Informationssicherheit

Datenschutz

Informations-Sicherheit &

Datenschutz

ISMS: sichere Technik | sichere Prozesse | sichere Mitarbeiter/ Sensibilisierungskampagnen und Live Phishing Training

ISMS

  • sichere Technik

  • sichere Prozesse

  • sichere Mitarbeiter

Sensibilisierungskampagnen und Live Phishing Training

Ganzheitliche Informationssicherheit für nachhaltige Sicherheitskultur

Zusammenwirken von Technologie, Mensch und Organisation 

Sicherheit entsteht aus dem Zusammenwirken von Technologie, Organisation und Menschen. Nicht von ungefähr steht ein ISMS (Informations-Sicherheits-Management-System) am Anfang und im Zentrum aller Bemühungen.Wir beraten Sie kontaktieren Sie uns!

Informationssicherheitsmanagement ist erfolgreich, wenn

  • Technologien (sichere Technik, kontrollierter Zugang zu Gebäuden, Geräten und Diensten)
  • Prozesse (Richtlinien, Risikomanagement, Krisenmanagement, Unternehmenskommunikation) und
  • Menschen (Sensibilisierung, Schulung, Sicherheitskultur)

aufeinander abgestimmt sind und sich schnell, flexibel, nachhaltig und dauerhaft an die immer neuen Bedrohungslagen anpassen können.

Ganzheitliche Informations-Sicherheit für nachhaltige Sicherheitskultur

Zusammenwirken von Technologie, Mensch und Organisation   

 

Sicherheit entsteht aus dem Zusammenwirken von Technologie, Organisation und Menschen. Nicht von ungefähr steht ein ISMS (Informations-Sicherheits-Management-System) am Anfang und im Zentrum aller Bemühungen. Wir beraten Sie  kontaktieren Sie uns!

Informationssicherheitsmanagement ist erfolgreich, wenn

  • Technologien (sichere Technik, kontrollierter Zugang zu Gebäuden, Geräten und Diensten)
  • Prozesse (Richtlinien, Risikomanagement, Krisenmanagement, Unternehmenskommunikation) und
  • Menschen (Sensibilisierung, Schulung, Sicherheitskultur)

aufeinander abgestimmt sind und sich schnell, flexibel, nachhaltig und dauerhaft an die immer neuen Bedrohungslagen anpassen können.

Technik

Sichere Infrastruktur für Ihre Informationen

Ihre Informationen brauchen eine sichere IT-Infrastruktur. Wir unterstützen Sie bei der Absicherung der Datenspeicherung, Datenübertragung und Datenverarbeitung auf eigenen Geräten, in der Cloud und damit verbundenen Geräten und Netzen. Dies geschieht unter anderem durch

  • Dokumentation und Bewertung Ihres aktuellen technischen Sicherheitsstands
  • Unterstützung bei der Planung von Anpassungen
  • Hilfe bei der Konfiguration von technischen Komponenten und Protokollen
  • Beratung hinsichtlich der Überwachung Ihrer IT-Infrastruktur mit Bericht bei Abweichungen

Menschen

Sensibilisierungs-Kampagnen und Phishing-Simulationen

Wir helfen bei der Vorbereitung und Durchführung von Sensibilisierungs-Kampagnen, Phishing-Simulationen und bei der Erstellung und Umsetzung von Schulungskonzepten, um dem Faktor Mensch in der Informationssicherheit Rechnung zu tragen. Es unterstützt Sie ein interdisziplinäres Team von Psychologen, Technikern und Kommunikationsfachleuten bei der Realisierung eines ganzheitlichen Konzepts, das ihre „human firewall“ nachhaltig stärkt, z.B. durch Sensibilisierungs-Kampagnen oder Phishing-Simulationen.

