IT-BUSINESS Aktion:

#ITfightsCorona

Bewusstes Wagnis

Menschliche Sicherheitslücken in Unternehmen

| Autor: Melanie Staudacher

Durch den wissentlichen Verzicht auf die Sensibilisierung der eigenen Mitarbeiter hinsichtlich der IT-Sicherheit, setzen sich Unternehmen einem enormen Risiko aus.
Durch den wissentlichen Verzicht auf die Sensibilisierung der eigenen Mitarbeiter hinsichtlich der IT-Sicherheit, setzen sich Unternehmen einem enormen Risiko aus. (Bild: peshkov - stock.adobe.com)

Das modernste und teuerste IT-Sicherheitssystem wird wirkungslos, wenn die Schwachstelle selbst vorm Bildschirm sitzt. Obwohl die eigenen Mitarbeiter zu den größten Sicherheitsrisiken gehören, vernachlässigen Unternehmen oft die Security Awareness. Warum das so ist und wie Mitarbeiter in Security-Awareness-Trainings sensibilisiert und Endgeräte geschützt werden können, erläutern Schulungsanbieter.

Sicherheitslücken und Schwachstellen können auf Computern, Servern oder Netzwerkkomponenten auftreten. Hohe Summen werden in Firewalls, Verschlüsselungen und Antiviren-Programme investiert. Oftmals unbeachtet ist bei der Sicherung der Systeme der Aspekt Mensch. Anbieter von Schulungen für Security Awareness sind sich einig, dass Unternehmen mit dieser Einstellung extrem fahrlässig handeln.

Der Mensch: ein leichtes Ziel

Nikolas Schran, International Business Development Manager bei G Data
Nikolas Schran, International Business Development Manager bei G Data (Bild: G Data)

Mit steigendem Bewusstsein für die Bedeutung des Datenschutzes, wird der technische Schutz vor Cyber-Attacken in Unternehmen mittlerweile konsequent umgesetzt. Eigene IT-Abteilungen oder angeheuerte Managed-Security-Anbieter setzen fast rund um die Uhr Schutzmaßnahmen um. Doch die Sicherheit durch Hard- und Software ist nicht alles. „Auf technischer Seite wird bereits sehr viel zum IT-Schutz gemacht: Firewalls, E-Mail-Verschlüsselung, Antiviren-Schutz, Honeypots und vieles mehr. Angreifern wird es immer schwieriger gemacht, eine Lücke zu finden. Das ist natürlich auch den Angreifern bewusst, die sich neue Methoden einfallen lassen. Und das schwächste Glied in der Kette ist leider der Mensch. Am Ende des Tages ist der Anwender vor dem Computer das Zünglein an der Waage, das darüber entscheidet, ob ein Angriff erfolgreich ist oder nicht“, sagt Nikolas Schran, Zuständiger für den Bereich International Business Development beim Cyber-Defense-Unternehmen G Data.

Leon Klein, Trainer und Referent für Cyber-Security bei 8com
Leon Klein, Trainer und Referent für Cyber-Security bei 8com (Bild: 8com)

Advanced Persistent Threats (APTs) sind zielgerichtete, komplexe Angriffe und die nächste Stufe der Cyber-Kriminalität. Statt weit gestreuten Attacken werden gezielt Schwachstellen ausgenutzt, um sensible Daten zu stehlen. Oft gelangen APTs durch unvorsichtiges Verhalten der Anwender in Netzwerke. Bis dato wurde jedoch zu wenig in die Sensibilisierung der eigenen Mitarbeiter investiert.

Viele Firmen würden zu oft reaktiv anstatt proaktiv reagieren, so Schran. „Unternehmen sollten nicht darauf warten, bis die Titanic untergeht, sondern sich schon vorher Gedanken machen, ob ein Eisberg kommt.“ Dieser Meinung ist auch Leon Klein, Trainer und Referent für Cyber-Security beim Sicherheitsanbieter 8com: „Leider geht nur eine Minderheit der Unternehmen diese Probleme offensiv an. Vielen ist nach wie vor nicht bewusst, dass wirklicher Schutz nur durch ein effektives Zusammenspiel technischer Maßnahmen und Awareness gelingt. Ein erschreckender Großteil ist in Bezug auf das Thema Security Awareness unvorbereitet.“

Waldemar Bergstreiser, Head of Channel Germany bei Kaspersky
Waldemar Bergstreiser, Head of Channel Germany bei Kaspersky (Bild: Kaspersky)

