Der Mitarbeiter als Angriffspunkt für Cyberkriminelle

Herkömmliche Frontalschulungen für Angestellte haben versagt. Doch wie kann man seine Mitarbeiter für IT-Sicherheit erfolgreich sensibilisieren?

Topmedia_Blogbeitrag_02_Motiv_1_Hoch.jpg

Die Bedrohungslage durch Cyberangriffe spannt sich von Jahr zu Jahr stärker an. Die Angreifer professionalisieren sich zunehmend und auch die Angriffsmuster verändern sich permanent. Gleichzeitig werden die Konsequenzen von erfolgreich ausgeführten Attacken durch die ausgeprägte Digitalisierung und die Verlagerung von wichtigen Unternehmensdaten in den Cyberraum immer gravierender. Technische Voraussetzungen für den Schutz des eigenen Unternehmens bereitzustellen ist ein zentraler Aspekt erfolgreicher Prävention. Technische Schwachstellen auszunutzen rückt für Cyberkriminelle jedoch zunehmend in den Hintergrund. Erfolgversprechender ist heute oft die Zweckentfremdung der Mitarbeiter als Einfallstor in technisch durchaus gut abgesicherte IT-Systeme. Auch die Methoden der Angreifer im Bereich des sogenannten Social Engineering werden immer ausgefeilter. Denn der Mitarbeiter ist leider immer noch eine der größten Schwachstellen der IT. Insbesondere Angriffsvarianten unter Einbeziehung von E-Mails sowie der Umgang mit Passwörtern spielt in diesem Kontext eine herausgehobene Rolle.

Ohne Zutun der Mitarbeiter sind abgesicherte Systeme schwer verwundbar

In 99 Prozent aller Fälle ist eine vorherige Aktion des Anwenders erforderlich, um ein IT-System mit Schadsoftware zu infizieren. Viele Angestellte und auch deren Vorgesetzte sind sich dessen jedoch gar nicht bewusst. Unternehmen sind schon seit Jahren darum bemüht, Mitarbeiter durch Schulungen für dieses Thema und die Konsequenzen zu sensibilisieren. Gängigen Schulungen und Trainings im Bereich IT-Sicherheit mit zahlreichen Elementen des Frontalunterrichts haben jedoch oft versagt. Mitarbeiter gehen weiterhin täglich betrügerischen E-Mails, Social-Media-Nachrichten oder sogar Anrufen auf den Leim. Damit gefährden sie die Sicherheit und den Fortbestand der gesamten Organisation. Doch wenn konventionelle Schulungsmethoden nicht greifen, wie lassen sich Angestellte stattdessen optimal auf aktuelle Gefahren vorbereiten?

Naivität und Unwissenheit sind eine gefährliche Mischung

Hacker machen sich häufig die Unbedarftheit und das fehlende Know-how von Mitarbeitern zunutze. Mit simplen Social-Engineering-Methoden verleiten sie sie zu unbedachten Handlungen. Der Cybersecurity-Anbieter Proofpoint hat in einer Studie mehr als 6.000 Angestellte in Deutschland, den USA, Großbritannien, Frankreich, Italien und Australien befragt. Hier konnten zum Teil eklatante Wissensdefizite bezüglich der IT-Sicherheit im Alltag nachgewiesen werden. Bereits beim Passwortschutz wurden massive Lücken bei den Befragten erkennbar. Es zeigt sich, dass Nutzer oft Schwierigkeiten damit haben, zahlreiche unterschiedliche Kennwörter zu verinnerlichen. Etwa jeder fünfte Befragte setzt daher darauf, nur ein bis zwei Passwörter für alle Online-Konten zu verwenden. Dies ist ein ganz offensichtlich riskanter Umgang mit einer Vielzahl von Web-Diensten. Wenn einem der genutzten Dienste die Kundendaten abhandenkommen ist Gefahr im Verzug und in der Vergangenheit keine Seltenheit gewesen. Cyberkriminelle können sich die Daten zunutze machen und mit sogenanntem Credential Stuffing Zugang zu weiteren Online-Diensten oder gar den IT-Systemen des Arbeitgebers erlangen.

