Security-Experten sind sich sicher: Der „Human Factor“ ist das größte Problem, wenn es darum geht, die Sicherheit eines Unternehmens zu gewährleisten. Überstimmung herrscht auch bei dem Postulat, Mitarbeiterinnen und Mitarbeiter besser zu schulen. Doch wie gut funktionieren Trainings tatsächlich? [...]
Laut Kaspersky ist menschliches Fehlverhalten eine größere Gefahr für die Sicherheit eines Unternehmens als Hackangriffe. Etwa in deutschen Betrieben, die in den vergangenen zwei Jahren mit Sicherheitsvorfällen konfrontiert waren, sind 37 Prozent auf menschliches Fehlverhalten und 30 Prozent auf Verstöße gegen Protokolle zurückzuführen; Hacker machten lediglich 27 Prozent aus.
Die Kaspersky-Studie zeigt, dass Cybersicherheitsregeln auch von IT-Mitarbeitern – teils bewusst – missachtet werden. So entfielen 15 Prozent der Vorfälle in Unternehmen in Deutschland auf willentliche Verstöße durch das IT-Fachpersonal, bei weiteren acht Prozent waren sogar IT-Sicherheitsbeauftragte verantwortlich; elf Prozent der absichtlichen Verstöße gingen auf das Konto von Nicht-IT-Mitarbeitern.
Fast 30 Prozent aller Sicherheitsvorfälle sind auf die Reaktion von Mitarbeitern auf eine Phishing-Attacke zurückzuführen. Häufig standen sind in Zusammenhang mit Nachlässigkeit: So erfolgten 19 Prozent der Vorfälle aufgrund von nicht zum erforderlichen Zeitpunkt aktualisierter System- oder Anwendungssoftware. Weitere 17 Prozent gingen auf den Besuch unsicherer Websites zurück und elf Prozent auf die Verwendung schwacher oder nicht rechtzeitig geänderter Passwörter.
Alarmierend sei auch die häufige Nutzung nicht autorisierter Geräte beziehungsweise von Schatten-Software, so die Kaspersky-Studie. In mehr als jedem fünften Unternehmen kam es zu Vorfällen, weil Mitarbeiter nicht autorisierte Systeme für den Datenaustausch nutzten. In ebenso vielen Firmen führte das Versenden von Daten an private E-Mail-Adressen zu schwerwiegenden Cybersicherheitsvorfällen. Bei jeweils 19 Prozent der Fälle nutzten Mitarbeiter nicht genehmigte Geräte für den Datenzugriff beziehungsweise nicht autorisierte Schatten-IT auf Arbeitsgeräten.
Top 3 der Phishing-Angriffstaktiken
Laut Dr. Martin Krämer, Security Awareness Advocate bei KnowBe4, gehören betrügerische Links, Markenimitation und Identitätsbetrug zu den größten Bedrohungen in Sachen „Human Factor“. „Links tauchten in fast 36 Prozent aller Phishing-Angriffe auf. Darunter sind Links, die vorgeben, Office-Dokumente anzuzeigen, die digitale Unterzeichnung von Verträgen zu starten und mehr“, so Krämer. „Die Markenimitation umfasste mehr als 1.000 bekannte Marken, wobei sich mehr als die Hälfte aller Angriffe auf nur 20 Marken konzentrierte. Dazu gehören Microsoft, Google, Apple und Amazon. Identitätsbetrug kam bei 14 Prozent der Angriffe vor – eine überraschend niedrige Zahl, wenn man bedenkt, dass lediglich ein wenig Sorgfalt erforderlich ist, um die richtige Identität zu identifizieren und den angezeigten Absendernamen zu ändern, um die Wahrscheinlichkeit zu erhöhen, dass das Opfer die E-Mail öffnet und mit ihr interagiert“, ist Martin Krämer überzeugt.
Immer beliebter sollen zudem Angriffe auf Zwei-Faktor-Authentifizierungssysteme (2FA) werden. „Richtig eingesetzt, sichert 2FA Systeme gegen Angriffe effektiv ab. Dabei wird als zweiter Faktor der Authentifizierung neben einem Passwort oftmals auf einen per SMS gesendeten Pin oder in einer App generierten Einmalcode verwendet. SIM-Karten werden daher durch Angreifer gefälscht (SIM Spoofing), sodass die Angreifer das Einmalpasswort erhalten.“
Neu seien Phishing-E-Mails, die gängige Authentifizierungsverfahren wie Microsoft oder Google und dabei versuchen eine Man-In-The-Middle-Attacke zu starten. „Dazu geben die E-Mails vor, dass eine Aktualisierung der Authentifizierungsapp notwendig ist. Die E-Mail liefert dabei einen QR-Code, welcher auf eine gefälschte Webseite verlinkt. In der dort vorhandenen Anmeldemaske greifen Cyberkriminelle notwendige Informationen ab, um eigene 2FA-Codes für das Konto des Benutzers generieren zu können. Der Benutzer selbst muss davon nicht unbedingt etwas mitbekommen“, sagt Martin Krämer.
