Mobile Security: Die „Human Firewall“ zählt

Beim Umzug ins Homeoffice haben sich viele Unternehmen anfangs darauf konzentriert, die IT-Infrastruktur reibungslos für alle Mitarbeitenden verfügbar zu machen. Aber das war nur das technische To-Do. Viel wichtiger ist der nachhaltige Aufbau eines Sicherheitsbewusstseins im Unternehmen. Denn was nutzt die beste Technologie, wenn man nicht weiß, was sie bewirkt? Es gilt, die Awareness zu schaffen, dass jeder Einzelne gefährdet ist und wachsam sein muss.

Das Problem sitzt vor dem Bildschirm

Menschen beeinflussen die Sicherheit mehr als Technologie, Policies oder Prozesse. Sie bilden häufig die vorderste Front bei Sicherheitsvorfällen. Das Bewusstsein des Einzelnen für potenzielle Sicherheitsbedenken steht in direktem Zusammenhang mit seinem Verhalten. Hier ist Aufklärung erforderlich, denn viele Angestellte vermischen Berufliches und Privates auf Ihrem Rechner im Homeoffice.

In einer vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) beauftragten Untersuchung von 1.019 kleinen und mittleren Unternehmen fanden sich Daten von 543 Firmen (53 Prozent) im Darknet. Darunter waren rund 6.500 E-Mail-Adressen von Mitarbeitern und Mitarbeiterinnen mit den dazugehörigen Passwörtern. Diese Daten stammten teilweise von gehackten Seiten, auf denen sich die Mitarbeitenden nicht zu dienstlichen, sondern zu privaten Zwecken angemeldet hatten – unter anderem zum Einkaufen in Online-Shops, für den Zugang zu sozialen Medien oder für die Anmeldung auf Gaming-Webseiten.

Auf den falschen Link geklickt

Ein ernstes Problem ist auch die Angriffstechnik des Phishings, bei der Hacker die Naivität der Angestellten ausnutzen und sie dazu verleiten, auf Links zu klicken, die bösartige Software auf dem Rechner installiert. Laut dem 2020 Data Breach Investigations Report (DBIR) haben es Phisher vor allem auf Zugangsdaten abgesehen. Den Angreifern gelingt es immer wieder, ihre Opfer zu täuschen. So schleusen sie dann gefährliche Erpresser-Software ein oder stehlen vertrauliche Informationen und Passwörter, die sie dann für Online-Betrug nutzen. Dieses Verhalten ist allein mit technischem Rüstzeug nicht zu bewältigen. Es ist wichtig, Menschen für mögliche Konsequenzen ihres Handelns zu sensibilisieren.

Security-Trainings: Spielerisch, spannend, spaßig

Um das Bewusstsein zu stärken, sind Schulungen dringend nötig. Diese sollten aber keine lästigen Pflichtübungen sein, sondern so angelegt, dass die Teilnehmer bei der Stange bleiben und wirklich etwas lernen.

Der Spezialist für Security Awareness KnowBe4, ein Technologiepartner von metafinanz, bietet beispielsweise eine breite Palette an Videos, die professionell gestaltet ähnlich wie Netflix-Serien aufgebaut sind und mit dem Silver Dolphin der Cannes Corporate Media & TV Awards 2019 ausgezeichnet wurden. Die Serie „The Inside Man“ gibt es in zwei Staffeln und in deutscher Synchronfassung. Spannung ist programmiert.

Außerdem haben sich spielerische Elemente und Wettbewerbe bewährt. Das funktioniert bestenfalls so: Mitarbeitende erhalten beispielsweise in einer Testumgebung gefälschte Phishing-E-Mails, die sie erkennen müssen. Mit der Zeit und mit den Übungen entwickeln sie ein immer besseres Auge dafür, auf welche Absender welche Links oder Web-URLS sie besser nicht klicken sollten. Wenn die Angestellten erst einmal verstanden haben, was gefährlich ist und was nicht, agieren sie selbstbewusster im Web und können sich im Bewusstsein sonnen, den Hackern ein Schnippchen zu schlagen.

Social Engineering Angriffen entgegenwirken

Zudem gibt es technische Hilfsmittel wie bestimmte Apps, die Sie sich auf ihr mobiles Gerät laden sollten, um Daten geschützt weiterleiten zu können. Aber diese Sensibilisierung erfordert einen organisatorischen Rahmen. Die Verantwortlichen für IT-Sicherheit müssen ihre Konzepte entlang der organisatorischen Rahmenbedingungen für vernetztes, kooperatives und vor allem lernendes Arbeiten situationsspezifisch weiterentwickeln.

Das hat den Vorteil, dass remote tätige Mitarbeiterinnen und Mitarbeiter die Sensibilisierung für Sicherheitsthemen mit auf die eigene Agenda setzen. Sie müssen es als persönliche Erkenntnis sowie als persönlichen Mehrwert begreifen. Und nicht etwa als eine lästige Aufgabe „von oben“, die ebenfalls noch erledigt werden muss. Security Awareness braucht einen übergeordneten Sinnzusammenhang.

Handeln ist angesagt

Es gibt viel zu tun, um eine echte „Human Firewall“ auszubauen. Es ist wichtig, dass Organisationen die IT-Sicherheit ganz oben auf ihre Tagesordnung setzen und sowohl den technischen als auch den menschlichen Faktor angemessen berücksichtigen. Wirkungsvolle Schritte sind eine Bestandsaufnahme sowie eine umfassende Analyse der Informationsbestände und -werte. Dies ist gerade in einer vernetzten Welt sehr wichtig. Schließlich sollte ein stringenter Handlungsplan ausgearbeitet und umgesetzt werden.

Best Practices für Security Awareness

Es gibt verschiedene Best Practices, um die Security Awareness zu stärken. Zu nennen sind hier klare Kommunikation zwischen Vorgesetzten und Angestellten, regelmäßige Tests und Feedback, Verstärken der Schlüsselbotschaft, stetige Wiederholung und Messen des Leistungsstandes. Gute Ergebnisse sollten belohnt werden durch aufmunternde Worte oder auch kleine Geschenke.  Sicherheitsverantwortliche treten nicht fordernd oder streng auf, sondern betonen immer wieder, dass sie unterstützen wollen. Reden Sie mit dem Betriebsrat und beziehen Sie diesen in Ihre Security-Awareness-Strategie ein. Letztere sollte Ihre Firmenkultur widerspiegeln. Prozesse, Technologie und Menschen in Einklang zu bringen ist ein wichtiges Ziel. Wenn Sie all dies beachten, schaffen Sie eine echte „Human Firewall“.

meta-Ebene: Lessons learned

• Niemals auf einen Link klicken oder eine in einer Nachricht enthaltene Datei öffnen, bevor der Absender überprüft wurde.
• Melden Sie Phishing-Nachrichten in Übereinstimmung mit den Sicherheitsrichtlinien Ihres Unternehmens.
• Hüten Sie sich vor Vishing – Voice Phishing. Das ist die Täuschung über das Telefon, um an vertrauliche Informationen zu gelangen. Wenn Sie einen Anruf einer unbekannten Person erhalten, geben Sie niemals persönlich identifizierbare Informationen heraus und überlassen Sie ihnen schon gar nicht die Kontrolle über ihren Computer, auch wenn diese sich als Service-Mitarbeiter ausgeben.
• Benutzen Sie Firmengeräte nur zu beruflichen Zwecken, nicht für privates Surfen. Und vor allem nicht, um die lieben Kinder damit spielen zu lassen.

Quelle Titelbild: AdobeStock / Milan_Jovic