Informationen zu unserem Ansatz finden Sie hier

Prozesse

Sicherheitsprozesse und Sicherheitskultur

Informationssicherheit ist immer so gut wie die Sicherheitsprozesse und die Sicherheitskultur in einer Organisation, sei es ein Unternehmen, eine Behörde oder eine andere Einrichtung. Wir unterstützen Sie bei der Konzeption und der Einführung Ihres ISMS (Informations-Sicherheits-Management-System) und Ihrer Sicherheitsstrategie. Unsere Prämissen sind dabei „Hilfe zur Selbsthilfe“ und „lebbare Informationssicherheit“ im Rahmen Ihrer Bedürfnisse und Möglichkeiten. Das Ergebnis genügt den gängigen nationalen und internationalen Referenzstandards und den jeweils aktuellen Gesetzeslagen und der bisher erfolgten Rechtsprechung.

ISMS

ISMS: Informations-Sicherheits-Management-System. Wir beraten Sie.

Die Standards für Informationssicherheit und Datenschutz wie BSI-Grundschutz, ISO/IEC 27001, ISIS 12 oder VdS 3473 sind für kleinere Unternehmen und Organisationen oft nicht leicht umzusetzen. Praktiker in Schleswig-Holstein haben deshalb mit SiKoSH eine Vorgehensweise entwickelt, die es auch Organisationen mit wenig Zeit und Mitteln ermöglicht, ein professionelles ISMS umzusetzen und die Organisation so abzusichern um den gesetzlichen Verpflichtungen nachzukommen.

Die SiKoSH Vorgehensweise ist zertifizierbar als BSI Basisabsicherung und ein perfekter und aufwandsarmer Einstieg in das Thema ISMS.

Wir beraten Sie und helfen Ihnen bei der Implementierung eines ISMS – und wir sorgen dafür, dass Sie die ISMS – Prozesse in einem kontinuierlichen Optimierungsprozess selbständig weiter führen können.

 

Awareness Training

Die Anwort auf semantische Angriffe aus dem Net.

Der Sicherheitsguru Bruce Schneier (2000) unterscheidet drei Wellen oder Epochen von Cyberangriffen:

  • Physisch
  • Syntaktisch
  • Semantisch

Physische Angriffe richten sich gegen Geräte, Medien der Datenübertragung und elektronische Schaltkreise. Schneier ist der Meinung, dass Zusammenbrüche von Stromversorgung, Leitungen und Elekronik zwar schlimm sind, aber doch beherrschbare und lösbare Probleme.

Die zweite Welle von Angriffen nennt Schneier „syntaktische Angriffe“ – das sind Angriffe auf die Verarbeitungslogik von Rechnern und Netzwerken. Schwachstellen von Softwareprodukten fallen darunter, Probleme mit kryptographischen Algorithmen und Protokollen, Denial-of-Service Attacken, praktisch alles, was dazu führt, dass technische Abläufe in Computernetzwerken entgleisen. Schneier meint, dass wir weit davon entfernt sind, diese Angriffe zu beherrschen. Immerhin wüssten wir aber, welches Problem wir haben.

Semantische Angriffe sind die dritte und neueste Entwicklung der Sicherheitsbedrohungen. Sie zielen direkt auf uns Menschen. Gezieltes Betrügen und Täuschen von Personen gab es schon immer. Durch das Internet und die Art und Weise, wie wir es benutzen, ist Betrug und Täuschung aber unendlich viel einfacher, schneller und unkontrollierbarer geworden, wie die Phänomene Phishing, Online-Erpressung und ganz allgemein Social Engineering im Internet zeigen.

Live Phishing Training

Live Phishing Training mit Code and Concept

In 95% aller Vorfälle im Bereich Informationssicherheit und Datenschutz sind Mitarbeiter – Menschen ganz allgemein – durch ihre unsicheren Handlungen Verursacher des Schadensfalls. Die Befähigung der Mitarbeiter im Umgang mit den Unsicherheiten und Gefahren der digitalisierten Welt ist ein wichtiger Bestandteil gelebter Informationssicherheit.