Der Phishing by Industry Benchmarking Report 2023 von KnowBe4 zeigt, dass ohne Security Awareness-Trainings branchenübergreifend 33 Prozent der Mitarbeiter wahrscheinlich auf einen verdächtigen Link klicken oder einer betrügerischen Anfrage Folge leisten. „Der Anstieg im Vergleich zum Vorjahr betrug knapp einen vollen Prozentpunkt“, so Martin Krämer.
Wir wirksam sind Mitarbeitertrainings?
Sharp weist darauf hin, dass die vielfach geforderten Mitarbeiterschulungen nicht den gewünschten Zweck erfüllen. Obwohl menschliches Fehlverhalten für rund ein Drittel der österreichischen KMU die größte Sorge in Sachen Cybersicherheit darstellt, decken ihre Trainigs einige der häufigsten sicherheitsrelevanten Themen nicht ab, so eine europaweit durchgeführte Studie von Sharp, in der auch österreichische Betriebe gefragt wurden.
So werden Bedrohungen wie Viren und Phishing in den befragten Unternehmen größtenteils nicht besprochen. Ähnliches gilt für Datenverluste und Angriffe, die aufgrund schwacher Passwörter erfolgen – obwohl jeweils bis zu einem Drittel der österreichischen KMU von genau diesen Themen betroffen ist.
Nur etwa drei bis vier von zehn Sicherheitsschulungen befassen sich mit Passwörtern (33 Prozent), dem Herunterladen von Dateien (33 Prozent), dem sicheren Umgang mit Daten (37 Prozent), Netzwerksicherheit (31 Prozent) oder mit den Grundlagen des An- und Abmeldens (33 Prozent), so die Sharp-Studie. Beunruhigend sei zudem, dass trotz einer Zunahme von hybriden Arbeitsmodellen mit entsprechend komplexerer Cyberbedrohungslage nur 38 Prozent der heimischen KMU ihre Sicherheitsschulungen entsprechend angepasst haben. Und nur bei 29 Prozent der befragten Betriebe spielt das Thema hybrides Arbeiten in Schulungen überhaupt eine Rolle.
„Cybersicherheit ist nicht nur eine technologische Herausforderung, auch der menschliche Faktor ist entscheidend“, sagt Walter Kraus, Geschäftsführer von Sharp Österreich. „Unternehmen müssen natürlich über die notwendigen Technologien verfügen, um sich gegen Angriffe zu schützen, beispielsweise Firewalls und Antivirus-Software. Aber sie müssen auch eine Kultur schaffen, die IT-Sicherheit ernst nimmt und als Aufgabe für jeden Mitarbeiter definiert, nicht nur für die IT-Verantwortlichen und das Management-Team.“
Positive Fehlerkultur schaffen
Dem Sophos-Sicherheitsexperten Michael Veit zufolge sei es für Unternehmen wichtig, ein Gleichgewicht zwischen Schulung der Mitarbeitenden und Entwicklung einer positiven Einstellung und Kultur in Bezug auf die Widerstandsfähigkeit gegenüber Cyberbedrohungen herzustellen. Dazu gehöre die Implementierung klar definierter Prozesse, um diese Kultur zu erhalten sowie die Auswahl derjenigen Technologien, die am besten zu den Mitarbeitenden und Prozessen passen, um Bedrohungen abzuschwächen und Risiken zu minimieren.
Der erste Schritt sei die klare Trennung zwischen dem Privat- und dem Arbeitsleben der Belegschaft, so Michael Veit. „Das heißt, Beschäftigten zugewiesene Firmengeräte sind genau das: Firmengeräte. Für persönliche Aktivitäten sollten Privatgeräte genutzt werden.“
Ein weiterer wichtiger Faktor sie die Schaffung eines Umfelds, in dem sich Beschäftigte ermutigt fühlen, verdächtige Aktivitäten zu melden. „Hierbei gilt (unerschütterlich) die Einstellung, dass jedes Ereignis eine Lernmöglichkeit ist. Hier gibt es kein falsch oder lächerlich – nur so kann jede und jeder Einzelne lernen, was man besser machen kann. Zudem lassen sich so die abteilungsübergreifende Zusammenarbeit fördern und Korrekturmaßnahmen anstoßen.“
Michael Veit von Sophos, das einen proaktiven Ansatz fährt, pocht auf das Wissen von der korrekten Nutzung von Geschäftssystemen und dem Verständnis von Geschäftsprozessen. Die Schulungen in diesen Bereichen können „viel dazu beitragen, Fehler im Zusammenhang mit versehentlichem Datenabfluss und Datenlecks zu vermeiden.“
Michael Veits Resümee: „Externe und Insider-Bedrohungen müssen als potenzielles Risiko für ein Unternehmen gleichbehandelt werden. Insider-Bedrohungen müssen in Planungssitzungen für die Reaktion auf Zwischenfälle einbezogen werde. Nicht jeder Insider wird zur Bedrohung, aber er hat zumindest das Potenzial dazu.“
Be the first to comment