Waldemar Bergstreiser, Head of Channel Germany beim Security-Anbieter Kaspersky, geht sogar noch einen Schritt weiter: „Ich denke nicht, dass Unternehmen bewusst die Sensibilisierung ihrer Mitarbeiter bezüglich IT-Sicherheit und Datenschutz vernachlässigen, sondern ihnen eher selbst manchmal das Bewusstsein dafür fehlt, Awareness für Cyber-Sicherheit bei der Belegschaft zu schaffen. Des Weiteren ist IT-Sicherheit immer auch ein Investment, das Unternehmen häufig erst tätigen, wenn sie einen Vorfall zu beklagen haben. Es fehlt hier also der präventive Ansatz. Denn Mitarbeiter sind weiterhin für Cyber-Angreifer der vielversprechendste Weg ins Unternehmensnetzwerk.“

Und die Fähigkeiten der Cyber-Kriminellen wachsen: Gefälschte E-Mails und Websites sehen immer realistischer aus und können von einem ungeschulten Auge möglicherweise nicht erkannt werden.

Die große Unwissenheit

Plopp! Die nächste E-Mail taucht im Postfach auf. Sie werden aufgefordert auf einer Website Ihre Daten einzugeben, damit Ihr Nutzerprofil aktualisiert werden kann. Die Seite sieht aus wie viele andere Ihres Anbieters auch. Aufgrund der immer vertrauensvollen und professionellen Zusammenarbeit mit dem Anbieter geben Sie nichtsahnend Ihre Daten ein. Oder Sie erhalten eine dringende E-Mail von Ihrer Chefin, die ihre Einwahldaten verlegt hat. Natürlich wollen Sie sie nicht warten lassen und leiten die Daten weiter. Herzlichen Glückwunsch, Sie sind Opfer eines Social-Engineering-Angriffs geworden.

Michael Heuer, Vice President DACH bei Proofpoint
Michael Heuer, Vice President DACH bei Proofpoint (Bild: Proofpoint)

Unter dem Begriff Social Engineering manipulieren Hacker die menschliche Psyche: Sicherheitstechnisch relevante Daten werden geraubt, indem Komponenten wie Vertrauen und Autoritätsgefüge ausgenutzt werden. Das spontane Öffnen eines E-Mail-Anhangs oder das Nichterkennen einer verdächtigen Website können drastische Folgen haben und fehlendes Wissen über Sicherheitsrisiken führt zu noch mehr Schwachstellen. Laut dem Cyber Security Index 2020 des Command Control Summits der Messe München bewerten fast zwei Drittel der deutschen Cyber-Sicherheitsentscheider ihre Mitarbeiter als Schwachstelle in der Sicherheitsstrategie. Gleichzeitig geben sie eigene Versäumnisse zu: 31 Prozent gestehen, dass die Belegschaft bisher überhaupt keine Rolle in der Sicherheitsstrategie des Unternehmens spielt. „Mitarbeiter aller Hierarchieebenen und sämtlicher Funktionen eines Unternehmens können ihre Organisation auf vielfältige Weise gefährden“, warnt auch Michael Heuer, Vice President DACH des amerikanischen Sicherheitsanbieters Proofpoint.

„Ein erfolgreicher Cyber-Angriff kann dramatische Folgen haben. Uns sind Fälle von deutschen Unternehmen bekannt, bei denen fünf- bis sechsstellige Schäden entstanden sind durch den Verlust von Daten und Betriebsunterbrechungen. Dazu kommen noch Reputations- und Folgeschäden“, erklärt Klein. In der jüngsten Studie zu IT-Sicherheitsvorfällen im Jahr 2019 von Kaspersky, ergaben die Recherchen, dass ein Vorfall ein kleines bis mittelgroßes Unternehmen im Durchschnitt 108.000 US-Dollar und ein großes Unternehmen 1,41 Millionen US-Dollar kostet.

Zudem führen die Digitale Transformation und das Internet der Dinge (IoT) dazu, dass immer mehr Mitarbeiter von verschiedenen Endgeräten und Standorten aus auf das Unternehmensnetzwerk zugreifen. Dadurch entstehen mehr Angriffsflächen und noch höhere Risiken. Es gilt also die Anwender zu schulen und die Sicherheitsmaßnahmen den aktuellen Anforderungen anzupassen.

Endpoint Security

Der Schutz von PCs, Smartphones, Tablets und Co drängt! Die Endpoint Security, die ebendiese Endgeräte, die auf Unternehmensnetzwerke zugreifen, schützt, setzt sich aus zwei Komponenten zusammen. Zum einen geht es um ein funktionierendes Endpoint-Security-Management: Sämtliche Clients und genutzte Anwendungen müssen erfasst und nicht erlaubte Applikationen entfernt werden. Außerdem wird mithilfe von Privilege Management das Risiko von Angriffen, durch die ständige Kontrolle hoher Zugriffsberechtigungen, gesenkt.

