Cyber-Kriminalität – Wer an der falschen Stelle spart, zahlt am Ende mehr

Die gute Nachricht: Die beste Verteidigung gegen Cyber-Kriminelle ist auch die kostengünstigste. Die schlechte Nachricht: Es ist auch die am wenigsten erfolgreiche. [...]

Foto: methodshop/Pixabay

Der europäische Monat für Cybersicherheit liegt noch nicht lange zurück. Der “European Cybersecurity Month” (ECSM), so die korrekte Bezeichnung, ist eine seit 2012 stattfindende jährliche Kampagne der EU, die das Bewusstsein für Cybersicherheit stärken soll.

Koordiniert wird das Ganze von der EU-Agentur für Cybersicherheit (ENISA) und der EU-Kommission. In Deutschland koordiniert das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aktionen zu den großen Themen IT-Sicherheit, Schulungen und die generelle Sensibilisierung von Firmen und Nutzern.

Leider haben sowohl Firmen als auch einzelne deutlichen Nachholbedarf. Immer wieder gelingt es Cyberkriminellen trotz teuer eingekaufter Sicherheitslösungen, in Firmennetze einzudringen. Angeführt werden die Statistiken von Phishing, geknackten und gestohlenen Passwörtern, physischen Angriffen und Social Engineering. Aber fast alle Arten von Angriffen lassen sich, wenn nicht verhindern so doch drastisch reduzieren.

Das gelingt vor allem dann, wenn Mitarbeiter die Schulungen der IT-Abteilung zu digitalen Verhaltensweisen wirklich verstanden haben und in ihrem Arbeitsumfeld konkret umsetzen können. Gleichzeitig ist es eindeutig kostengünstiger, jemandem aus der Buchhaltung beizubringen, keine verdächtigen PDF-Dateien zu öffnen, die an eine E-Mail “vom Direktor” angehängt wurden. In der Realität ist es leider nicht ganz so einfach.

Sieben von zehn Unternehmen unter Beschuss

Jeder Beschäftigte weiß mittlerweile, warum IT-Sicherheit für den Fortbestand und das Überleben des Unternehmens entscheidend ist. Die überwiegende Mehrheit kennt die notwendigen Aktionen und Sicherheitsmaßnahmen, um ein angemessenes Sicherheitsniveau aufrechtzuerhalten. Zwischen guter Absicht und praktischer Umsetzung klafft allerdings eine deutliche Lücke.

Die meisten Mitarbeitenden gehen entweder (fälschlicherweise) davon aus, dass sie durch Softwarelösungen des Unternehmens ausreichend geschützt sind, oder sie sind im beruflichen Alltag so eingespannt, dass

Sicherheitsrichtlinien und Best Practices zu kurz kommen. Wider besseren Wissens geht auch manch einer immer noch davon aus, nicht betroffen zu sein. Fehleinschätzungen wie diese führen regelmäßig dazu, dass Nutzer selbst mit den besten Absichten auf Phishing-Angriffe und CEO-Fraud hereinfallen, bösartige Dateien öffnen oder wie zufällig herumliegende USB-Sticks an ihren Rechner einstecken und automatisch eine Malware einspielen – was beispielsweise eine Ransomware-Attacke in Gang setzt.

Eine Umfrage des dänischen Unternehmerverbands hat beispielsweise ergeben, dass sieben von zehn Unternehmen in den letzten zwei Jahren Ziel von Angriffsversuchen durch Cyberkriminelle waren. Nach einer Studie des Bitkom vom August diesen Jahres entstand der deutschen Wirtschaft durch Diebstahl von Daten, Spionage und Sabotage ein Schaden von 203 Milliarden Euro.

Dabei wird nach Angaben des Bitkom praktisch jedes Unternehmen zum Opfer: 84 Prozent aller Firmen waren im vergangenen Jahr betroffen, weitere 9 Prozent gehen davon aus. Zugleich haben sich die Angriffe professionalisiert. Sämtliche Statistiken zeigen zudem einen starken Anstieg nach der Corona-Pandemie. Jeder, der in der IT-Sicherheit tätig ist, weiß, dass es nur eine Frage der Zeit ist, bis es zu Angriffen kommt.

Weniger menschliche Fehler – weniger Angriffe

Welche Maßnahmen tragen also dazu bei, einen hohen Standard bei der IT-Sicherheitshygiene zu gewährleisten? Neun von zehn erfolgreichen Angriffen gehen auf menschliches Versagen zurück. Aber die Erfahrung lehrt, dass sich die Zahl der Fehler durch Aus- und Weiterbildung drastisch senken lässt.

Ein guter Tipp ist, die Schulungen so relevant, praxisnah und verständlich wie möglich zu gestalten. Denken Sie etwa an alltägliche Beispiele von Phishing-E-Mails oder CEO-Betrug, die in Ihrem Unternehmen bereits vorkommen und somit nah an der Realität sind. Dann erkennen Mitarbeiter sehr klar, dass ihre Firma aktuell bereits angegriffen wird. Machen Sie deutlich, welche Konsequenzen ein Angriff haben kann.

Dabei sollten Sie nicht zu viel auf einmal wollen. Ein Sicherheitstraining in kleinen Einheiten mit unterschiedlichen Themen über einen längeren Zeitraum ist deutlich wirkungsvoller als Marathonsitzungen.

So dienen die einzelnen Einheiten auch zur Auffrischung von früheren Schulungen. Daneben sollten Sicherheitsmaßnahmen einfach umzusetzen und nachvollziehbar sein. Das heißt, Sie sollten Art und Umfang von Schulungen an den verschiedenen internen Mitarbeitergruppen ausrichten. Trainings für die Buchhaltung sind inhaltlich anders aufgebaut als solche für den Vertrieb.

Aber am wichtigsten ist: All das muss immer im Dialog mit den Mitarbeitern geschehen. Bezieht man die Nutzer nicht ein, bleibt es oft bei der guten Absicht – und in der Realität halten sich schlechte Gewohnheiten hartnäckig.

Der Markt hält Spezialisten bereit, die sich mit der geeigneten Herangehensweise auskennen, und es ist nicht schlechteste Idee bei Bedarf auf externe Unterstützung zu setzen.

vipre.com/de/

powered by www.it-daily.net


Mehr Artikel

News

Game Development Studie 2024: Knowhow aus Österreich ist weltweit gefragt

Nie zuvor hat eine so große Zahl heimischer Entwickler zum Erfolg internationaler Top-Games aber auch zur digitalen Transformation der österreichischen Wirtschaft beigetragen. Die heimischen Game Developer generieren einen gesamtwirtschaftlichen Umsatz von 188,7 Millionen Euro. Jeder Arbeitsplatz in einem Unternehmen der Spieleentwicklung sichert mehr als einen weiteren Arbeitsplatz in Österreich ab. […]

News

Kunden vertrauen Unternehmen immer weniger

Das Vertrauen von Verbraucher:innen in Unternehmen hat den niedrigsten Stand der letzten Jahre erreicht. Fast drei Viertel (72 Prozent) der Verbraucher:innen weltweit vertrauen Unternehmen weniger als noch vor einem Jahr. Als wichtigsten Grund geben 65 Prozent der Befragten in einer Umfrage von Salesforce an, dass Unternehmen leichtfertig mit den Daten ihrer Kund:innen umgehen. […]

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*