Auch wenn die Corona-Pandemie langsam abklingt, bestimmt sie noch immer den Arbeitsalltag vieler Mitarbeiter. Nach wie vor besteht der Tagesablauf der Arbeitnehmer aus zahllosen Video-Konferenzen, virtuellen Events und der beruflichen Arbeit in den eigenen vier Wänden. [...]
Schon vor der Pandemie war das mangelnde Bewusstsein vieler Angestellter in puncto Cybersicherheit eine permanente Herausforderung für die Security-Verantwortlichen, doch nun werden viele Missstände viel offensichtlicher. Cyberkriminelle nutzen die Krisensituation, um durch Angriffe auf einzelne Mitarbeiter im Homeoffice, Zugriff auf sensible Unternehmensdaten oder Cloud-Ressourcen der Organisationen zu ergattern. Kreative Ad-hoc-Lösungen der Mitarbeiter, um Zugriff auf Firmendaten zu haben, und das Ausbleiben von Security-Schulungen verstärken dieses Risiko. Bei den Sicherheitsverantwortlichen sollten daher alle Alarmglocken schrillen.
Cyberrisiko: die eigenen Angestellten
Worum es sich generell bei Malware handelt, was es mit Ransomware auf sich hat und was unter dem Begriff Phishing zu verstehen ist, sind nur einige der Fragen, die Proofpoint weltweit jedes Jahr 3.500 Angestellten für seinen Report „State of the Phish“ stellt. Die Länder, die dabei im Fokus der Studie stehen sind Deutschland, Frankreich, Großbritannien, Spanien, die USA, Australien und Japan. Neben den befragten Berufstätigen geben in jedem Jahr 600 mit IT-Sicherheit befasste Experten aus diesen Staaten ebenfalls Auskunft zu ihren Erfahrungen in diesem Bereich.
Vor allem angesichts der aktuell dominierenden Arbeitssituation – also der Arbeit im Homeoffice – werfen die Ergebnisse der Studie ein Schlaglicht auf die Missstände im Bereich der digitalen Sicherheit. Bedingt durch den veränderten Arbeitsalltag kommt es unter Angestellten nicht selten zu einem Gefühl der Isolation und der Wahrnehmung, in Sachen Cybersicherheit keinen Kontakt zu einem sachkundigen Ansprechpartner zu haben. Daher wiegt es umso schwerer, dass im Rahmen der Studie lediglich 26 Prozent der aus Deutschland stammenden Angestellten die korrekte Zuordnung für den Begriff Ransomware vornehmen konnten. Im internationalen Durchschnitt waren es zumindest 33 Prozent. Der Mehrzahl (64 %) der deutschen Befragten war es hingegen möglich, immerhin Phishing richtig zu definieren. Umgekehrt heißt das jedoch, dass mehr als ein Drittel nicht weiß, was es mit dieser gefährlichen Social-Engineering-Taktik auf sich hat – ein gefährlich hoher Wert.
Auch bei vorangegangenen Untersuchungen kam Proofpoint zu vergleichbaren Ergebnissen. Anstatt jedoch angemessene Konsequenzen aus den Wissenslücken ihrer Angestellten zu ziehen, setzen noch immer viele Unternehmen lediglich auf sporadische IT-Sicherheitsschulungen für ihre Mitarbeiter: Zwar geben 97 Prozent der Security-Verantwortlichen aus Deutschland an, dass ihr Unternehmen Trainings zur IT-Sicherheit anbietet, allerdings sagen 28 Prozent, dass dies bei ihnen nur zweimal im Jahr oder sogar noch seltener geschieht. Zusätzlich dazu bieten 36 Prozent ihren Angestellten nur einmal im Quartal eine entsprechende Schulung an. In der Folge ist es fast unmöglich, auf dieser Basis nachhaltige Verbesserungen bei der Sensibilisierung der Arbeitnehmer zu erzielen.
Was spezielle Trainings anbelangt, die aufgrund der grassierenden Pandemie korrekte Verhaltensweisen in puncto IT-Sicherheit im Homeoffice vermitteln sollten, sieht es sogar noch weitaus schlechter aus. Nur 30 Prozent der Angestellten – über alle Länder hinweg – gaben hier an, von ihrer Organisation diesbezüglich ein Angebot erhalten zu haben. Deutschland lag abgeschlagen bei 14 Prozent.
Die mangelnden Kenntnisse vieler Arbeitnehmer führen nicht selten zu einer realen Bedrohung der Unternehmen, für die sie tätig sind. Dies gilt umso mehr, da sich die Bedrohungslage durch Cyberkriminalität weltweit verschärft. So sagten mehr als drei Viertel der Security-Experten, dass sich ihre Organisation 2020 groß angelegten Phishing-Attacken gegenübersah. Bei fast jeder zweiten (47 %) der Organisationen in Deutschland waren die Angriffe aus Sicht der Kriminellen sogar von Erfolg gekrönt. In der Folge hatten die betroffenen Unternehmen in der Bundesrepublik mit Datendiebstahl (62 %), kompromittierten Nutzerkonten bzw. Login-Daten (60 %), einem Ransomware-Befall (47 %) sowie weiteren Konsequenzen zu kämpfen.
Cybergefahren zielen auf einzelne Mitarbeiter
In der Vergangenheit lag der Fokus vieler IT-Sicherheitsexperten häufig auf technischen Schwachstellen, jedoch zielen Cyberkriminelle in den vergangenen Jahren verstärkt auf eine andere Sicherheitslücke: Die Rede ist hier von den Mitarbeitern, deren menschliche Schwächen sich die Angreifer heutzutage überwiegend bedienen, um sich Zugang zur Unternehmens-IT zu verschaffen. Ihr Ziel ist es, schnellstmöglich Geld zu verdienen. Und das geht zumeist einfacher und schneller mittels Social Engineering, als mit erheblichem technischem Know-how zeitraubend Exploits zu entwickeln und entsprechende auf Technologie basierte Attacken auszuführen.
