27.11.21

Die Schwachstelle Mensch – Die Bedeutung von Security Awareness für das Unternehmen

Die Schwachstelle Mensch – Die Bedeutung von Security Awareness für das Unternehmen

Der Benutzer als größtes Risiko

In unserem letzten Blogbeitrag haben wir bereits aufgezeigt, wie wichtig die technische Absicherung der IT-Systeme in Unternehmen ist. Ein genauso wichtiger und von Unternehmen oft unterschätzter Bestandteil, ist der Mensch. Die IT-Sicherheit ist nämlich nur so gut, wie die Menschen, die die Systeme bedienen. Die beste Technik bringt nichts, wenn Anwender nicht über die Gefahren aufgeklärt sind und entsprechend sicherheitsbewusst handeln. Aus dem Cyber Security Intelligence Index von IBM geht hervor, dass mehr als 90 % aller Sicherheitsvorfälle auf menschliche Fehler zurückzuführen sind. Um die Gefahr, die von den Angestellten ausgeht, zu minimieren, gilt es im Unternehmen eine Security Awareness zu schaffen.

Was ist Security Awareness?

Security Awareness bedeutet übersetzt „Sicherheitsbewusstsein“. Dieses soll mit entsprechenden Schulungsmaßnahmen (Security Awareness Training) herbeigeführt werden, welche über Themen wie Datenschutz und Daten- und Informationssicherheit aufklären. Diese können sowohl im „Frontalunterricht“ in Klassen- bzw. Meetingräumen als auch im Rahmen von Online-Trainings stattfinden. Mitarbeiter müssen lernen, mit den Gefahren der heute global vernetzten Welt umzugehen. Ihnen wird das nötige Know-How vermittelt, das idealerweise mit den Richtlinien und Prozessen des Unternehmens sowie den Anforderungen der jeweiligen Abteilung abgestimmt ist.

Warum ist Security Awareness so wichtig?

Die Entwicklung der IT-Welt findet nicht nur in den Möglichkeiten, sondern auch in den Bedrohungen für Unternehmen statt. Hacker entwickeln immer schwieriger zu erkennende Schadsoftware und finden neue Wege, um an Unternehmensdaten zu gelangen und die Opfer damit zu erpressen. Oft ist es auch gar keine Schadsoftware wie ein Virus, das Angreifern hilft in das Unternehmen einzudringen, sondern das sogenannte Social Engineering. Eine populäre Form des Social Engineering ist das sogenannte Phishing, bei dem versucht wird Nutzer gezielt zu manipulieren, indem sich die Kriminellen per E-Mail als einen Vorgesetzten, einen vertrauenswürdigen Handwerker, einen Angestellten einer Bank oder der Feuerwehr ausgeben. Die Täter versuchen sich das Vertrauen und damit sensible Daten zu erschleichen. Während Spamfilter einen Teil der E-Mails rausfiltern können, sind sie gegen zielgerichtete Bedrohungen machtlos. Daher gilt es die „menschliche Firewall“ des Unternehmens so gut es geht zu stärken.

Der Aufwand, welcher für Social Engineering Attacken betrieben wird, ist teilweise enorm. Es werden Firmenstrukturen ausspioniert, Umsätze analysiert usw. Wenn die Erpressungssumme festgelegt ist, wird meist ein gezielter, manueller Angriff auf eine Person durchgeführt. Im schlimmsten Fall besitzt diese Person einen privilegierten (Admin-)Account und hat auch Zugriff auf Datensicherungen.

Risikofaktoren, die von Mitarbeitern ausgehen

Falscher Umgang mit betrügerischen E-Mails

Ein großer Risikofaktor ist der falsche Umgang mit betrügerischen E-Mails, der oft aus der Unwissenheit der Mitarbeiter oder Angst, etwas zu verpassen resultiert. Spamfilter können zwar viele, jedoch nicht alle solcher Mails herausfiltern. Nutzer, die sich ausschließlich auf die technischen Sicherheitseinrichtungen verlassen, klicken versehentlich auf Links in scheinbar seriösen oder bekannten Mails an und öffnen damit Schadsoftware Tür und Tor. Im schlimmsten Fall werden solche E-Mails dann noch im Unternehmen weitergeleitet, um sich darüber auszutauschen. In einer Vielzahl von Fällen tritt dann eine Bedrohung gleichzeitig bei mehreren Benutzern auf. Damit erhöht sich automatisch auch die Wahrscheinlichkeit, dass der Angreifer einen Account mit erhöhten Rechten kapern kann.