Die gesetzlichen Vorgaben der DSGVO schreiben deshalb auch Sensibilisierung und Schulung von Mitarbeitern vor.

Phishing ist der wichtigste Pfad, über den Angreifer in Netzwerke und IT-Infrastrukturen kommen können. In seinen modernen Erscheinungsformen wie „Spear Phishing“ und „Business Email Compromise“ ist ein Phishing-Angriff schwer zu erkennen und Benutzer müssen dauerhaft trainiert werden. Im Training werden unsichere Verhaltensweisen gelöscht und sichere Verhaltensweisen gelernt.

Phishing Simulation ist eine Trainingsmethode mit hohem Wirkungsgrad und einem guten Preis-Leistungsverhältnis. Die Methode hat sich in den letzten Jahren als Königsweg für das Training der Mitarbeiterinnen und Mitarbeiter im Umgang mit gefährlichen E-Mails und Websites etabliert. Code and Concept empfiehlt deshalb die regelmäßige Durchführung von Phishing-Trainings in der Form von Phishing-Simulationen, etwa in der Form eines Basistrainings, Trainings zur Festigung sicherer Verhaltensweisen und ad-hoc Trainings beim Auftauchen neuer Phishing-Formen.

Code and Concept macht Phishing Simulationen am liebsten mit „on-premise“ – Werkzeugen, die im Netz des Auftraggebers installiert werden. Es verlassen keine Mitarbeiterdaten das Haus und es gibt viele technische, personelle und wettbewerbsrechtliche Vorteile. Wenn im Haus noch kein Werkzeug für die Durchführung von Phishing-Simulationen vorhanden ist, unterstützt Code and Concept den Einsatz von mehreren Phishing-Simulatoren bzw. Phishing Simulationsplattformen.

Sensibilisierungs-Kampagnen

Menschen als Verursacher von Schadenfällen

Das Schulungskonzept von Code and Concept folgt den Standards des National Institute of Standards and Technology (NIST). Die NIST-Standards finden sich im Baustein ORP.3 (Sensibilisierung und Schulung) des BSI IT-Grundschutzkompendiums wieder und wurden auch von ENISA und BaköV für die Strukturierung von Sensibilisierungsmaßnahmen übernommen.

Das Schulungskonzept kennt drei unterschiedliche Lernsituationen und Lernkontexte:

  • Sensibilisierung

  • Schulung

  • Training

  • Bildung

Sensibilisierung bezeichnet Maßnahmen zur Steigerung der Aufmerksamkeit für das Thema Informationssicherheit. Informationssicherheit soll den Benutzerinnen und Benutzern als wichtiges Thema bekannt sein und als bedeutsames Thema für den eigenen Arbeits- und Wirkungsbereich anerkannt werden. Beispiele für Sensibilisierungsmaßnahmen sind Vorträge zum Datenschutzrecht, Veranstaltungen wie „Die Hacker kommen“, Verteilen von Anleitungen, Rundschreiben des Unternehmens- oder Amtsleiters, Hinweise auf Berichterstattung in der Presse.

Schulung dient vorrangig der Wissensvermittlung in kleineren Gruppen. Im Gegensatz zu einem Vortrag werden bei einer Schulung die Teilnehmer aktiver eingebunden, es wird Gelegenheit zu Fragen und Diskussionen geboten, es wird Mitarbeit erwartet. Je nach didaktischer Ausrichtung und Dauer wird auch oft die Bezeichnung Workshop oder Kurs verwendet.

Training will relevante Fähigkeiten und Fertigkeiten vermitteln, richtiges Verhalten stärken, falsche Verhaltensweisen löschen. Training ist für Trainer und Trainierte aufwendiger als Sensibilisierungsmaßnahmen zur Stärkung der Awareness für das Thema Informationssicherheit und hat starke Übungsanteile, die die Nachhaltigkeit der Maßnahmen fördern.

