Die Bedrohungslage im Cybersecurity-Umfeld hat sich in den letzten Jahren massiv gewandelt. Insbesondere die Art, wie Cyberangriffe heutzutage durchgeführt werden, hat sich verändert. [...]
Technische Schwachstellen auszunutzen, rückt für Cyberkriminelle zunehmend in den Hintergrund. Erfolgversprechender ist oftmals die (Aus-)Nutzung des Menschen als Einfallstor in gesicherte IT-Systeme. Und die Methoden der Angreifer gewinnen stetig an Raffinesse, wenn es darum geht, die „größte Schwachstelle der IT“ – den einzelnen Mitarbeiter – zu attackieren. Insbesondere der Angriffsvektor E-Mail spielt in diesem Zusammenhang eine herausragende Rolle.
Damit ein IT-System mit Schadsoftware infiziert werden kann – sei es mit einer Ransomware, einem Trojaner, einem Stealer oder einer anderen Form von Malware – ist in 99 Prozent aller Fälle eine vorherige Aktion des Benutzers erforderlich. Eine Vielzahl von Angestellten ist sich über diese Tatsache jedoch gar nicht im Klaren. Schon seit Jahren versuchen Unternehmen daher, die eigenen Mitarbeiter durch unterschiedlichste Schulungen für das Thema zu sensibilisieren und diese Sicherheitslücke bestmöglich zu Schließen. Die Erfahrungen mit gängigen Schulungen und Trainings im Bereich IT-Sicherheit für Angestellte zeigen jedoch, dass die klassische Herangehensweise, bei der die Mitarbeiter mit konventionellem Frontalunterricht in Sachen IT-Security geschult werden, versagt hat. Noch immer fallen Unternehmensmitarbeiter reihenweise auf betrügerische E-Mails, Social-Media-Nachrichten oder sogar Anrufe herein und gefährden so die Sicherheit der gesamten Organisation. Die Liste von Unternehmen, die Opfer derartiger Angriffe wurden, ist lang und wird mit jedem Tag länger. Doch wenn traditionelle Schulungsmethoden nicht greifen, wie lassen sich Angestellte stattdessen bestmöglich auf moderne Bedrohungen vorbereiten?
Unkenntnis bei der IT-Sicherheit birgt Gefahren
Cyberkriminelle machen sich häufig die Naivität und die Unwissenheit von Mitarbeitern zunutze, indem die Angreifer sie mit simplen Social-Engineering-Methoden zu einer unbedachten Handlung verleiten. Aber wo sind die Wissenslücken am größten? Um das herauszufinden hat der US-amerikanische Cybersecurity Spezialist Proofpoint Ende letzten Jahres in einer Untersuchung über 6.000 Angestellte in Deutschland, den USA, Großbritannien, Frankreich, Italien und Australien befragt. Die Teilnehmer der Studie bekleiden in ihren Unternehmen die unterschiedlichsten Positionen – angefangen mit dem Auszubildenden bis hin zum Geschäftsführer. Die Ergebnisse der Untersuchung waren ernüchternd. Es konnten zum Teil erhebliche Wissensdefizite nachgewiesen werden, was den Kenntnisstand hinsichtlich IT-Sicherheit im Alltag betraf.
Die Absicherung von IT-Systemen beginnt schon mit der Wahl sicherer Passwörter und Zugangscodes. Zumeist müssen sich Nutzer bei der Wahl Ihres Passworts für eine Software oder einen Online-Dienst, an eine bestimmte Zusammensetzung der Zeichen (Großbuchstaben, Zahlen, Sonderzeichen) halten, um die Sicherheit des Kennworts zu erhöhen. Doch bereits hier offenbarten sich teils massive Lücken bei den Befragten. Häufig haben Nutzer Schwierigkeiten damit, sich viele verschieden Kennwörter zu merken. Rund jeder Fünfte Befragte (21 Prozent) verstieg sich daher darauf, nur ein bis zwei Passwörter für alle Online-Konten zu nutzen – eine ganz offensichtlich riskante Art mit einer Vielzahl von Web-Diensten umzugehen. Solch ein Verhalten gefährdet nicht nur die Integrität der privaten Accounts, sondern es setzt auch den Arbeitgeber einem vermeidbaren Risiko aus. Insbesondere, wenn einem der genutzten Dienste die Kundendaten abhandenkommen – was in letzter Zeit leider häufiger geschieht – können sich Cyberkriminelle die so gewonnenen Daten zunutze machen und mit sogenanntem Credential Stuffing Zugang zu weiteren Online-Diensten oder gar den IT-Systemen des Arbeitgebers verschaffen.
Auf der sicheren Seite in dieser Hinsicht sind lediglich 32 Prozent der Studienteilnehmer – sie verwenden für jeden Dienst ein individuelles Passwort. Besonders erfreulich, zumindest aus deutscher Perspektive, war, dass 40 Prozent der Befragten aus Deutschland angaben, für jeden Dienst ein eigenes Passwort zu verwenden. Doch damit zeigte sich auch, dass mehr als die Hälfte der Teilnehmer keine adäquate Absicherung ihrer Online-Aktivitäten vornimmt.
Nicht nur bei der Absicherung von Web-Diensten offenbarten die Studienergebnisse Wissenslücken bei vielen Angestellten. Auch was Cyberbedrohungen generell anbelangt, waren die Resultate der Untersuchung gemischter Natur. Obgleich wenigstens noch 69 Prozent der deutschen Befragten korrekt beantworten konnten, um was es sich bei dem Begriff Malware handelt, gelang das beim Wort Ransomware nur noch 26 Prozent. Im internationalen Vergleich konnten mit letztgenanntem Begriff im Durchschnitt dagegen mehr als ein Drittel der Befragten (36 Prozent) etwas anfangen.