Neben sauber definierten Richtlinien gibt es auch technisch präventive Maßnahmen zum Schutz der Endgeräte. Bei der Anwendungsisolation (Application Containment), werden Applikationen isoliert genutzt, sodass ein möglicher Schadcode ebenfalls nur in diesem isolierten Kontext existiert. Diese Methode wird unter anderem für Browser, Office-Programme und E-Mail-Clients eingesetzt. Weiteres wirksames Mittel zur Prävention ist die Exploit Mitigation. Diese erschwert es Angreifern, Speicherbereiche zu überschreiben und somit schädliche Codes auszuführen.

Für Nikolas Schran bedeutet die Endpoint Protection jedoch gleichzeitig auch das Abstimmen auf die Bedürfnisse der Endgeräte: „Für viele Firmen ist das Thema Endpoint-Schutz mit dem Kauf einer Lösung erledigt. Wenn jedoch beispielsweise eine Firewall nicht auf die eigentlichen Bedürfnisse des Endpoints angepasst wurde, ist das grob fahrlässig. Ist das Endgerät der Rechner eines Entwicklers, der mehr Freiheiten benötigt oder geht es um einen Mitarbeiter, der nur bedingte Zugriffsrechte braucht? Eine Lösung, die nicht auf die jeweiligen Anforderungen eingestellt ist, kann nicht sinnvoll arbeiten. Denn jedes Produkt ist nur so gut, wie es gepflegt und eingerichtet wird.“

Die Human Firewall

APTs und Social-Engineering-Vorfälle, bedingt von menschlicher Unkenntnis, sind keine Seltenheit. Einer Erhebung des Bitkom zufolge gaben 2019 25 Prozent der befragten deutschen Unternehmen an, dass Angriffe auf Passwörter innerhalb der letzten zwei Jahre einen Schaden verursacht haben. Phishing-Angriffe verursachten bei 23 Prozent der Unternehmen Schäden. „Unseren Schätzungen zur Folge entstehen mehr als 80 Prozent alles Cyber-Sicherheitsvorfälle durch menschliche Fehler“, berichtet Waldemar Bergstreiser. Um diese erschreckenden Zahlen zu senken, gibt es Schulungs- und Trainingsangebote für Mitarbeiter. „Cyber-Kriminelle arbeiten sehr fokussiert und verfeinern ständig ihre Fähigkeiten und Techniken. Insofern ist es umso wichtiger mitzuhalten sowie Fähigkeiten und Techniken zum Schutz des Unternehmens ständig zu trainieren. Wenn Organisationen nicht mindestens gleichwertige Anstrengungen wie ihre Angreifer unternehmen, haben die Kriminellen schon fast gewonnen“, ist sich Heuer sicher.

Deswegen, so Schran, müsse der Mensch in die Sicherheitsstrategie integriert werden, um die Human Firewall zu aktivieren. Damit sei er keine Sicherheitslücke mehr, sondern trage dazu bei, dass das Sicherheitskonzept schlüssiger wird. „Sicherheit kann man nicht kaufen. Man kann allerdings Mittel kaufen, mit denen Sicherheit erarbeiten werden kann.

Berufliche und private Mehrwerte

Die Schulungsinhalte der verschiedenen Anbieter umfassen unter anderem die Themen:

  • Social Engineering,
  • Risikomanagement und Passwörter,
  • Arbeiten in der Cloud,
  • Endpoints,
  • Phishing und Malware,
  • EU-DSGVO sowie bekannte Vorfälle und allgemeine Informationen.

Von simulierten Phishing-Attacken, über Anleitungen zur Erkennung von Malware bis zu E-Learnings zur aktuellen Bedrohungslage werden die Inhalte mit Texten, Videos und interaktiven Aufgaben vermittelt. Neben klaren Verantwortlichen seien auch fest definierte Richtlinien für das Verhalten im Krisenfall unabdingbar, um Mitarbeiter in die Verteidigungsstrategie zu integrieren, sind sich die Anbieter einig.

Außerdem sei entscheidend, die Kurse optimal für die Bedürfnisse der Unternehmen und der verschiedenen Zielgruppen praxisnah aufzubereiten. Denn für eine lückenlose Security Awareness reicht es nicht aus, nur ein paar Mitarbeiter oder nur die IT-Abteilungen zu schulen. „In unseren Schulungen haben wir neben IT-Personal, Abteilungsleitern und Führungskräften auch Teilnehmer aus IT-fremden Berufen: Produktions- und kaufmännische Mitarbeiter, Küchenpersonal und das Facility Management“, teilt Klein seine Erfahrungen.

