Die IT ist und bleibt für die Sicherheit verantwortlich
Unternehmen investieren viel Geld in Hard- und Software für die IT-Sicherheit. Aber oft sind es die eigenen Mitarbeitenden, die Cyberkriminellen Tür und Tor öffnen. Auch wenn es nervt: Nur stetige Schulungen sensibilisieren und stärken die Human Firewall. IT-Abteilungen müssen hier aktiv werden, statt auf den DAU-GAU zu warten.
Risikoprävention ist keine Frage der Technik, sondern fängt damit an, sich die Gefahren immer wieder bewusst zu machen. Das ist Teil der Human Firewall, von der Sicherheitsfachleute heute gerne sprechen. Die Sensibilisierung betrifft aber nicht nur die „normalen“ Mitarbeitenden, sondern auch die Security-Profis in der IT. Sie müssen immer wieder daran erinnert werden, dass eine der größten Schwachstellen vor dem Rechner sitzt. Das ist zwar hinlänglich bekannt – aber längst nicht alle Organisationen reagieren darauf angemessen.
Oft fahrlässiger Umgang mit Passwörtern
Laut Accenture werden 95 Prozent aller Attacken durch Nutzer:innen auf Endgeräten verursacht. Und es stimmt: Viele Angestellte gehen immer noch lax mit ihren Nutzerdaten um. Das trifft besonders auf Passwörter zu. Leicht zu merkenden Klassikern wie „1234“ und „Kennwort“ haben viele Organisationen durch die Vorgabe von Groß- und Kleinschreibung, mindestens einer Zahl und einem Sonderzeichen sowie regelmäßigen Änderungen einen Riegel vorgeschoben. Eine Folge: Menschen nutzen ein „Passepartout“ für viele geschäftliche und private Anwendungen einschließlich ihrer Accounts für Social Media und Online-Shopping. Laut Bitkom geht mehr als jeder dritte Onliner (36 Prozent) in Deutschland so vor. Da nützen auch die komplexesten Kennwörter nichts, obwohl sie natürlich mehr Schutz bieten als eine simple Zahlenfolge.
Da nahezu jeder Mensch Schwierigkeiten hat, sich komplexe Passwörter sämtlicher 100+ Accounts zu merken, sollte man es mit Buchstabenkombinationen aus Gedichtzeilen oder mit einem Passwort-Manager versuchen. Die IT kann nun entweder warten, bis ein Vorfall eintritt, oder sie unterstützt Mitarbeiter proaktiv dabei, diese Tools und Techniken zu nutzen. Umso wichtiger ist es, den Mitarbeitern die Konsequenzen klarzumachen, wenn sie zusätzlich zur kognitiven Überforderung – welches Gedicht passte zu welchem Account – auch noch unvorsichtig mit Passwörtern umgehen oder im Internet, gar über das Firmen-Notebook, Software herunterladen, die sich dann als Malware entpuppt.
Trainings gegen Phishing-Mails und CEO Fraud
IT-Verantwortliche in Unternehmen müssen in der Belegschaft ein Verständnis dafür aufbauen und pflegen, dass hinter wirklich jeder Anwendung Gefahren lauern können. Mit Einzelmaßnahmen ist es dabei nicht getan – wie man immer wieder sehen kann, wenn die Medien über erfolgreiche Angriffe berichten. Wir bei metafinanz verschicken beispielweise einmal im Monat einen Newsletter über Cyber Security & Security Awareness an unsere Mitarbeitenden. Hier werden ausgewählte und wichtige Nachrichten zur Cybersicherheit aus aller Welt zusammengefasst, um das Bewusstsein zu stärken. Gut eignen sich zudem Schulungen oder Trainings, in denen Menschen etwa mit Phishing-Mails konfrontiert werden und diese erkennen müssen. Oft liegen sie daneben – selbst Security-Profis fallen darauf rein.
Eine besonders gefährliche Variante und bei Cyberkriminellen immer noch beliebt ist der sogenannte „CEO Fraud“: Der Angreifer gibt vor, der Geschäftsführer zu sein. Das Opfer aus der Firma wird aufgefordert, eine große Geldsumme auf ein Konto im Ausland zu überweisen. Das ist die Übersetzung des Enkeltricks auf die Geschäftswelt. Beide Angriffsmuster sind immer noch erfolgreich – und sie wirken nicht nur bei Mitarbeitenden, sondern auch im Umfeld der Zielpersonen. So muss man nicht mal selbst auf einen schädlichen Link klicken: Es reicht, wenn das Kind am Firmencomputer spielen darf.
Sicherheitsbewusstsein sollte in Fleisch und Blut übergehen
Wenn Menschen auf diesen Chef-Trick oder andere Fallen trainiert sind, entwickeln sie mit der Zeit ein besseres Auge dafür, auf welche Links sie besser nicht klicken sollten. Gehen solche im Training gemachten Erfahrungen in Fleisch und Blut über, werden sie wahrscheinlich nicht mehr so schnell darauf hereinfallen, wenn sich ein Vorgesetzter aus dem Ausland meldet. Wobei auch klar ist: Mit der richtigen Ansprache zur richtigen Zeit sind auch Profis nicht vor Fehlern gefeit.
Technische Hilfsmittel wie Apps auf mobilen Geräten, die dafür sorgen, Daten in einer geschützten Umgebung zu halten, bieten keinen umfassenden Schutz, wenn der Mensch einen Workaround nutzt. Um zumindest den technischen Grundschutz zu gewährleisten, haben wir bei metafinanz ein Tool zur Cyber-Risiko-Analyse ins Portfolio genommen. Dieses überprüft sämtliche Systeme im Unternehmen auf ihren Reifegrad in puncto Cybersecurity und führt auf Wunsch auch Benchmarks mit den Sicherheitsniveaus vergleichbarer Unternehmen durch. Eine derartige Bestandsaufnahme kann helfen, die Security Awareness auch im Top-Management zu festigen. Schließlich geht das Thema alle Ebenen im Unternehmen an. Wenn die Mauer an einer Stelle bröckelt, kann die Zukunft des ganzen Unternehmens auf dem Spiel stehen. Das sollte jedem im Unternehmen immer wieder bewusst gemacht werden.
Quelle Titelbild: iStock /Xesai
