Unabhängig davon, ob sie sich dessen bewusst sind oder nicht, können Mitarbeiter ein erhebliches Risiko für die Sicherheit von Unternehmensnetzwerken und deren gespeicherte Daten darstellen. [...]
Um Cyber-Kriminellen die Tür zu öffnen, reicht es, auf einen Link zu klicken oder eine Datei herunterzuladen, ohne zuvor zu prüfen, ob diese schädlich ist. Beschäftigte, die von zu Hause aus arbeiten und nicht an den Schreibtisch nebenan gehen können, um die Meinung zu einer verdächtig aussehenden E-Mail einzuholen, sind anfälliger für Social-Engineering-Angriffe.
Die Kollegen der FortiGuard Labs stellten kürzlich im Global Threat Landscape Report fest, dass die Arbeit aus dem Home-Office und besonders auf privaten Endgeräten Cyber-Kriminellen zunehmend neue Möglichkeiten bietet, in Unternehmensnetzwerke einzudringen. Die Angreifer setzen dabei häufig auf Phishing-E-Mails. Auch wenn dies keine neue Taktik ist, so können Social-Engineering-Attacken durch maßgeschneiderte Nachrichten verheerend sein. Deshalb ist es besonders wichtig, dass CISOs alle Beschäftigten im Unternehmen hinsichtlich ihrer Verantwortung für die Cyber-Sicherheit schulen und motivieren.
CISOs müssen ihren Mitarbeitern unbedingt vermitteln, welche Rolle sie bei der Sicherheit ihres Unternehmensnetzwerks spielen. Das Risiko unabsichtlicher Insider-Bedrohungen lässt sich dadurch reduzieren. Unabhängig von ihrer Position sollten alle Beschäftigten die Auswirkungen eines Sicherheitsereignisses verstehen und wissen, wie es das Unternehmen und sie persönlich beeinflussen kann. Denn aufmerksame Mitarbeiter funktionieren als „menschliche Firewall“ und können Cyber-Bedrohungen abwehren. Die folgenden drei Maßnahmen eignen sich, um alle Mitarbeiter für eine unternehmensweite Sicherheitskultur zu motivieren:
1. Schulungen zur Cyber-Sensibilisierung priorisieren
Weil sie funktionieren sind Social-Engineering-Angriffe in Unternehmen weit verbreitet. Laut des Data Breach Investigations Report 2019 von Verizon haben etwa ein Drittel aller Datenschutzverletzungen auf die eine oder andere Weise mit Phishing zu tun. Um Mitarbeiter für dieses Risiko zu sensibilisieren, müssen CISOs über häufige Angriffsarten, wie Phishing, Spear-Phishing, Smishing oder andere Betrügereien im technischen Support aufklären. Mitarbeiter müssen die Bedrohungen sowie deren Warnsignale erkennen. Dies ist entscheidend, damit sie nicht Opfer gefälschter E-Mails oder bösartiger Websites werden. Das NSE-Schulungsinstitut von Fortinet bietet einen kostenlosen Schulungsservice für IT-Security-Awareness an, um Mitarbeiter über die zunehmenden Risiken von Cyber-Attacken und die Erkennung von Bedrohungen aufzuklären. Zusätzlich sollten auch simulierte Phishing-Übungen Teil der Sensibilisierungsmaßnahmen sein. Sie dienen dazu, das Wissen zu testen und festzustellen, welche Mitarbeiter möglicherweise mehr Unterstützung benötigen.
2. Partnerschaft zwischen Sicherheitsteam und Abteilungen schaffen
Cyber-Sicherheit kann nicht allein auf den Schultern der Sicherheits- und IT-Teams lasten. Während das Sicherheitsteam der Experte in Bezug auf die Risikobestimmung und die Bedrohungen ist, liegt es bei anderen Abteilungen, benutzerfreundliche Richtlinien zu entwickeln. Diese müssen sowohl im Büro als auch vom Remote-Arbeitsplatz aus leicht zu befolgen sein. Alle Personen müssen die Sicherheitsrichtlinien und bewährten Praktiken kennen. Mitarbeiter, die sich als Teil des Teams fühlen, vermeiden eher Verhaltensweisen, die zu den genannten Problemen führen. Beispielsweise achten sie stärker darauf, ihre Standardpasswörter zu ändern und sichere Passwörter zu nutzen. Je mehr Mitarbeiter diesem Beispiel folgen, desto stärker wird die menschliche Firewall, die als erste Verteidigungsfront des Unternehmens fungiert.
3. Eindeutige Best Practices festlegen
Nachdem die Mitarbeiter darüber aufgeklärt sind, worauf sie im Falle eines Social-Engineering-Angriffs achten müssen, benötigen sie eine Anleitung für das weitere Vorgehen. Eine verdächtig aussehende E-Mail ist einfach zu ignorieren oder zu löschen, aber was ist mit den normal erscheinenden E-Mails, bei denen Unsicherheit herrscht? In diesem Fall sollten CISOs ihre Mitarbeiter dazu ermutigen, sich konkrete Fragen zu stellen: Kenne ich den Absender? Habe ich diese E-Mail erwartet? Ruft diese E-Mail eine starke Emotion wie Aufregung oder Angst hervor? Werde ich dazu aufgefordert dringend zu handeln?
Die Empfänger sollten folgende Schritte unternehmen, um sich selbst und ihr Unternehmen zu schützen:
- bevor auf einen Link geklickt wird, mit dem Mauszeiger darüber schweben, um zu sehen, ob er echt ist.
- unerwartete Anhänge nicht öffnen, sondern stattdessen den Absender anrufen und überprüfen, ob er die E-Mail tatsächlich gesendet hat.
- alle verdächtigen E-Mails dem IT- oder Sicherheitsteam melden.
Die aktive Aufklärung der Mitarbeiter hilft jedem CISO negative Auswirkungen zu vermeiden.
Schlussbemerkungen
CISOs legen den Grundstein für eine starke Sicherheitskultur, indem sie der Schulung aller Mitarbeiter und der Zusammenarbeit zwischen den Abteilungen und dem Security-Team Priorität einräumen. Verdächtiges Verhalten zu erkennen, Geräte auf dem neuesten Stand zu halten und sicheres Cyber-Verhalten zu üben, sollte in die Prozesse aller Aufgabenbereiche integriert werden, um zu gewährleisten, dass die „menschliche Firewall“ funktioniert.
* Renee Tarun ist Deputy CISO/ Vice President Information Security bei Fortinet
Be the first to comment