Durch kurz gehaltene Lerneinheiten können die Trainings sowohl in den Arbeits- wie auch in den persönlichen Alltag integriert werden. Denn die Teilnehmer profitieren genauso im Privaten von Security Awareness. Schließlich können Angriffe auch auf private Umgebungen erfolgen. „Ziel ist es, dass sich die Security-Awareness-Trainings möglich reibungslos in den Alltag integrieren lassen. So, dass die Produktivität des Mitarbeiters nicht leidet, er aber dennoch in der Geschwindigkeit lernen kann, die für ihn passend ist“, erläutert Schran das Konzept der Trainings bei G Data.

Schutz vor technischen und physischen Einbrüchen

Beim Thema Security Awareness geht es jedoch nicht alleine um den Schutz vor virtuellen Einbrüchen auf Netzwerke oder Endpoints. Social Engineering kann auch real im Unternehmen erfolgen. Zum Beispiel bringt ein vermeintlicher Paketbote Post und verschafft sich somit Zugang zum Firmengebäude, wo er sensible Daten von nicht gesperrten Bildschirmen abliest oder handschriftliche Notizen einsteckt.

Deswegen gehören zu den Schulungsinhalten auch die Aufklärung über solche Methoden und die Clean Desk Policy. Diese besagt, dass im Sinne des Datenschutzes keine personenbezogenen Daten oder Firmengeheimnisse offen am Arbeitsplatz liegen dürfen, für den Fall, dass sich Unbefugte Eintritt ins Gebäude verschaffen.

Bewusstes Wagnis

Zwar nehmen die Anbieter am Markt ein Wachstum für das Verständnis menschlicher Sicherheitslücken in Unternehmen wahr, doch woran liegt es, dass die Sensibilisierung der eigenen Mitarbeiter nur stockend voran geht? Nur rund 10 Prozent der Organisationen bieten mehr als drei Stunden pro Jahr an Trainings, so Heuer. „Und nur 60 Prozent der Unternehmen bieten den Anwendern irgendeine Art von formaler Ausbildung an, sei es eine persönliche oder computergestützte.“

„Unsere kleine Firma ist doch viel zu uninteressant für einen Cyber-Angriff.“ Fehleinschätzungen wie diese sind leider keine Seltenheit. Nicht nur große Unternehmen sind von den Attacken betroffen. Auch kleine und mittlere Unternehmen (KMUs) sind immer häufiger im Visier der Angreifer. „IT-Sicherheitsvorfälle können Unternehmen jeder Größe betreffen und bares Geld kosten“, berichtet auch Bergstreiser. „Gerade für kleinere Unternehmen kann dies schnell das Aus bedeuten.“

„Security ist ein komplexes und vielschichtiges Thema. Deswegen werden häufig einfache Lösungen gesucht. Statt sich wirklich mit dem Thema zu beschäftigen, wird lieber die vierte oder fünfte Firewall gekauft. Auch, weil hierbei nur einmalig Kosten entstehen und wiederkehrende Posten häufiger gescheut werden“, sagt Klein.

Optimistische Zukunftsaussichten

Allem in allem zeigen sich die Schulungsanbieter optimistisch. „Security Awareness rückt immer mehr in den Fokus. In unseren Trainings lernen Mitarbeiter, wie sie sicher mit dem PC umgehen, was Datenschutz bedeutet, wie sie Phishing-Mails erkennen und mit mobilen Geräten umgehen. Am wichtigsten ist jedoch, wie die Anwender im Ernstfall reagieren. Wenn diese Inhalte vermittelt werden, sinkt das Risiko für einen erfolgreichen Cyber-Angriff. Security Awareness ist jedoch kein einmaliges, sondern ein lebenslanges Lernen“, erläutert Schran.

Nicolas Leiser, Geschäftsführer des Security-Anbieters Cyber Samurai
Nicolas Leiser, Geschäftsführer des Security-Anbieters Cyber Samurai (Bild: © 2016 Wilson Ortiz)

„Im Schnitt fallen etwa 35 Prozent der Belegschaft auf einen simulierten Phishing Angriff herein. Diese Zahl senken wir auf circa vier Prozent dank regelmäßiger Trainings“, berichtet auch Nicolas Leiser, Geschäftsführer des Security-Anbieters Cyber Samurai, von den Erfolgen der Schulungen.

Klein zieht folgendes Fazit: „Die Security Awareness steigt. Dass die Cyber-Kriminalität explodiert, ist mittlerweile überall angekommen. Jeder kennt irgendwen, dem schon mal was passiert ist oder war selbst Opfer. Die Mehrwerte der Awareness werden mehr und mehr gesehen."

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46601735 / IT-Security)