Auch in puncto sicherer Kommunikation offenbarte eine beträchtliche Zahl von Studienteilnehmern mangelnde Kenntnisse. Genau ein Drittel aller Befragten (33 Prozent) stuften öffentliche WLAN-Netze in Cafés, Hotels und an Flughäfen als generell vertrauenswürdig ein. Dass sie sich bei der Nutzung öffentlicher WLAN-Hotspots prinzipiell immer der Gefahr einer Man-in-the-Middle-Attacke aussetzen, bei denen Cyberkriminelle öffentliche Netzwerke vortäuschen, um den Datenverkehr mitzuschneiden und so zum Beispiel Zugangsdaten zu erbeuten, war diesen Befragten offenbar nicht bewusst.
Viele Studienteilnehmer zeigten zudem beim Thema Virenschutz Schwächen. So stimmten 71 Prozent der Befragten der Aussage zu, man müsste nur seine Antivirensoftware auf dem neusten Stand halten, um Angriffe von Cyberkriminellen zu verhindern. Im Umkehrschluss lässt sich folgern, dass sich nicht einmal ein Drittel aller Teilnehmer Cyberbedrohungen wie CEO-Betrug, Phishing und anderen Formen von Social Engineering bewusst ist. Solche Ergebnisse lassen in Sachen Risikobewusstsein von Angestellten nichts Gutes erahnen und sollten bei Sicherheitsverantwortlichen in Unternehmen alle Alarmglocken schrillen lassen. Die Resultate zeigen zudem, dass die traditionelle Wissensvermittlung beim Thema IT-Sicherheit auf ganzer Linie gescheitert ist. Dies Folge muss ein Umdenken auf Seiten der Verantwortlichen sein.
Aktuelle Bedrohungen kennen, um ihnen zu begegnen
Zunächst setzt eine moderne Sicherheitsstrategie eines Unternehmens neben einer auf Threat Intelligence basierenden Sicherheitsarchitektur voraus, dass die eigenen Angestellten bestmöglich geschult werden, um einen Angriff überhaupt erst erkennen zu können. Dazu zählen nicht nur bloße Informationen über die aktuelle Bedrohungslandschaft, sondern die Mitarbeiter müssen wiederkehrend und umfassend über sich verändernde Cyberbedrohungen und Angriffstaktiken von Online-Kriminellen auf dem Laufenden gehalten werden, um zu jeder Zeit angemessen auf potenzielle Gefahren reagieren zu können.
Ein weiteres Element einer zeitgemäßen Sicherheitsstrategie für die eigenen Mitarbeiter besteht aus dem spielerischen Erwerb von Wissen. Arbeitnehmer sollen auf diese Weise das Gelernte nicht nur – wie in einer Prüfungssituation – wiedergeben können, sondern sie müssen in der Lage sein, das neu erlernte Wissen zu verinnerlichen und in einer Art Alltagsroutine abrufen können, sobald dies erforderlich ist.
Sogenannte Cybersecurity Awareness Trainings setzen sich daher aus verschiedenen Bausteinen zusammen, die in ihrer Gesamtheit den einzelnen Mitarbeiter befähigt gewissermaßen zu einer „menschlichen Firewall“ insbesondere für moderne, auf Social Engineering basierende Angriffe zu werden.
Wachsamkeit ist das Schlüsselelement
Cyberkriminelle haben keine festen Terminpläne, nach denen sie Ihre Angriffe ausrichten. Folglich können Angestellte in jedem Moment ihres Arbeitstages Opfer einer Cyberattacke werden. Es gilt daher für ein Unternehmen zu gewährleisten, dass Mitarbeiter stets ein Höchstmaß an Wachsamkeit walten lassen, wenn sie kontaktiert werden – sei es per E-Mail, via Telefon oder Social Media. Um dies sicherzustellen, setzen Cybersecurity Awareness Trainings auf fingierte Angriffe von White Hat Hackern, die also im Namen des beauftragten Sicherheitsanbieters oder des eigenen Unternehmens agieren, um die Wachsamkeit der Angestellten auch im Arbeitsalltag auf die Probe zu stellen. Arbeitnehmer sollen auf diese Weise zu jeder Zeit mit einem Angriff rechnen und so stets aufmerksam bleiben. Falls es zu einer fehlerhaften Reaktion eines Mitarbeiters auf einen vorgetäuschten Angriff kommt, wird die betreffende Person direkt darüber in Kenntnis gesetzt und es werden hilfreiche Tipps sowie Trainingsvideos zur Verfügung gestellt, die die probate Herangehensweise nochmals erklären, um künftig einen solchen Angriff abzuwehren.
In Anbetracht der sich stetig wandelnden Bedrohungslandschaft hin zur Ausnutzung menschlicher Schwächen als Hauptziel von Cyber-Kriminellen sind mangelhafte Kenntnisse bei der IT-Security der größte Feind für die Unternehmens-IT. Sich das bewusst zu machen, erfordert ein Umdenken bei den Verantwortlichen, um die eigene Sicherheitsstrategie für die Bedürfnisse der Zukunft fit zu machen. Dazu gehört es auch, die am häufigsten attackierten Mitarbeiter zu identifizieren, um auf sie zugeschnittene Trainings zu gestalten und sie zudem mit Hilfe technischer Maßnahmen bestmöglich zu schützen. IT-Sicherheit setzt sich heutzutage aus einer Vielzahl von Elementen zusammen, bei der die technische Security–Infrastruktur nur einen Teilbereich darstellt. Eine umfassende Sicherheitsstrategie konzentriert sich jedoch insbesondere auf den Menschen, den sie beschützt.
Die Autorin des Beitrags ist Georgeta Toth, Senior Regional Director CEEMEA bei Proofpoint.
Be the first to comment