Fast zwei Drittel der deutschen Angestellten gefährden die IT-Sicherheit ihres Unternehmens wissentlich. Das zeigt der aktuelle „State of the Phish“-Report 2024 von Proofpoint. Was die Verantwortlichen tun müssen, um hier entgegenzuwirken, erklärt Miro Mitrovic, Area Vice President für die DACH-Region bei Proofpoint, im Interview mit IT Welt.at. [...]
Der Proofpoint-Report zeigt, dass knapp zwei Drittel der Mitarbeiter ihr Unternehmen wissentlich Risiken aussetzen, die zu Cyberangriffen führen können. Wie lässt sich dieses Ergebnis erklären?
Genau, 64 Prozent der Mitarbeiter in Deutschland setzen laut unserem diesjährigen State of the Phish Report ihr Unternehmen wissentlich Risiken aus, die zu Cyberangriffen führen können. Gründe dafür sind vor allem die Bequemlichkeit der Nutzer, vermeintliche Zeitersparnis und Stress, der aufseiten der Nutzer ein Gefühl der Dringlichkeit hervorruft. Dieses Ergebnis unterstreicht erneut die zentrale Rolle des Menschen in der Cybersicherheit. Allerdings lag die Aufmerksamkeit bisher zu stark einzig auf der Schulung der Belegschaft. Kenntnis allein reicht aber nicht. Das Ziel muss viel mehr eine Verhaltensänderung sein.
Welche Arten von Risiken sind das, und welche potenziellen Folgen können diese Risiken haben?
Dabei handelt es sich um unterschiedlichste Risiken. Das fängt mit einem unbedachten Klick auf einen Dateianhang an und reicht bis zur Weitergabe sensibler Informationen. In der Folge kann es bei den Unternehmen zu Ransomware- oder Malware-Infektionen, Datensicherheitsvorfällen oder finanziellen Verlusten kommen. Die Folgen können also sehr schwerwiegend sein, unter anderem auch in Form finanzieller Sanktionen oder Reputationsschäden, die im letzten Jahr um 510 Prozent bzw. 67 Prozent zugenommen haben.
Welche Hauptmotive nennt die Mehrheit der Mitarbeiter für ihr riskantes Verhalten und wie beeinflussen diese Motive das Sicherheitsbewusstsein im Unternehmen?
Die Hauptmotive für riskantes Verhalten sind Bequemlichkeit (46 Prozent), der Wunsch nach Zeitersparnis (44 Prozent) und ein Gefühl der Dringlichkeit (22 Prozent). Diese Faktoren sorgen für eine Diskrepanz zwischen Kenntnis und Handeln. Damit ist u.a. klar, wie wichtig es ist, dass Sicherheitsverantwortliche die menschliche Vorliebe für Schnelligkeit und Bequemlichkeit berücksichtigen und Sicherheitsmaßnahmen so gestalten, dass sie einfach und benutzerfreundlich sind.
Welche Maßnahmen müssen Unternehmen ergreifen, um Mitarbeiter für die Risiken von Phishing-Angriffen zu sensibilisieren?
An dieser Stelle ist es wichtig zu verstehen, dass die Verantwortlichen nicht nur das Bewusstsein der Angestellten für die Risiken von Phishing-Angriffen schärfen, sondern auch das Verhalten der Nutzer nachhaltig ändern müssen. Dazu gehören Schulungen, strengere Kontrollen und benutzerfreundliche Sicherheitsmaßnahmen. Schulungen spielen zwar nach wie vor eine große Rolle, sie sind aber kein Allheilmittel.
Sind Schulungen allein ausreichend, um die Sicherheit von Unternehmen zu gewährleisten? Welche zusätzlichen Maßnahmen sind erforderlich, um das Verhalten der Mitarbeiter zu ändern?
