Publizierter Artikel bei KSGV als PDF: ksgv.ch – Gewerbeverband – CyberSecurity Sensilibisierung – Risiko Phishing Email – Ausgabe Sept 2018 – Fridels_BLOG_F@R
Gerade sehr aktuell in letzter Zeit kommen im mehr Unsicherheiten und Fragen auf rund um die vielen eingehenden, teilweise gut getarnten oder mit falschen Absenderidentitäten gefälschten Mails, sogenannten Phishing-Mails.
Solche gefälschten Mails sind in letzter Zeit in grosser Zahl von scheinbar vertrauenswürdigen, namhaften Firmen gekommen wie z.B. Swisscom, UBS, CSS, SBB, Microsoft, Paypal, Amazon
Fast 90% der erfolgreichen Cyberangriffe beginnen mit solchen Phishing-Attacken oder der auch als „Social Engineering“ bezeichneten Manipulation von Menschen (Missbrauch der natürlich Tendenz zum Vertrauen), um an deren vertrauliche Informationen zu kommen. Die Schadsoftware gelangt z.B. per Email-Anhang, über Aufruf von schädlichen Links oder „infizierte“ Webseiten auf das System. Das Risiko, von einem derartigen Angriff getroffen zu werden, kann man heute mit verhältnismäßig kleinem Budget und relativ einfach beherrschbaren und automatisierten Cloud-Services massiv reduzieren. Es eignet sich z.B. Emaillösung auf Basis Office365, Reduktion von Datentransfers per Email mittels moderner, sicherer Collaboration mittels Microsoft Sharepoint, Emailsignierung und / oder –verschlüsselung, Managed Mailsecurity, Managed Security Services oder auch ein «einfaches und preisgünstiges» Cloud-Backup.
Die unverändert wichtigste Grundlage für alle Schutzmaßnahmen auf Seite der Endanwender sind aktuelle, korrekt eingerichtete und laufend aktualisierte Betriebssysteme. Und natürlich Programme wie Virenschutz, Anti-Malware-Monitoring oder Baseline-Analyzer, die den PC auf Sicherheitslücken überprüfen. Auch hier gibt es bereits proaktive und zentral verwaltbare Lösungen, die sich geschickt kombinieren lassen und sich zentral steuern lassen bei grösseren IT-Organisationen.
60% des Datenverlusts, der den Ruf oder die Existenz einer Firma bedrohen könnte, entsteht durch Diebstahl oder Manipulation (z.B. Verschlüsselung der Daten und gleichzeitiger Erpressung von Lösegeld, z.B. sogenannte Ransomware). Dieses Risiko kann mittels gut kombinierbaren Cloud-Services (auch in Kombination von OnPrem und Public Cloud Services bzw. Hybrid Cloud) auf ein Minimum reduziert werden. Wer zum Beispiel seine Emails oder sogar alle Daten verschlüsselt überträgt, Emailkommunikation mittels anderer Datenaustausch-Optionen (wie z.B. Microsoft Office365, Sharepoint, OneDrive) optimiert oder reduziert, regelmäßig standort- und geräte-unabhängige Backups in der Cloud sichert oder auch auf einer Gesamtlösung in der Cloud aufbaut, minimiert die Bedrohungslage deutlich.
Im Zentrum der Computer-Kriminalität steht allerdings unverändert der Mensch / Mitarbeiter als Ziel. Mitarbeiter können jedoch als aktive Beteiligte im Kampf gegen IT-Risiken miteinbezogen werden. Mit einer generellen Sensibilisierung dem Thema gegenüber, gezielten Schulungen und weitergehenden Trainings und auch Tests, aber auch über eine IT Security Policy (Regeln und Weisungen rund im die EDV-Anwendung), die im Arbeitsvertrag verbindlich hinterlegt werden kann.
Sicherheit als explizite Anforderung in einen Entwicklungsprozess aufzunehmen und ganzheitliche Sicherheitsmaßnahmen von der Initialisierung an zu berücksichtigen ist richtig. Auch ist zunehmend die Orientierung an «Stand der Technik» unumgänglich in der dynamischen Bedrohungslage und zunehmenden regulatorischen Ausrichtungen an ebenfalls «Stand der Technik»
Mit kombinierten Maßnahmen lässt sich gut eine “Security by Design” / “Security by Default” Gesamtlösung realisieren, die auch an die Anforderungen des europäischen Datenschutzes (EU-DSGVO, GDPR) angepasst ist. Weitergehende Anforderungen und Compliance-Vorgaben gemäß der eigenen IT-Firmen-Strategie werden durch präventive Maßnahmen sinnvoll und budgetierbar unterstützt. Der Maturitäts-Level / Reife-Grad von einer nachhaltigen und zukunftsorientierten IT-Gesamtlösung kann mit dem Mindset und Massnahmen rund um «Stand der Technik», «Security by design» und «Security by default» optimiert werden.
“Make or buy”-Entscheidungen im Bereich dieser Managed Security Services und Cloud Services sind mittlerweile relativ einfach geworden. So gibt es international tätige Services-Anbieter und deren zertifizierte Partner in allen Ländern, die mit höchstspezialisierten Security-Spezialisten im 7x24h-Betrieb zusammenarbeiten und mittels global operierenden Security Responce Operation Centers einen völlig anderen Schutzgrad erreichen können. Solche Milliarden-Investitionen in die globalen Sicherheitsgesamtaspekte von solchen kritischen. global betriebenen Infrastrukturen im Mitbewerber-Kampf zeigen hier natürlich bereits grosse und positive Wirkung. Da mit der zunehmenden Größe einer Industrie im grossen Konkurrenzdruck die Kosten pro Einheit abnehmen – der sogenannte „economy of scale“-Effekt – ist bereits heute eine erschwingliche und automatisierbare Nutzung solcher globalen «Enterprise-Lösungen» auch für kleine und mittlere Unternehmen sowie Non-Profit-Organisationen möglich. Durch solche Effekte können auch negative und risikoreiche Aspekte von «Schatten-Informatik / ShadowIT-Altlasten» in einzelnen Schritten und Phasen optimiert und behoben werden mittels moderaten und überschaubare budgetierbaren Kosten.
