AssCompact suche
Home
Assekuranz
25. Juli 2021
„Es ist für Hacker viel leichter, einen Menschen anzugreifen als einen Computer"

„Es ist für Hacker viel leichter, einen Menschen anzugreifen als einen Computer"

Die COGITANDA Risk Prevention GmbH gehört zur COGITANDA Gruppe und befasst sich mit der Prävention von Cyberrisiken. Sie unterstützt Kunden bei der Identifikation von Schwachstellen und Cyberrisiken, um diese durch angemessene Maßnahmen zu reduzieren.

Interview mit Dr. Florian Wrobel, Geschäftsführer der COGITANDA Risk Prevention GmbH
Herr Dr. Wrobel, Risikoprävention ist für Unternehmen im Bereich Cyber Security unerlässlich. Wie ist es darum bestellt?

Jedes Unternehmen – unabhängig von Größe und Branche – ist heutzutage Cyberrisiken ausgesetzt. Wie andere operationelle Risiken müssen auch die Cyberrisiken angemessen gesteuert werden. Aufgrund der aktuell steigenden Bedrohungslage schätze ich die Risikoprävention als unabdingbar ein. Wer sich heutzutage nicht mit Cyberprävention befasst und keine Maßnahmen gegen einen Cyberangriff einleitet, ist höchst fahrlässig unterwegs und trägt eine große Zielscheibe auf dem Rücken. Oftmals haben schon kleine Maßnahmen, die recht zügig implementiert werden können, eine immense Wirkung: Durch geeignete präventive Maßnahmen lässt sich die Wahrscheinlichkeit eines erfolgreichen Angriffs, aber auch das potenzielle Schadenausmaß reduzieren. Oftmals sind sich Unternehmen gar nicht bewusst, welcher Vielzahl an Cyber-Security-Risiken sie ausgesetzt sind.

Einer, wenn nicht sogar der bekannteste Hacker weltweit, Kevin Mitnick, sagte einst: „Die Organisationen stecken Millionen von Dollar in Firewalls und Sicherheitssysteme und verschwenden ihr Geld, da keine dieser Maßnahmen das schwächste Glied der Sicherheitskette berücksichtigt: die Anwender und Systemadministratoren.“ Wie stehen Sie zu dieser Aussage?

Diese Aussage würde ich genau so unterschreiben. Sie können die besten Firewalls, die besten Intrusion-Detection-Systeme oder den besten Anti-Virus-Schutz haben: Diese Programme werden Ihnen niemals einen vollständigen Schutz bieten und sicherstellen, dass keine Phishing-E-Mail durchkommt. Sie müssen wissen, die Qualität der Phishing-E-Mails ist in den letzten Jahren enorm gestiegen.

Die elektrischen Systeme und Computer sind heutzutage oft sehr gut geschützt, und Hacker wissen das. Natürlich möchten auch Cyberkriminelle effektiv und effizient arbeiten – es ist für Hacker viel leichter, einen Menschen anzugreifen als einen Computer. Wir bezeichnen daher sämtliche Mitarbeiter und Führungskräfte als die erste „Verteidigungs­linie“ gegen Hackerangriffe. Damit sie dieser Rolle gerecht werden können, müssen eine entsprechende Ausbildung und Schulungen stattfinden.

Wenn der Ausbildung der Mitarbeiter so eine wichtige Bedeutung zukommt: Wie geht man das Thema aus Ihrer Sicht am besten an?

In unseren Audits erleben wir sehr oft, dass es in Sachen Schulung und Ausbildung der Belegschaft einen sehr großen Nachholbedarf gibt. Es ist für Unternehmen unabdingbar, in die Schulung ihrer Mitarbeiter zu investieren. Das Trainingsprogramm von kleinen und mittelständigen Unternehmen ist häufig nicht zeitgemäß. Oft wird das Thema Cyber Security nur einmal im Jahr in einer langen PowerPoint-Präsentation behandelt – eine solche Herangehensweise halte ich in diesem Kontext für absolut unzureichend. Der Mitarbeiter ist unkonzentriert und hört nur halbherzig zu. Am Ende des Tages hat der Mitarbeiter vielleicht verstanden, was Phishing ist, aber er denkt sich „es wird mir selbst eh nie passieren“ und der Lerneffekt ist minimal.

Wir bei der COGITANDA Risk Prevention GmbH setzen auf praktische Schulungen: Wir bieten unseren Kunden zum Beispiel gezielte Phishing-Simulationen an, bei der wir den Mitarbeitern des Unternehmens eine Fake-Phishing-E-Mail zusenden.

Wie erfolgreich sind solche Phishing-Simulationen?

Sehr erfolgreich. Wir sehen immer wieder, dass eine Vielzahl der Mitarbeiter auf eine simulierte Phishing-E-Mail reinfällt – vom Sachbearbeiter bis zum CEO – das kann jedem passieren, der nicht entsprechend geschult wurde. Für Unternehmen, die das Thema Phishing bislang noch nicht aktiv behandelt haben, liegt der Erwartungswert bzw. die Baseline bei 30%. Also 30% der Belegschaft fallen auf den ersten simulierten Phishing-Angriff rein. Und vergessen Sie nicht – im Ernstfall reicht bereits ein einziger Klick, um das Unternehmen stillzulegen.