„Bildung“ bezieht sich auf die Ausbildung von Personen, die sich der Informationssicherheit als Profession verschrieben haben. Bildung zeichnet Spezialisten aus. mit großer Erfahrung und tiefem Verständnis, mit Weitblick und der Fähigkeit schon Anzeichen von Schadsituationen zu erkennen und proaktiv zu reagieren.

Da Themen aus dem Bereich Datenschutz und Informationssicherheit in die Berichterstattung der Publikumspresse Eingang gefunden haben, kann eine grundlegende „Awareness“ für den Themenbereich vorausgesetzt werden und für die Sensibilisierungsbemühungen bei den Mitarbeiterinnen und Mitarbeitern genutzt werden. Es ist sinnvoll, die öffentliche Berichterstattung auch in den internen Medien (z.B. Mitarbeiterzeitschrift) aufzugreifen und darzustellen, dass das, was anderen widerfahren ist, auch in der eigenen Organisation leidvolle Realität werden kann.

Für Code and Concept ist Sensibilisierung, Training und Schulung sinnvoll als ganzheitliche Kampagne für Informationssicherheit in der durch Phishing Simulationen oder andere Trainingsangebote ein dauerhafter Rahmen von Aufmerksamkeit und Sicherheitsbewusstsein geschaffen wird.

Phishing Simulation ist eine Trainingsmethode mit hohem Wirkungsgrad und einem guten Preis-Leistungsverhältnis. Die Methode hat sich in den letzten Jahren als Königsweg für das Training der Mitarbeiterinnen und Mitarbeiter im Umgang mit gefährlichen E-Mails und Websites etabliert. Code and Concept empfiehlt deshalb die regelmäßige Durchführung von Phishing-Trainings in der Form von Phishing-Simulationen, etwa in der Form eines Basistrainings, Trainings zur Festigung sicherer Verhaltensweisen und ad-hoc Trainings beim Auftauchen neuer Phishing-Formen.

Schulungen zur Verankerung und Vertiefung von sicheren Verhaltensweisen sind effizienter und motivierender, wenn für die Seminargestaltung moderne didaktische Aufbereitungen wie Social Engineering Spiele oder Sicherheitsparcours verwendet werden. Ebenso wichtig ist es, Kolleginnen und Kollegen zur Übernahme der (informellen) Rolle des Meinungsführers und Wissensträgers für Fragen der Informationssicherheit zu ermutigen und zu fördern.

Probleme der Informationssicherheit treten im Arbeitsfluss unvorhersehbar auf und müssen ad-hoc gelöst werden. Die schnellste und beste Möglichkeit ,„jetzt gleich“ kontextbezogene Hilfe zu bekommen ist immer, die Kollegin und den Kollegen anzusprechen, die sich am besten mit der Lösung eines Problems auskennen und als „information security pal“ die entstandene Verhaltensunsicherheit kompetent und produktiv auflösen können.

Social Engineering

Der Mensch als schwächstes Glied der Sicherheitskette

Der berühmte und berüchtigte Hacker Kevin Mitnick beschreibt die Situation bei einem Hearing des U.S. Senats mit diesen oft zitierten Sätzen:

„Wichtig ist hier die Gesamtsituation vor Augen zu haben: Menschen verwenden unsichere Methoden, um Sicherheitsmaßnahmen zu verifizieren. Das allgemeine Vertrauen in die Sicherheit des Telefonsystems ist sicher falsch und das Beispiel, das ich gerade beschrieben habe, zeigt den Grund dafür. Die menschliche Seite der Computersicherheit wird leicht ausgenutzt und ständig übersehen. Unternehmen geben Millionen von Dollars aus für Firewalls, Verschlüsselung und Geräte für sicheren Zugang zu Ressourcen. Aber alles Geld ist verschwendet, weil sich keine dieser Maßnahmen mit dem schwächsten Glied der Sicherheitskette befasst: den Menschen, die Computersysteme benutzen, verwalten, betreiben und verantworten.“

Kevin Mitnick wurde als erster „social engineer“ in Informationssystemen bekannt. Als Social Engineering bezeichnet man eine Sammlung von Methoden, die angeborene oder habitualisierte Reaktionsweisen von Menschen ausnutzen, um sie zu Handlungen zu veranlassen, die nicht notwendigerweise in ihrem eigenen wohlverstandenen lnteresse sind.

