com!-Academy-Banner

Geschulte Mitarbeiter wehren Cyberangriffe ab

Mitarbeiter als schwächstes Glied

von - 25.06.2019
Phishing-Angriffe können mit relativ wenig Aufwand große Schäden verursachen, da sie auf die Schwachstelle Mitarbeiter zielen. Rund 90 Prozent aller Angriffe haben ihren Ursprung beim Nutzer, da er den einfachsten Angriffspunkt und damit auch das größte Risiko für die IT-Sicherheit darstellt“, erklärt Richard Werner, Business Consultant bei Trend Mi­cro. „Ein einfacher Klick genügt, und die Schad-Software wird im System verbreitet. Oft hilft zwar der gesunde Menschenverstand weiter. Firmen müssen aber zusätzlich ihre Mitarbeiter über Bedrohungen aufklären und ihnen zeigen, wie sie in derartigen Fällen richtig reagieren. Es geht um Sicherheitsbewusstsein, um Security Awareness.“
Das heißt: Technische und IT-Maßnahmen zur Sicherheit können noch so ausgeprägt sein, sie allein helfen nicht. Der Mensch ist das schwächste Glied in der Security-Kette. Er nimmt im Bereich der Informationssicherheit und speziell beim Thema Security Awareness eine Schlüsselrolle ein, da er aus Sicht der Angreifer das wichtigste Einfallstor bildet. Doch andererseits kann jeder Mitarbeiter Phishing-Mails und andere Attacken auch ins Leere laufen lassen, wenn er über genügend Wissen verfügt und deswegen nicht auf einen Anhang mit Schad-Software klickt. „Das Sicherheitsbewusstsein zu sensibilisieren ist ein wichtiger und sich schnell entwickelnder Bereich, insbesondere vor dem Hintergrund immer gezielterer Angriffe, die die Menschen zu einem entscheidenden Glied in der Sicherheitskette machen“, erklärt deshalb William „BJ“ Jenkins, CEO von Barracuda Networks.

Security Awareness

Doch was ist Security Awareness genau? „Security Awareness bedeutet, dass jeder Mitarbeiter mit seiner inneren Einstellung, seinem Wissen um mögliche Angriffstechniken und damit verbundene Folgen sowie seinem Handeln maßgeblich zur Informationssicherheit beiträgt“, erklärt Holger Schmidt, Professor für Informatik und IT-Sicherheit am Fachbereich Medien der Hochschule Düsseldorf und freiberuflicher Berater für IT-Sicherheit. Er baut an seinem Lehrstuhl gerade ein Information Security Awareness and Training Lab auf. „Natürlich gibt es keine hundertprozentige Sicherheit, da das menschliche Verhalten unter anderen durch Gefühle beeinflusst ist und sich nicht absolut kontrollieren lässt. Der Mensch soll sich so verhalten, dass er dazu beiträgt, das Restrisiko zu minimieren.“
Prof. Holger Schmidt
Dr. Holger Schmidt
Professor für Informatik und IT-Sicherheit am Fachbereich Medien der Hochschule Düsseldorf
https://medien.hs-duesseldorf.de/schmidt
Foto: Holger Schmidt
„Viele Awareness-Programme sind standardisiert und zu wenig individualisiert in der Lernmethodik. Jeder bekommt oft das gleiche Thema vorgesetzt.“
Um das zu gewährleisten und die Mitarbeiter für Sicherheit zu sensibilisieren, setzt rund die Hälfte der deutschen Unternehmen bereits auf Security-Awareness-Schulungen und nimmt Trainingsangebote eines mittlerweile breiten Anbietermarkts wahr. Das zeigt der Lagebericht 2018 des Bundesamts für Sicherheit in der Informationstechnik (BSI). Lediglich für 29 Prozent der Unternehmen kommen derzeit und auch in Zukunft keine Security-Awareness-Trainings zum Einsatz. 19 Prozent der befragten Unternehmen planen zumindest ein entsprechendes Schulungsangebot für ihre Mitarbeiter.
Und wie laufen diese Schulungen ab? Wie und mit welchen Inhalten können Firmen ihren Mitarbeitern Sicherheitsbewusstsein vermitteln und ihr Verhalten nachhaltig ändern? Reicht dafür eine eintägige Schulung pro Jahr? Welche He­rausforderungen und Fallstricke gibt es bei Security-Awareness-Trainings? Lohnen sich diese Trainings? Fragen über Fragen stellen sich.
Social Engineering
Social Engineering bezeichnet einen Angriffsvektor, bei dem die Schwachstelle Mensch ausgenutzt wird. Die Täter spähen dabei gezielt Mitarbeiter über Facebook, LinkedIn & Co. aus, am besten die, die über privilegierte Accounts verfügen und Zugang zu vertraulichen Daten haben.
Die Kriminellen nutzen Eigenschaften wie Hilfsbereitschaft oder Angst vor Autoritäten aus, um Mitarbeiter zu manipulieren. Über deren Rechner dringen die Angreifer dann in das Unternehmensnetzwerk ein oder gelangen an geheime Informationen. Ein Beispiel dafür sind Phishing-Mails, die Links enthalten, die auf eine kriminelle Fake-Website leiten und dann automatisch Schad-Software laden.
Auch der im Artikel beschriebene CEO Fraud gehört zum Social Engineering. Laut der „2018 Security Awareness Training Deployment and Trends Survey“ von KnowBe4, Anbieter einer Trainings- und Phishing-Simulations-Plattform, war Social Engineering im vergangenen Jahr Hauptmethode für Angriffe auf Unternehmen. Das gaben 77 Prozent der Befragten an. Weit dahinter landen Malware (44 Prozent) oder Benutzerfehler (27 Prozent). Für die webbasierte Studie wurden 1100 Unternehmen weltweit befragt.
Verwandte Themen