Die Digitalisierung schreitet rasant vor an. Sie bietet Unternehmen und den Menschen, die für sie arbeiten, völlig neue Möglichkeiten und Freiheiten. [...]
Der digitale Wandel birgt aber auch Risiken, die durch konsequente Maßnahmen im Bereich der Informationssicherheit entschärft werden können.
Neben Technik und Organisation stellt Informationssicherheit in unserem vernetzten, dezentralen ArbeitsÜBERALLtag vor allem für den Menschen eine neue Dimension von Herausforderungen dar. Informationssicherheit umfasst nicht nur Digitales, sondern alle schutzbedürftigen oder geheimhaltungspflichtigen Informations-Werte eines Unternehmens: von Kundendaten über Geschäftsgeheimnisse (Patente, Prototypen) bis hin zu Jahresergebnissen und Kennzahlen.
Ob diese Informationen in den Köpfen der Mitarbeitenden, auf Datenträgern oder auf Papier vorhanden sind: Zur Informationssicherheit zählen alle Konzepte, Systeme und Richtlinien, die deren Schutz sicherstellen. Die Maßnahmen müssen die technische, organisatorische und menschliche Komponente berücksichtigen. Folgerichtig spricht man vom „Dreiklang der Informationssicherheit“.
Neben der IT-Sicherheit hat ein Unternehmen also auch darauf zu achten, dass seine Prozesse sicher sind, also etwa Zugänge zu Informationen beschränkt sind. Die Mitarbeitenden selbst müssen wiederum durch ihr Verhalten im Geschäftsalltag sicherstellen, dass das Unternehmen die drei wesentlichen Schutzziele der Informationssicherheit erreicht:
- Vertraulichkeit
- Integrität
- Verfügbarkeit
Die menschliche Firewall steht an erster Stelle
Technische Schutzmechanismen wie Firewalls, Multifaktor-Authentifizierung oder automatisierte Schwachstellen Scans sind heute in der Regel hoch entwickelt. Kriminelle Organisationen oder Einzeltäter haben mittlerweile erkannt, dass die IT nicht mehr das primäre Einfallstor ins Unternehmen ist. Viel mehr sind die Mitarbeitenden oft das erste Angriffsziel.
Zwei Faktoren spielen Kriminellen in die Karten: In vielen Unternehmen mussten Mitarbeitende in kurzer Zeit den Umgang mit neuen Technologien, Arbeitsweisen und Prozessen lernen. Manche sind überfordert und unachtsam. Auch ist vielen Mitarbeitenden nicht bewusst, dass Informationssicherheit auch sie betrifft – und dass Sie nicht nur beim Öffnen von E-Mails aufpassen müssen.
„Man muss tägliche Prozesse genau überdenken, um Cyberangriffen keine Chance zu geben“, betont Florian Goldenstein, IT-Security Consultant und CISO bei Konica Minolta Business Solutions.
„Deshalb ist es so wichtig, die Menschen im Unternehmen für das Thema zu sensibilisieren. Vor diesem Hintergrund haben Cyber-Schulungen eine elementare Bedeutung, da alle im Unternehmen die Grundlagen der Informationssicherheit kennen und leben müssen.“
Social Engineering und seine Methoden
Kriminelle nutzen menschliche Schwachstellen aus, um gezielt das Vertrauen bestimmter Personen oder Personengruppen zu erlangen und dieses dann für den Diebstahl oder die Manipulation von Informationen zu missbrauchen. Oft machen sie sich menschliche Züge wie Hilfsbereitschaft, Angst oder Pflichtbewusstsein zunutze. Diese kriminelle Technik nennt sich Social Engineering.
Folgende Methoden kommen besonders häufig vor:
1.Spear-Phishing
Eine E-Mail wird von Kriminellen an eine bestimmte Person gesendet, um sie zum Klicken eines Links, zur Eingabe von Passwörtern oder zur Preisgabe von Information auf einer fingierten Oberfläche zu bewegen. Durch Fälschung der Absenderadresse und Nutzung öffentlich zugänglicher Informationen über das Unternehmen kann eine gefälschte E-Mail täuschend echt wirken.
2. Telefon-Spoofing
Kriminelle rufen eine bestimmte Person an und fälschen die übermittelte Rufnummer. Die angerufene Person hat den Eindruck, dass der Anruf aus dem eigenen Unternehmen oder einem Partnerunternehmen getätigt wird. Gerade wenn sich Mitarbeitende verschiedener Abteilungen oder Standorte nicht persönlich kennen, fällt die Täuschung kaum auf.
3. CEO-Fraud
In einer fingierten E-Mail oder mit einem gefälschten Anruf geben sich Kriminelle als Geschäftsführende oder Management aus – also als Personen, die mehrere Hierarchiestufen über dem Opfer der Täuschung stehen. Sie geben Anweisungen, die kriminelle Handlungen begünstigen, und weisen auf Dringlichkeit und Vertraulichkeit hin: zum Beispiel eine Express-Überweisung auf ein Nummernkonto.
Lücken in der Informationssicherheit schließen
Neben klassischen Offline- und Online Schulungen zur Informationssicherheit bietet ein Sensibilisierungs-Training mittels realistischer Simulationen maximale Lerneffekte für die Mitarbeitenden. Hier für entwickelt ein externer Dienstleister wie Konica Minolta Business Solutions mit seinen IT-Sicherheitsexperten gezielte Awareness-Kampagnen, die auf die Mitarbeitenden abgestimmt sind.
Eine täuschend echt anmutende Phishing-Mail, ein auf dem Parkplatz liegen gelassener USB-Stick, eine fremde Person in der Video-Konferenz – die „Köder“ sind vielfältig.
Die Mitarbeitenden fühlen sich bestätigt, wenn sie die simulierte Bedrohung erkennen oder erleichtert, wenn das „Hereinfallen“ auf den CEO-Fraud ohne Konsequenzen bleibt. So oder so prägen sich die Methoden ein und schaffen ein Bewusstsein dafür, vorsichtig mit Informationen umzugehen.
Training auf mehreren Ebenen
Auch auf höheren Ebenen und in Entscheidungspositionen ist Wissen zur Informationssicherheit manchmal dünn gesät. Regelmäßige Schulungen und Trainings gewährleisten, dass die verantwortlichen Positionen im Unternehmen über Bedrohungen und Abwehrtechniken genau im Bilde sind.
Effizient sind Workshops für Admins und IT-Sicherheitsbeauftragte, bei denen sie in die Rolle von Cyber-Kriminellen schlüpfen und versuchen, eigene Angriffswege zu finden. Mit dem erlangten Wissen können sie aktiv die Sicherheitslücken des Unternehmens schließen und als Multiplikatoren Bewusstsein für Informationssicherheit schaffen.
„Die menschliche Firewall ist die wichtigste im Unternehmen“, weiß Konica Minolta-Experte Goldenstein.
„Daher bieten wir Awareness als Service an, um die Mitarbeitenden regelmäßig zu trainieren. Das darf aber nicht die einzige Maßnahme zur Gefahrenabwehr sein. Wir unterstützen unsere Kunden mit Managed Services, die viele Bereiche und auch Security abdecken, beispielsweise Monitoring, Patch-Management oder Backups. Zudem bieten wir Managed Firewalls und Endpoint Protection an, denn die Sicherheit der Endgeräte – an jedem Ort – ist ein zentrales Thema.“ So wird der Grundstein für sichere hybride Arbeitsmodelle und eine sichere Unternehmens-IT gelegt.
Be the first to comment