Die wichtigsten sozialen Reaktionsweisen sind

  • Reziprozität
  • Kommittment & Konsistenz
  • Soziale Bewährtheit
  • Autorität
  • Sympathie
  • Knappheit

Reziprozität bezeichnet das Gefühl der Verpflichtung, auf ein Geschenk mit einer Gegenleistung zu reagieren, ein Freundschaftsangebot zu erwidern, eine Warnung („Ihr Konto wurde gesperrt“) mit dem Befolgen des Vorschlags („Benutzername und Passwort eingeben“) zu aufzunehmen.

Kommittment und Konsistenz bezieht sich auf den Wunsch der meisten Menschen, gegebene Zusagen einzuhalten und zu Meinungen zu stehen. Diese Heuristik wird im analogen Alltag von Verkäufern durch die „foot in the door“ und „low ball“ Technik ausgenutzt, im Internet bei den Nigeria-Scams: Der Angreifer fängt klein an mit der Bitte um seelischen Beistand und hat am Ende die Vorauszahlung in der Hand.

Soziale Bewährtheit steht für die Tendenz, sich in unklaren Situationen daran zu orientieren, was andere tun.

Das Erzeugen von Sympathie ist eine der wirksamsten Beeinflussungsmöglichkeiten überhaupt. Menschen lassen sich leichter von Personen beeinflussen, die sie mögen, mit denen sie Interessen teilen, die sie attraktiv finden. Spear Phishing benutzt diese Mechanismen und hat es zunehmend leicht, die benötigten Informationen in Social Network Sites zu finden.

Autorität, das betont vor allem Kevin Mitnick immer wieder, ist nach der Sympathie das zweitwirksamste Angriffsmittel und funktioniert vor allem dort hervorragend, wo Strukturen der Über- und Unterordnung die Kommunikation regeln. Das ist vor allem auch im Bankensektor der Fall, in dem der Kunde traditionell großes Vertrauen in die Kompetenz und die Fürsorge des Anbieters hat.

Knappheit spielt bei fast allen Beeinflussungsversuchen eine Rolle. Wenn man den Eindruck hat, dass die Chance vertan ist, wenn man nicht gleich reagiert, dann führt der gefühlte Zeitmangel dazu, dass man Entscheidungen unter emotionalen Bedingungen fällt, die man – im Rückblick – als „vernünftiger“ Mensch nie so gefällt hätte.

Die gute Nachricht ist: Wahrnehmung von Social Engineering Techniken kann trainiert werden, man kann Mitarbeiter gegen Social Engineering Angriffe immunisieren.

Code and Concept führt mit Ihnen Social Engineering Assessments durch und stellt mit Ihnen zusammen fest, welche Geschäftsbereiche, Ressourcen und Mitarbeiter am stärksten gefährdet sind. Die Ergebnisse werden dokumentiert und können als Benchmark für Sensibilisierung, Schulung und Training benutzt werden.

Für die Härtung Ihrer „human firewall“ entwickeln wir im Anschluss mit Ihnen zusammen passende Schulungsformate, die die Sicherheit des Faktors Mensch in Ihrem Unternehmen auf ein neues Niveau heben.

 

Bitte kontaktieren Sie uns bei Fragen zu den von uns im Rahmen einer Phishing Awareness Kampagne eingesetzten Werkzeugen!

Interessiert? Wir sind für Sie da.