Mensch als größte Schwachstelle

In einer Zeit, in der Malware immer ausgeklügelter wird, bleibt dennoch der Mensch einer der größten Risikofaktoren. Mehr Bildung und Aufklärung könnte Hackern das Leben zumindest deutlich schwerer machen. [...]

Mitarbeiter sind für fast die Hälfte aller IT-Security-Vorfälle in Unternehmen verantwortlich. Das hat eine Studie von Kaspersky Lab und B2B International ergeben. Verschärfend kommt hinzu, dass in 40 Prozent der Firmen die Mitarbeiter Sicherheitsverletzungen verheimlichen. Zwar ist Schadsoftware der häufigste Grund für Sicherheitsvorfälle in Unternehmen, doch unvorsichtige und schlecht informierte Mitarbeiter folgen knapp dahinter und sind für 46 Prozent der Vorfälle verantwortlich. Der Faktor Mensch bleibt also ein Dauerbrenner. Dafür dürften Kaspersky zufolge oft die Unternehmen mitverantwortlich sein, da strenge, unklare Richtlinien die Angst vor Strafe schüren.
Sinnvoller wäre es, Mitarbeiter zu informieren und zu bilden. Mehr Bildung könnte Hackern das Leben zumindest schwerer machen. Die technischen und wirtschaftlichen Auswirkungen von IT-Security-Vorfällen werden oft dadurch noch verschärft, dass Mitarbeiter diese verschweigen. „Cyber-Kriminelle nutzen oft Mitarbeiter als Einfallstor, um in die Unternehmens-Infrastruktur zu kommen“, betont Kaspersky-Forscher David Jacoby. So haben Hacker 2016 bei knapp einem Drittel der gezielten Angriffe auf ein Unternehmen mittels Phishing oder Social Engineering den Fuß in die Tür bekommen.
Genau hier will ACP mit einem neuen Angebot für Unternehmen ansetzen. Markus Riegler, Teamleiter Information Security bei ACP erklärt im COMPUTERWELT-Interview, wie diese Aufklärungskampagne konkret aussieht.
Was kann ACP tun, um die IT-Sicherheit im Unternehmen zu erhöhen?
Wir haben uns bei ACP im Team Information Security so positioniert, dass wir kein reiner Lösungslieferant oder ausschließlich Berater sind, sondern das Thema Security ganzheitlich betrachten. Man muss beispielsweise Ransomware nicht nur von der technischen Seite bekämpfen sondern auch den Faktor Mensch miteinbeziehen, da die Mitarbeiter hier eine sehr große Rolle spielen. Immer mehr Hacker verschaffen sich Zugang, indem menschliche Interaktionen provoziert werden, sprich Mitarbeiter dazu gebracht werden, Dateien aktiv zu öffnen, oder USB-Sticks aktiv an die Unternehmenshardware anzubinden um somit den Hackern Tür und Tor zu öffnen. Das funktioniert auch am Einfachsten, wie wir festgestellt haben. Das Ausnutzen von Gutgläubigkeit und Neugierde ist ein sehr probates Mittel und funktioniert fast zu 100 Prozent wenn es gut gemacht wird. Da setzten wir an. Es ist ja auch nicht so, dass die Mitarbeiter nicht gewarnt werden. Das wird aber noch zu oft ignoriert. Wenn ich im Auto fahre und die Tankanzeige leuchtet, weiß ich, dass ich bald tanken muss und andernfalls einfach ausrollen würde. Diese Awareness muss es im digitalen Bereich für die IT auch geben. 
Wie sieht die Aufklärungsarbeit konkret aus?
Wir haben uns entschieden, die Mitarbeiter nicht offensiv mir den Fehlern zu konfrontieren sondern ihnen aufzuzeigen, wie leicht es gehen kann und welche schwerwiegenden Konsequenzen ein Fehlverhalten haben kann. Mit Live-Hacks und einem gewissen Show-Effekt haben wir die besten Erfahrungen gemacht und die Mitarbeiter sehen hautnah, welche Auswirkungen ein simpler Mausklick haben kann. Das macht es für die Mitarbeiter greifbar und damit verständlich. 
Was ist denn die häufigste Methode um Mitarbeiter auszunutzen? Ein gefälschtes E-Mail ist doch sicher einfacher als einen USB-Stick ins Unternehmen zu schmuggeln.
Den USB-Stick einzuschmuggeln, ist erstaunlich einfach. Der wird am Firmenparkplatz abgelegt und mit einem Etikett mit dem Wort „Personalabteilung“ oder „Lohnverrechnung“ beschriftet. Damit wird die Neugierde geweckt, die irgendwann so groß ist, dass der USB-Stick angesteckt wird. 
Wie sieht die Nachfrage von Seiten der Unternehmen aus?
Wir haben im vergangenen Jahr aufgrund von Kundenanfragen begonnen, diese Aufklärung anzubieten. Die Verantwortlichen haben auch verstanden, dass es nicht mehr nur um Technik geht sondern sehr stark um den Faktor Mensch. Die Mitarbeiter sitzen dabei in einem zweistündigen Training, das wie ein Workshop aufgebaut ist. Es kommt aber auch vor, dass wir ein E-Mail an die gesamte Belegschaft schicken und messen, wieviele es öffnen.
Hier geht es aber nicht darum, Individuen an den Pranger zu stellen sondern eine Awareness zu schaffen. Viele Mitarbeiter melden sich auch nicht, wenn ihnen ein Fehler passiert, weil sie sich schämen. Passieren kann das aber vom Vorstand abwärts jedem. Wir gratulieren den Mitarbeitern, wenn sie einen Vorfall melden.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

News

Von Views zu Likes: Tipps, um die Zuschauer-Interaktion auf YouTube zu steigern

Bei YouTube ist die Zuschauerinteraktion ein entscheidendes Element für den Erfolg eines Kanals. Besonders im Jahr 2024 wird deutlich, dass Likes, Kommentare und Shares nicht nur für die Sichtbarkeit wichtig sind, sondern auch eine Schlüsselrolle im Algorithmus von YouTube spielen. Eine hohe Zuschauerbindung ist für Kanäle essenziell, um deren Inhalte optimal zu promoten. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*