Einfache, veraltetet oder ungesicherte Passwörter

In der Tat sind auch Passwörter, die ja eigentlich der Sicherheit dienen sollen, enorme Risikofaktoren.  Dazu zählt ein zu einfaches Passwort (z.B. 12345), wofür das Unternehmen Passwort-Richtlinien entwickeln sollte (Mindestanzahl an Zeichen, Groß- und Kleinschreibung, Sonderzeichen usw.). Doch auch wenn dasselbe Passwort über eine längere Zeit oder an verschiedenen Stellen verwendet wird, bietet man Cyberkriminellen Angriffspunkte. Zudem lässt sich sagen, dass eine einfache Absicherung für ein so wichtiges Gut wie Unternehmensdaten, einfach nicht ausreicht. Ein gutes Mittel für einen bessere Sicherheit ist die Zwei-Faktor-Authentifizierung. In vielen Betrieben bereits seit Jahren Gang und Gäbe und auch auf sozialen Netzwerken immer präsenter, verfügen einige Unternehmen noch nicht über eine solche Absicherung. Hierbei wird die Identität des Nutzers beim Login durch zwei unterschiedliche und unabhängige Faktoren abgeprüft. Ähnlich wie in Action-Filmen (öffnen einer „Top-Secret-Tür“ nur durch Magnetkarte, Zugangscode, Augen- und Fingerabdruck-Scan etc. möglich) funktioniert das auch hier. Beim Login wird nicht nur das Passwort des Users abgefragt, sondern zusätzlich noch ein einmalig gültiges, dynamisch erzeugtes Kennwort auf eine zweite, unabhängige Komponente versendet (SMS, E-Mail, Authentifizierungsapp o.ä.). Mit der Eingabe dieses Codes auf ersterer Komponente wird der Login abgeschlossen. Man spricht hier auch von Mehrfaktorauthentifizierung – nämlich mit den Faktoren Wissen (Kennwort) und Besitz (App auf Smartphone).

Private Endgeräte im Unternehmensnetzwerk

Extern von Mitarbeitern mitgebrachte Endgeräte können ebenfalls eine Bedrohung darstellen, da sie aus dem IT-Management des Unternehmens fallen. So kann das private Endgerät des Angestellten bereits mit Schadsoftware infiziert sein und beim Einloggen in das Unternehmensnetzwerk Login-Informationen mitlesen und dann wichtige Daten, Kennwörter etc. abfließen lassen, verfälschen oder löschen. Weitere Einfallspotenziale bieten veraltete Betriebssysteme (verpasste Updates oder uneinheitliche Systemzustände im Gegensatz zu den Endgeräten des Unternehmens) sowie verwendete Apps. So könnten die von den Apps eingeforderten Berechtigungen, vertrauliche Daten (wie z.B. Kontaktdaten oder Adressbücher) ziehen. Daher ist es auch hierfür empfehlenswert, Security Awareness zu schaffen und eine Richtlinie zu definieren. Hierbei soll die Privatsphäre des Mitarbeiters natürlich gewahrt werden, jedoch auch Transparenz herrschen, um das Unternehmen abzusichern. Diese Richtlinien müssen aber nicht nur festgehalten und aufgezeigt, sondern auch durchgesetzt und die Einhaltung kontrolliert werden. Eine nicht komplett durchdachte und strukturierte BYOD-Strategie (bring your own device) kann die IT-Sicherheit des gesamten Unternehmens schwächen.

Sorglose Internetnutzung

Unsichere oder irreführende Websites, unabsichtliche Downloads und viele weitere Einfallstore für Trojaner, Würmer und Co. – das Internet birgt einige Gefahren. Und dabei ist egal, ob für die geschäftliche oder die private Nutzung. Daher gilt es die Mitarbeiter für potenzielle Risikofaktoren zu sensibilisieren und ein sicherheitsbewusstes Verhalten (Security Awareness) zu schaffen.

Vertuschung von Cyberangriffen

Unternehmen sollten ihren Angestellten beibringen, dass Schwindeln oder Verschweigen überhaupt nichts bringt, sondern die Auswirkungen eines Cybervorfalls sogar noch schlimmer macht. Nicht selten versuchen Mitarbeiter, die einen solchen Vorfall verschuldet haben, die Schuld von sich zu weisen oder das Dilemma zu vertuschen – das ist fatal! Das macht das Ganze nur noch schlimmer, da sich die Schadsoftware in der Zwischenzeit ausbreiten kann. Je früher die Schadsoftware behandelt werden kann, desto besser – das muss den Arbeitnehmern klar gemacht werden. Denn auffallen wird der Cyberangriff sowieso.

Bei den erwähnten Security Awareness-Schulungen wird genau diese Thematik behandelt:
- welche Personen sind zu informieren,
- welche Prozesse müssen in Gang gesetzt werden,
- welche Abläufe sind einzuhalten,
wenn es zu Vorfällen kommt, die relevant für die IT-Sicherheit der Organisation sind.
Dabei müssen die Trainings immer wieder aufgefrischt und bei Unternehmen mit einer hohen Fluktuation in regelmäßigen Abständen durchgeführt werden. Im Idealfall findet eine solche Security Awareness-Schulung fortlaufend über eine Awareness-Plattform statt. Davon gibt es zahlreiche Anbieter (z.B. KnowBe4), die Schulungsmaterial in unterschiedlichen Sprachen zusammenstellen und auf aktuelle Bedrohungen und Verhaltensweisen eingehen. Die Einladung der Mitarbeiter erfolgt i.d.R. automatisiert. Dann werden E-Learnings abgehalten. Die Durchführung wird protokolliert und findet fortlaufend statt. Weiterhin gibt es Angriffssimulationen, womit Mitarbeiter nicht nur situationsbezogen geschult werden können. Auch ist es möglich, über Angriffssimulationen einen Überblick über den Wissensstand der Benutzer zu erhalten und ggf. nachzuschulen.