Schulungen allein reichen wie erwähnt nicht aus, um die Sicherheit von Unternehmen zu gewährleisten. Die Verantwortlichen müssen auch über strengere Kontrollen und Sicherheitsmaßnahmen nachdenken, die einerseits auf den Menschen ausgerichtet sind und andererseits von diesen einfach zu nutzen sind. Nur so lässt sich das Verhalten der Mitarbeiter langfristig ändern. Den Menschen in Sachen Cybersicherheit in den Mittelpunkt der Betrachtung zu stellen, ist elementar. Denn weit über 90 Prozent aller Cyberangriffe erfordern ein menschliches Zutun, um erfolgreich zu sein. Daher ist es so wichtig, die Nutzer in die Prozesse einzubeziehen und ihnen die Werkzeuge an die Hand zu geben, die sie benötigen, um sicher zu handeln.
Wie gehen Unternehmen mit Meldungen über Reputationsschäden um, und welche Strategien setzen sie ein, um das Vertrauen der Kunden aufrechtzuerhalten?
Zwar geht unser Bericht nicht speziell auf den Umgang von Unternehmen mit Reputationsschäden ein, aber es lässt sich beobachten, dass Organisationen im Fall der Fälle proaktive Maßnahmen zur Aufrechterhaltung des Kundenvertrauens ergreifen. Aus unserer Sicht führt kaum ein Weg daran vorbei, dass Unternehmen eine Kultur der Transparenz etablieren und gegenüber ihren Partnern und Kunden einen offenen Umgang pflegen. Nur so kann Vertrauen erhalten bzw. wieder aufgebaut werden.
Welche neuen Trends und Herausforderungen gibt es?
Zu den Trends gehören der Missbrauch von generativer KI, QR-Codes und Multifaktor-Authentifizierung (MFA) ebenso wie telefonbasierte Angriffe (TOAD). Die Erfahrungen der letzten Jahre belegen, dass Cyberkriminelle ihre Taktiken und Methoden regelmäßig an neue Gegebenheiten und Sicherheitsvorkehrungen anpassen. Unternehmen tun daher gut daran, sich stets über die neuesten Bedrohungen auf dem Laufenden zu halten und ihre Mitarbeiter dafür schulen.
Was sind Ihre wichtigsten Tipps für Unternehmen, um sich zu schützen?
Das Training der Mitarbeiter in Sachen Cybersicherheit sollte in allen Unternehmen Teil des Arbeitsalltags sein. Daneben sind benutzerfreundliche Sicherheitsmaßnahmen und die Vorbereitung auf die neuesten Bedrohungen für die Sicherheitsverantwortlichen das A und O. Auch ist es wichtig, dass Unternehmen eine Kultur der Cybersicherheit fördern, in der jeder Mitarbeiter seine Rolle beim Schutz des Unternehmens versteht. Die Mitarbeiter regelmäßig über aktuelle Cyberbedrohungen und bewährte Verfahren im Bereich Cybersicherheit zu informieren, ist ebenfalls Bestandteil einer erfolgreichen Cybersecurity-Strategie. Simulierte Phishing-Angriffe sollten Unternehmen auch in ihrem Cybersicherheits-Arsenal haben. Damit können sie überprüfen, inwiefern ihre Belegschaft, ihre Kenntnis in sicheres Handeln umsetzt und wer die schwarzen Schafe sind, die ihr Unternehmen wissentlich Risiken aussetzen.
Abseits davon sollten Unternehmen den Einsatz von Technologien wie Multi-Faktor-Authentifizierung (MFA) in Betracht ziehen, um zusätzliche Sicherheitsebenen zu schaffen. Allerdings müssen sie sich dabei im Klaren sein, dass keine Technologie einen vollständigen Schutz bietet. Im Falle von der Multi-Faktor-Authentifizierung werden jeden Monat zum Beispiel mehr als eine Million Angriffe mit dem MFA-Bypass-Framework EvilProxy gestartet. 89 Prozent der deutschen Sicherheitsexperten glauben jedoch noch immer, dass MFA einen vollständigen Schutz vor Accountübernahmen bietet.
Be the first to comment