Umfassende technische Sicherheitslösungen, die Cyberattacken erschweren sollen, finden sich aktuell in fast jedem Unternehmen. Da liegt es für den auf Effizienz bedachten Angreifer nahe, sich eine Alternativroute zum gewünschten Ziel zu suchen. Diese führt im Regelfall über den Menschen, also den mangelhaft bzw. ungeschulten Angestellten der Ziel-Organisation. Dabei nutzen die Cyberkriminellen verschiedene Taktiken, um die Unbedarftheit ihrer Opfer auszunutzen. Diese Taktiken und Methoden müssen Arbeitnehmer jedoch kennen, um auf entsprechende Situationen vorbereitet und dafür sensibilisiert zu sein. Nur so können sie dem Unternehmen als letzte Verteidigungslinie dienen.
Denn bereits ein einzelner unbedachter Klick kann genügen, um das betroffene Unternehmen einer schwerwiegenden Gefahr auszusetzen. Im schlimmsten Fall entstehen erhebliche finanzielle Schäden, die unter Umständen sogar die Existenz der Organisation bedrohen. Für Sicherheitsverantwortliche kann die Antwort darauf folglich nur sein, auf eine Personen-orientierte Security-Strategie zu setzen, bei der der Mensch im Zentrum aller Anstrengungen steht. Dies gelingt allerdings nur dann, wenn die Arbeitnehmer entsprechend geschult werden.
Cybersicherheit mittels Security Awareness Trainings
Ein zentrales Element einer solchen Verteidigungsstrategie besteht daher in regelmäßigen Trainings und Schulungen. Wichtig ist hier, dass diese auch in den Arbeitsalltag der Mitarbeiter eingebunden werden. Allerdings ist es nicht mit ein paar Schulungen pro Jahr getan, sondern sie sollten monatlich oder noch besser wöchentlich stattfinden. Doch im Gegensatz zu klassischen Fortbildungen ziehen sich Cybersecurity Awareness Trainings nicht über mehrere Stunden hin und beeinträchtigen dadurch unter Umständen die Produktivität der Mitarbeiter. Viel effektiver ist es, kurze, dafür jedoch wiederkehrende Trainings abzuhalten, um so eine Festigung des Erlernten sicherzustellen und veränderte Angriffsmethoden der Cyberkriminellen anhand aktueller Beispiele zu thematisieren.
Ferner ist es für die Security-Verantwortlichen wichtig, nicht nur die reine Theorie-Vermittlung im Blick zu behalten. Auch Elemente, die in den Arbeitsalltag der Mitarbeiter eingebaut werden, unterscheiden moderne Security-Awareness-Programme von der bislang weitverbreiteten Praxis traditioneller Schulungen. Dabei dienen beispielsweise vorgetäuschte Phishing-Angriffe als Gradmesser, wie weit das Erlernte auch verinnerlicht und umgesetzt wurde. Ist dies nicht geschehen und der jeweilige Angestellte fällt auf den fingierten Angriff herein, bietet das den Security-Teams die Gelegenheit, entsprechende Gegenmaßnahmen wie gezielte Nachschulungen anzuweisen. So lässt sich auch das Risiko minimieren, dass das Unternehmen Opfer einer realen Attacke wird.
IT-Sicherheit in Zeiten der Pandemie
Gerade in den letzten 14 Monaten führt die Pandemie den Sicherheitsverantwortlichen einmal mehr vor Augen, wie verwundbar ihre Organisationen oftmals sind. Neben der Herausforderung, für Millionen von Angestellten sichere Homeoffice-Arbeitsplätze zu schaffen, um die Integrität der Unternehmens-IT zu gewährleisten, wurden die IT-Teams vor allem mit einer sich rapide verändernden Bedrohungslandschaft konfrontiert. Immer neue Köder, die zumeist an tagesaktuelle Ereignisse oder Trends angelehnt sind, werden von den Cyberkriminellen genutzt, um Mitarbeiter über Social-Engineering-Angriffe in die Falle zu locken. Speziell die gegenwärtige Situation bietet den Angreifern dabei genug Gelegenheiten, die sich dafür eignen. Die Köder, derer sie sich bedienen, reichen von angeblichen Informationen zu Corona-Vakzinen bis hin zu staatlichen Förderungen, die vermeintlich über von den Cyberkriminellen präparierte Webseiten beantragt werden können. Die Angreifer sind extrem einfallsreich, Nachrichten, die die Menschen bewegen, in ihrem Sinne auszunutzen.
Security-Strategie muss sich auf den Menschen konzentrieren
Ob es um das fast schon traditionelle Phishing, ausgefeilte Attacken auf Cloud-Ressourcen oder gar CEO-Betrug (Business Email Compromise, BEC) geht, die Cyberkriminellen nutzen regelmäßig die Schwächen der Menschen aus, um sich finanzielle Vorteile zu verschaffen. Für Unternehmen können all diese Angriffsformen jedoch sehr schnell Schäden im sechs- oder gar siebenstelligen Bereich zur Folge haben – den Schaden für den Ruf, der sich aus einer bekanntgewordenen Attacke ergibt, noch gar nicht mit eingerechnet. Die Sicherheitsverantwortlichen müssen daher das für Unternehmen gefährlichste Einfallstor besonders im Blick behalten: die Menschen, die für die Organisation tätig sind.
*Irene Marx ist Country Manager für Österreich und die Schweiz bei Proofpoint.
Be the first to comment