Security Awareness im Unternehmen: Schulungen für Mitarbeiter

Bei Security Awareness Trainings ist es wichtig, die Angestellten nicht mit irgendeinem IT-Kauderwelsch zu konfrontieren. Man muss sie da abholen, wo sie mit ihrem aktuellen Wissenstand stehen und es ihnen verständlich erklären. Nicht jeder hat dieselben Vorkenntnisse. Die einen beschäftigen sich auch in der Freizeit mit IT-Themen oder sind von Haus aus technikaffin – andere wiederum haben damit überhaupt nichts am Hut. Genau deswegen ist es umso wichtiger keinen einheitlichen „IT-Unterricht“ abzuhalten, um die Mitarbeiter nicht zu über- oder unterfordern. Praxisnahe, greifbare Beispiele (wie z.B. echte Phishing-Mails, die im Unternehmen aufgeschlagen sind) schulen das Auge der Anwender, um derartige Bedrohungen zukünftig selbst erkennen zu können. Ihnen wird damit nähergebracht, welchen Bedrohungen ein Unternehmen ausgesetzt ist und welche Folgen es von einem Angriff davontragen könnte. Auch spielerische Elemente (wie z.B. ein Quiz) können eingebaut werden, um die Angestellten anzuspornen und das Ganze etwas aufzulockern. Eine zusätzliche Motivation können Zertifikate sein, die der Arbeitnehmer bei bestandenen Security Awareness Trainings erhält. Dem Angestellten muss zudem vermittelt werden, dass sie sich bei verdächtigen E-Mails bei Experten erkundigen können (IT-Abteilung oder -Verantwortliche, IT-Dienstleister). Die Nutzer sollen sich nicht allein gelassen fühlen, sondern wissen, wie und an wen sie sich bei fragwürdigen Mails, Zahlungsaufforderungen o.Ä. wenden können und dass das kein Aufwand, sondern eine Erleichterung für das Unternehmen ist. Um die Mitarbeiter zu testen, können über eben erwähnte Awareness-Plattform Phishing-Simulationen durchgeführt werden, um die - darüber in Kenntnis gesetzten - Mitarbeiter. Fallen sie auf die Simulation rein, werden sie beim Link-Klick auf Lern-Websites weitergeleitet werden. Eine weitere Maßnahme kann das Implementieren eines Phishing-Buttons sein, mit welchem die Mitarbeiter verdächtige Mails melden können.

Mitarbeiter sind nicht nur eine Gefahr

Zwar haben wir in diesem Blogbeitrag sehr schwarzmalerisch aufgezeigt, was passieren kann, wenn Anwender nicht mit den Gefahren und Herausforderungen der digitalen Welt umzugehen wissen, jedoch geht das Ganze auch andersherum. Mitarbeiter müssen nicht immer nur Risikofaktoren sein. Gut informierte und geschulte Arbeitnehmer, die sich der Gefahren bewusst sind und über Kompetenzen in diesem Bereich verfügen, können einen wichtigen Anteil zur Unternehmenssicherheit beitragen.

Mindestens genauso gut aufgestellt sein wie die Angreifer

Unternehmen sind heutzutage einigen Gefahren ausgesetzt. Und so hart es auch klingen mag: Organisationen müssen sich mindestens genauso stark aufstellen wie ihre Angreifer und mit deren Entwicklung Schritt halten. Das heißt, dass alle Komponenten, die zur IT-Sicherheit beitragen können, berücksichtigt und fortlaufend optimiert werden müssen. Dabei reicht es jedoch nicht das Augenmerk ausschließlich auf eine stabile und sichere IT-Infrastruktur zu legen. Denn anders als viele vielleicht denken würden, kann menschliches Know-How in der IT-Sicherheit mindestens genauso viel Wert sein, wie technische Möglichkeiten. In Fachkreisen spricht man hier von „Human Firewall“.

Kontaktieren Sie uns jetzt für ein kostenloses und unverbindliches Beratungsgespräch und kommunizieren und arbeiten Sie abgesichert: +49 89 1894162-0!

Klicken Sie sich gerne durch unsere Produkte und Dienstleistungen.

Abonnieren Sie uns auch auf LinkedInInstagram und Facebook und lesen Sie spannende Beiträge über Lösungen für die Welt der Technik.