

  • Technologien – sichere Technik, kontrollierter Zugang zu Gebäuden, Geräten und Diensten
  • Technologien – sichere Technik, kontrollierter Zugang zu Gebäuden, Geräten und Diensten
  • Prozesse – Richtlinien, Risiko-Management, Krisen-Management, Unternehmens-Kommunikation

 

Wir beraten Sie  kontaktieren Sie uns!

Technik

Sichere Infrastruktur für Ihre Informationen

Ihre Informationen brauchen eine sichere IT-Infrastruktur. Wir unterstützen Sie bei der Absicherung der Datenspeicherung, Datenübertragung und Datenverarbeitung auf eigenen Geräten, in der Cloud und damit verbundenen Geräten und Netzen.

Dies geschieht unter anderem durch:

 

  • Dokumentation und Bewertung Ihres aktuellen technischen Sicherheitsstands anhand des von Ihnen geplanten oder schon eingesetzten ISMS-Frameworks
  • Unterstützung bei der Planung Ihrer Sicherheitsmaßnahmen
  • Hilfe bei der Konfiguration von technischen Komponenten und Protokollen
  • Beratung hinsichtlich der Überwachung Ihrer IT-Infrastruktur mit mit Abweichungsbericht

Technik

Sichere Infrastruktur für Ihre Informationen

Ihre Informationen brauchen eine sichere IT-Infrastruktur.

Wir unterstützen Sie bei der Absicherung der Datenspeicherung, Datenübertragung und Datenverarbeitung auf eigenen Geräten, in der Cloud und damit verbundenen Geräten und Netzen.

Dies geschieht unter anderem durch:

 

  • Dokumentation und Bewertung Ihres aktuellen technischen Sicherheitsstands anhand des von Ihnen geplanten oder schon eingesetzten ISMS-Frameworks
  • Unterstützung bei der Planung Ihrer Sicherheitsmaßnahmen
  • Hilfe bei der Konfiguration von technischen Komponenten und Protokollen
  • Beratung hinsichtlich der Überwachung Ihrer IT-Infrastruktur mit Abweichungsbericht

Menschen

Sensibilisierungs-Kampagnen, Phishing-Simulationen, Schulungen

Wir helfen bei der Vorbereitung und Durchführung von Sensibilisierungs-Kampagnen, Phishing-Simulationen und bei der Erstellung und Umsetzung von Schulungs-Konzepten für eine Lernumgebung, die dem Faktor Mensch in der Informationssicherheit gerecht wird und die rechtlichen Vorgaben erfüllt.

Es unterstützt Sie ein interdisziplinäres Team von Psychologen, Technikern und Kommunikationsfachleuten bei der Realisierung eines ganzheitlichen Konzepts, das ihre Human Firewall nachhaltig stärkt.

Informationen zu unserem Ansatz finden Sie hier:

 

Prozesse

Sicherheitsprozesse und Sicherheitskultur

Informationssicherheit ist immer so gut wie die Sicherheitsprozesse und die Sicherheitskultur in einer Organisation.

Wir unterstützen Sie bei der Konzeption, der Einführung und dem Betrieb Ihres ISMS und Ihrer Sicherheitsstrategie.

Unsere Prämissen sind dabei „Hilfe zur Selbsthilfe“ und „lebbare Informationssicherheit“ im Rahmen Ihrer Bedürfnisse und Möglichkeiten.

Das Ergebnis genügt den gängigen nationalen und internationalen Referenzstandards sowie den jeweils aktuellen Gesetzeslagen und der bisher erfolgten Rechtsprechung.

ISMS

ISMS: Informations-Sicherheits-Management-System. Wir beraten Sie.

Praktiker in Schleswig-Holstein haben deshalb mit SiKoSH eine Vorgehensweise entwickelt, die es auch Organisationen mit wenig Zeit und Mitteln ermöglicht, ein professionelles ISMS umzusetzen und die Organisation so abzusichern, um den gesetzlichen Verpflichtungen nachzukommen.

Die SiKoSH Vorgehensweise (ITVSH) ist aufwandsarmer Einstieg in das Thema ISMS.

Wir beraten Sie und helfen Ihnen bei der Implementierung eines ISMS – und wir sorgen dafür, dass Sie die ISMS – Prozesse in einem kontinuierlichen Optimierungsprozess selbständig weiter führen können.

 

 

Social Engineering – der Mensch als schwächstes Glied der Sicherheitskette

Der berühmte und berüchtigte Hacker Kevin Mitnick beschreibt die Situation bei einem Hearing des U.S. Senats mit diesen oft zitierten Sätzen:

„Wichtig ist hier die Gesamtsituation vor Augen zu haben: Menschen verwenden unsichere Methoden, um Sicherheitsmaßnahmen zu verifizieren. Das allgemeine Vertrauen in die Sicherheit des Telefonsystems ist sicher falsch und das Beispiel, das ich gerade beschrieben habe, zeigt den Grund dafür. Die menschliche Seite der Computersicherheit wird leicht ausgenutzt und ständig übersehen. Unternehmen geben Millionen von Dollars aus für Firewalls, Verschlüsselung und Geräte für sicheren Zugang zu Ressourcen. Aber alles Geld ist verschwendet, weil sich keine dieser Maßnahmen mit dem schwächsten Glied der Sicherheitskette befasst: den Menschen, die Computersysteme benutzen, verwalten, betreiben und verantworten.“

Kevin Mitnick wurde als erster social engineer in Informationssystemen bekannt.

 

Als Social Engineering bezeichnet man eine Sammlung von Methoden, die angeborene oder habitualisierte Reaktionsweisen von Menschen ausnutzen, um sie zu Handlungen zu veranlassen, die nicht notwendigerweise in ihrem eigenen wohlverstandenen lnteresse sind.

 

Die wichtigsten Techniken des Social Engineering:

  • Reziprozität
  • Committment & Konsistenz
  • Soziale Bewährtheit
  • Autorität
  • Sympathie
  • Knappheit

Zusammen mit Techniken des Cognitive Engineering und unter Ausnutzung kognitiven Verzerrungen haben Cyberkriminelle eine Auswahl von wirksamen Werkzeugen für Angriffe auf Mitarbeiter und Kunden.

 

Bitte kontaktieren Sie uns bei Fragen zu den von uns im Rahmen einer Phishing Awareness Kampagne eingesetzten Werkzeugen!

Bitte
kontaktieren Sie uns bei Fragen
zu den von uns im Rahmen einer
Phishing Awareness Kampagne
eingesetzten Werkzeugen!

Interessiert? Wir sind für Sie da.