Drum prüfe, wer sich wo verbindet

Auch im Hinblick auf sicheres Kommunikationsverhalten zeigte eine nicht unerhebliche Zahl von Befragungsteilnehmern mangelhafte Kenntnisse. Genau 33 Prozent bezeichneten öffentliche WLAN-Netze in Cafés, Hotels und an Flughäfen als grundsätzlich vertrauenswürdig. Den Befragten war nicht klar, dass sie sich bei der Nutzung öffentlicher WLAN-Hotspots prinzipiell immer der Gefahr einer Man-in-the-Middle-Attacke aussetzen. Bei diesen täuschen Hacker öffentliche Netzwerke vor, um den Datenverkehr mitzuschneiden und so zum Beispiel Zugangsdaten zu erbeuten. Viele Studienteilnehmer offenbarten auch beim Thema Virenschutz Schwächen. So tätigten 71 Prozent der Studienteilnehmer die Aussage, dass man lediglich die Antivirensoftware auf dem neusten Stand halten müsste, um Angriffe von Cyberkriminellen abzuwenden. Das bedeutet im Umkehrschluss, dass nicht einmal ein Drittel aller Befragten für Cyberbedrohungen wie CEO-Betrug, Phishing und andere Formen von Social Engineering sensibilisiert ist. Die Ergebnisse sind zudem ein Indikator dafür, dass die herkömmliche Wissensvermittlung im Bereich der IT-Sicherheit weitestgehend gescheitert ist. Als Konsequenz muss ein Umdenken auf Seiten der Verantwortlichen stattfinden.

Bedrohungen kennen, um sie zu unterbinden

Eine moderne Sicherheitsstrategie setzt voraus, dass die eigenen Angestellten optimal geschult werden, um Angriffe überhaupt erkennen zu können. Hier hilft nicht nur die reine Bereitstellung von Informationen über die aktuelle Bedrohungslandschaft. Die Mitarbeiter müssen regelmäßig über sich verändernde Cyberbedrohungen und Angriffstaktiken auf dem Laufenden gehalten werden, um zu jeder Zeit adäquat auf mögliche Angriffe reagieren zu können. Ein weiterer Bestandteil dieser zeitgemäßen Sicherheitsstrategie besteht aus der spielerischen Aneignung von Know-how. Die Lernenden sollen auf diese Art die Inhalte nicht nur – wie so oft in Vorbereitung auf Prüfungen – unreflektiert wiedergeben können. Vielmehr müssen sie in der Lage sein, das neu gewonnene Wissen zu verinnerlichen und in einer Art Alltagsroutine abrufbar zu machen, sobald dies erforderlich sein sollte. Ausgefeilte Cybersecurity Awareness Trainings bestehen aus unterschiedlichen Bausteinen, die in ihrer Gesamtheit aus den einzelnen Mitarbeitern sozusagen eine menschliche Firewall formen. Diese Herangehensweise ist insbesondere für moderne, auf Social Engineering fokussierte Angriffe, praktikabel. Die Erhöhung der Aufmerksamkeit und Sensibilität sind die Schlüsselelemente.

Nine to five ist nichts für Cyberkriminelle

Hinzu kommt, dass Angreifer im Cyberspace keine festen Terminpläne für ihre Attacken haben und auch keine Termineinladungen per Outlook versenden. Deshalb können Mitarbeiter jederzeit Opfer von Cyberattacken werden. Unternehmen müssen daher dafür sorgen, dass ihre Angestellten immer wachsam sind wenn sie kontaktiert werden. Ganz egal ob per E-Mail, über das Telefon oder über Social Media. Cybersecurity Awareness Trainings setzen zur Sensibilisierung für diese Vorgehensweise auf vorgetäuschte Angriffe von White Hat Hackern. Diese agieren im Auftrag des Sicherheitsanbieters oder des Unternehmens, um die Aufmerksamkeit der Angestellten vor allem im Arbeitsalltag zu testen. Mitarbeiter sollen jederzeit mit einer Attacke rechnen und so stets wachsam bleiben. Reagiert ein Mitarbeiter falsch auf einen dieser fingierten Angriffe wird er oder sie darüber direkt informiert. In der Folge werden zudem nützliche Tipps und Trainingsvideos zur Verfügung gestellt. Sie sollen die optimale Herangehensweise nochmals aufzeigen, um einen solchen Angriffsversuch künftig erfolgreich abwehren zu können.

Neben all den Angriffsmustern über diverse Kommunikationskanäle spielt auch und vor allem der Umgang mit der eigenen E-Mail-Adresse und mit Passwörtern eine herausragende Rolle bei der IT-Sicherheit. In unserem nächsten Blogbeitrag erläutern wir, wie man sich optimaler Weise beim Umgang mit Passwörtern verhält und wie man in Erfahrung bringen kann, ob die eigenen E-Mail-Adressen bereits im Dark Web kursieren.