Wenn der Mitarbeiter im Rahmen der Simulationen dann auf eine Fake-Phishing-E-Mail reinfällt, öffnet sich ein Browser-Fenster, in dem steht: „Noch mal Glück gehabt, das war zum Glück nur eine Übung. Nächstes Mal bitte vorsichtiger sein.“ Und hier finden die Lerneffekte statt: Man läuft rot an, das Adrenalin schießt in die Höhe, man weiß instinktiv, dass man gerade Mist gebaut hat. Und glauben Sie mir, bei der nächsten E-Mail ist der Mitarbeiter wachsamer.

Wie kann man mit einfachen Mitteln für eine erfolgreiche Prävention sorgen?

Eine erfolgreiche Prävention basiert auf vielen organisatorischen und technischen Aspekten, und insbesondere auf der organisatorischen Seite kann man mit einfachen Mitteln schon viel bewegen. Es ist unvermeidlich, die Verantwortlichkeiten für die Informationssicherheit im Unternehmen festzulegen, häufig in Form eines Informationssicherheitsbeauftragten (ISB).

In weiteren Schritten sollten dann klare Sicherheitsvorgaben an alle Beschäftigten kommuniziert und die Ausbildung der Mitarbeiter in Cyber-Security-Themen vorangebracht werden. Auf technischer Seite sollten Sie als absolute Grund­voraussetzung einen aktuellen Virenschutz sowie auch das regelmäßige Durchführen von Software-Updates sicherstellen. Auch Datensicherungen müssen regelmäßig erstellt und vor Angriffen entsprechend geschützt werden.

Welche Dienstleistungen bieten Sie seitens der COGITANDA Risk Prevention an?

Unser Dienstleistungsangebot teilt sich in drei große Bereiche: erstens Audits und technische Überprüfungen, zweitens Awareness-­Management und drittens die Cyber-Security-Beratung. Im ersten Schritt wird zuerst das Sicherheitsniveau unserer Kunden ermittelt. Hier bieten wir in Abhängigkeit der Unternehmensgröße verschiedene Auditvarianten an.

Besonders beliebt ist aktuell der „1st Cyber Monitor“. Diese Audit­variante bietet sich für jedes Unternehmen an, egal ob mit fünf oder 500 Mitarbeitern. Im Rahmen eines zweistündigen Gesprächs werden hier sowohl organisatorische als auch technische Aspekte der Informationssicherheit gemeinsam mit dem Kunden besprochen und entsprechende Schwachstellen bzw. Risiken aufgedeckt.

Wie sieht es mit praxisnahen Tests aus?

Wenn Sie ergänzend einmal testen möchten, ob Ihr Unternehmen einem echten Hackerangriff standhalten würde, können Sie das mit uns gerne im Rahmen der technischen Überprüfungen machen, zum Beispiel im Rahmen von Penetrationstests. Wie bereits angesprochen, kommt der Ausbildung der Mitarbeiter und Führungskräfte eine ganz besondere Bedeutung zu.

Neben klassischen Schulungsworkshops liegen uns besonders innovative Schulungskonzepte am Herzen. Hier bieten wir zum Beispiel Live-Hacking-Sessions an, in denen die Mitarbeiter live miterleben können, wie ein Hacker arbeitet, oder auch die angesprochenen Phishing-Simulationen. Zu guter Letzt lassen wir unsere Kunden mit den Ergebnissen eines Audits nicht allein. Im Rahmen der Cyber-Security-Beratung beraten wir unsere Kunden bei allen Fragen, die in den Bereichen Informationssicherheit, Datenschutz, Notfallmanagement und Informationssicherheitsmanagement vorkommen.

Das Interview lesen Sie auch in AssCompact 07/202 und in unserem ePaper.

Bild: © Thaut Images – stock.adobe.com

 
Interview mit
Dr. Florian Wrobel
  • Anmelden, um Kommentare verfassen zu können

Ähnliche News

Assekuranz
Two colleagues working together to protect clients confidential information and cyber security. IT hologram padlock icons modern office background at night time
Baloise macht Anpassungen bei der Cyberversicherung
Anfang des Monats hat Baloise einige Änderungen in der Cyberversicherung an den Start gebracht. Neben neuen Leistungen wurde im Zuge der Aktualisierung auch das Preis-Leistungs-Verhältnis für Firmenkunden optimiert, wie der Versicherer bekannt gegeben hat. weiterlesen
Assekuranz
„Makler sind für Beazley wichtige Partner“
Der Versicherer Beazley ist hierzulande auf Cyber und Financial Lines spezialisiert und will nun das Europa-Geschäft ausbauen. Welche Ziele hat der Versicherer im Blick? Welche Maßnahmen will er in der Zusammenarbeit mit Maklern ergreifen? Und wie unterscheidet sich Beazley von Anbietern im Markt? weiterlesen
Assekuranz
Shield Icon and HUD in hands of cyber security in smart city, Digital Data Network Protection, Technology global network big data analysis background concept
Gothaer bietet großen Firmen digitalen Cyberabschluss
Bei der Gothaer können künftig auch große Unternehmen mit einem Umsatz von 10 bis 50 Mio. Euro ihren Cyberschutz komplett online abschließen. Die digital abschließbare Police wird dabei über eine smarte Plattform von Thinksurance angeboten. weiterlesen