metaminds_securityawareness_titel
Resilient Business

Security Awareness: Es sind die kleinen Dinge!

Artikel

17.11.2022

Technologie allein ist in Sachen Informationssicherheit, Datenschutz und -sicherheit machtlos, wenn der „Faktor Mensch“ nicht beachtet wird. Was bedeutet das konkret, und was ist zu tun, um Social Engineering zu unterbinden?

„Awareness schaffen!“, die Mitarbeitenden für „Informationssicherheit sensibilisieren“, „die Sinne für die Bedrohungslage schärfen“ – keine Frage: Allerorts hat sich die Erkenntnis etabliert, dass Unternehmen mit Technologie allein nicht mehr bestehen können, sofern es um die Themen Safety und Security geht. Der Faktor Mensch ist entscheidend. Denn Cyberkriminelle spähen mittlerweile über Wochen hinweg mit nachrichtendienstlichen Methoden etwa Personal Assistants aus, um dann erst bei Abwesenheit der Vorgesetzten die gefälschte Mail zu senden, mit der sie die angeblich dringende Überweisung auslösen. Oder sie bitten mit einer ebenfalls täuschend echt wirkenden Identität um die notwendige Korrektur der angehängten Excel-Tabelle, die in Wirklichkeit eine bedrohliche Ransomware-Welle auslöst. 

Man nennt dieses heimtückische Vorgehen „Social Engineering“. Also eine Methode, die bewusst menschliche Schwächen ausnutzt, technologische Sperren umgeht und diese aushebelt. Aber das mit dem Schärfen, Sensibilisieren und Schaffen einer ausgeprägten Sicherheitskultur im Unternehmen als Gegenmaßnahme ist lediglich ein theoretischer Wert. Denn es obsiegt oft die Neugierde, gewinnen menschliche Bauchentscheidungen die Oberhand. Die Mitarbeitenden wissen ja meist, dass etwas nicht geheuer ist, können aber dann doch nicht widerstehen – und klicken. Es sind unzählige Fälle dokumentiert, in denen auch erfahrene Anwender auf diese Weise den Worst Case ausgelöst haben.

So entsteht der Aha-Effekt

Aber wie lässt sich dieser Herausforderung begegnen? Wie bekommen Unternehmen die Unwägbarkeiten in den Griff? Menschen schalten bei „Powerpoint-Frontalbeschallungen“ ab, sie müssen mitgenommen werden. Erst durch regelmäßiges Wiederholen setzen sich Erkenntnisse durch und nur durch lebensnahe Übungen entsteht der Aha-Effekt. Das heißt, unsere Aufgabe als Verantwortliche für das Thema ist es, eine Art Mantra zu schaffen. Anstelle komplizierter Schulungsunterlagen sollten die Inhalte kurz und leicht verständlich vermittelt werden.

Kleine Ursache, verheerende Wirkung

In die Praxis übersetzt, kann das beispielsweise heißen, dass auf der Straße oder im Treppenhaus des Büros gefundene USB-Sticks niemals in einen Unternehmensrechner gesteckt werden dürfen – und natürlich auch nicht in das private Notebook. Schließlich ist es durchaus möglich, dass der Stick ganz bewusst von Kriminellen abgelegt wurde. Aus einer im ersten Moment völlig harmlos wirkenden Situationen kann sich so eine gigantisch große Gefahr entwickeln.

Wenn Mitarbeitende verstanden haben, wann und wo sie im Alltag angreifbar sind, erst dann verringern sich Risiken. Eine Schwachstellenanalyse des Faktors Mensch heißt, sich immer wieder aufs Neue auf die Gefahrensituation einstellen zu können. Bestes Beispiel dafür ist die perfide Art und Weise, wie kriminelle Banden ihre Betrügereien am Telefon sukzessive verändert haben und wie sie mit der Methode „Enkeltrick“ fortlaufend ihre Attacken anpassen. Ist eine Methode „abgegrast“, kommt gleich die nächste – genauso machen es auch die Cyberkriminellen.

Fazit: Sicherheitsbewusstsein schärfen, Gefahren eindämmen

Wir bemühen uns deshalb mit einfachen Methoden, das Bewusstsein für Gefahren bei allen Mitarbeitenden zu schärfen: etwa durch digitale Poster oder kurze, prägnante Postings in den Collaboration-Plattformen des Unternehmens. Immer und immer wieder. Achtsamkeit heißt, bei jeder, wirklich jeder Mail, die seltsam scheint, die Kolleginnen und Kollegen um Rat zu fragen – ausnahmslos.

Quelle Titelbild: AdobeStock/Thapana_studio