Das Zeitalter der Digitalisierung bringt nicht nur Chancen, sondern auch Gefahren mit sich. Täglich werden zahlreiche Cyberattacken auf Privatpersonen und Unternehmen verübt, die zum großen Teil automatisiert laufen. Für Unternehmen ist dabei neben technologischen Schutzmaßnahmen sehr wichtig, den „Faktor Mensch“ bei den Sicherheitsstrategien zu berücksichtigen und Mitarbeiter zu sensibilisieren.
Cyberattacken sind eine reale Gefahr
Jeder kann Opfer von Cyberattacken werden und kein Unternehmen ist zu klein oder unbedeutend. Jedes Unternehmen ist potenziell interessant für Cyberkriminelle, weil heutzutage jedes Unternehmen digital sensible Daten und Informationen verarbeitet. Und das Daten-Geschäft ist lukrativ: Erbeutete Zugänge und wertvolle Daten lassen sich teuer verkaufen oder gegen ein hohes Lösegeld eintauschen. Die aktuelle Wirtschaftsschutzstudie 2020 des Branchenverbands Bitkom kommt zu dem Ergebnis, dass deutschen Unternehmen in den letzten zwei Jahren durch Cyberangriffe 100 Milliarden Euro Kosten pro Jahr entstanden sind.
Dabei gerät insbesondere der Mittelstand immer häufiger ins Visier von Cyberkriminellen: Eine Umfrage des Unternehmens Drivelock von 2019 ergab, dass 61 Prozent der befragten mittelständischen Unternehmen bereits von Sicherheitsvorfällen betroffen waren. Trotzdem werden gerade bei kleinen und mittelständischen Unternehmen die Sicherheitsmaßnahmen – meist aus Zeit- oder Kostengründen – oft vernachlässigt.
Das raffinierte Vorgehen von Cyberkriminellen
Jedes Unternehmen, das potenziell wertvolle Daten und Informationen verarbeitet, ist durch Cyberangriffe gefährdet. Im Grunde kann man dabei grob zwei Methoden unterscheiden. Auf der einen Seite ermöglichen die fortgeschrittenen Technologien automatisierte, breit angelegte Angriffe, die schier durch ihre Masse zum Ziel kommen. Das kann man sich vorstellen wie eine Welle, die wiederholt auf eine Mauer trifft – sobald es irgendwo ein Schlupfloch gibt, sickert das Wasser an dieser Stelle durch. Bei der Brute-Force-Methode werden beispielsweise automatisiert massenhaft Passwortkombinationen übermittelt, bis das richtige „getroffen“ wird.
Eine andere Taktik ist, diese – um im Bild zu bleiben – „Schlupflöcher in der Mauer“ ganz gezielt zu identifizieren und dann anzugreifen. Cyberkriminelle suchen sich hierbei ihre Ziele sehr konkret aus. Diese Sicherheitslücken können technischer Art sein, oder aber auf menschliche Fehler oder Verhaltensweisen zurückzuführen sein. Eine Methode, bei der ganz gezielt menschliche Verhaltensweisen ausgenutzt und instrumentalisiert werden, ist das sogenannte „Social Engineering“.
Der Faktor Mensch in der IT-Sicherheit
Bei Cyberangriffen wird vermehrt der „Faktor Mensch“ als schwächstes Glied der Sicherheitskette angegriffen. Denn das beste Sicherheitssystem ist wirkungslos, wenn Mitarbeiter fahrlässig oder unbedarft handeln. Ein falscher Klick auf den Anhang einer vermeintlichen Bewerbung reicht aus, um den Angreifern Tür und Tor zu öffnen. Beim Social Engineering werden diese Handlungen ganz gezielt herbeigeführt und Menschen manipuliert, um sich Zugang zu verschaffen.
In unserem Beitrag „Die Gefahr des Social Engineerings: Angriff durch Manipulation“ haben wir diese Methode ausführlich beleuchtet und Hintergründe sowie Schutzmaßnahmen aufgezeigt.
Alarmierend ist, dass die oben genannte Wirtschaftsschutzstudie von Bitkom ebenfalls zeigte, dass 37 Prozent der befragten Unternehmen bereits von Social Engineering betroffen waren – und zusätzliche 49 Prozent einen solchen Angriff vermuteten, ohne konkrete Beweise dafür zu haben. Das macht deutlich, dass technische Schutzmaßnahmen wie Verschlüsselungen oder Zugriffskontrollen allein nicht ausreichen – auch der Faktor Mensch muss berücksichtigt werden.
IT-Sicherheit ist eine ganzheitliche Herausforderung
Wirkungsvolle IT- und Informationssicherheit besteht immer aus technischen, organisatorischen und persönlichen Maßnahmen. Um Unternehmen vor Cyberangriffen zu schützen, ist es von essentieller Bedeutung, die IT- und Informationssicherheit ganzheitlich zu denken. Technische Maßnahmen wie regelmäßige Updates, Verschlüsselung von Endgeräten, Zugriffskontrollen oder die Sicherung von Netzwerkverbindungen bilden die technische Grundlage, sind aber nur ein Bereich einer ganzheitlichen Sicherheitsstrategie.
Mindestens ebenso wichtig ist, bei den Anwendern, sprich den Mitarbeitern, ein Bewusstsein für IT-Sicherheit und ihre eigene Verantwortlichkeit in diesem Bereich zu schaffen. Bei manchen Themen – wie zum Beispiel bei der Umsetzung von Vorgaben für sichere Passwörter – ist man unmittelbar auf die Mitarbeit der Angestellten angewiesen. An anderen Stellen ist es wichtig, ein grundlegendes Bewusstsein und ein Verständnis zu schaffen, um beispielsweise Spam-Mails erkennen zu können, oder zu wissen, was im Ernstfall bei einem Sicherheitsvorfall zu tun ist.
Chance statt Risiko: Mitarbeiter als Sicherheitsfaktor einsetzen
Mitarbeiter sind nicht nur „Risikofaktor“ der IT- und Informationssicherheit – sondern können essentieller Sicherheitsfaktor werden. Geschulte und aufmerksame Mitarbeiter sind die beste Schutzmaßnahme für Unternehmen. Und das betrifft alle Mitarbeiter im Unternehmen, nicht nur die IT-Verantwortlichen. Um also eine ganzheitliche und übergreifende Sicherheitsstrategie im Unternehmen zu implementieren, umzusetzen und zu fördern, muss dieses Bewusstsein von oberster Ebene, d.h. dem Management, gefördert werden. Nur dann können Sicherheitsmaßnahmen ganzheitlich in allen Ebenen des Unternehmens greifen.
Die beste Grundlage, um Mitarbeiter über die Gefahrenlage, ihre eigene Verantwortung und Handlungsmöglichkeiten aufzuklären, sind regelmäßige Awareness-Schulungen. Mit Awareness-Schulungen sensibilisiert man die Mitarbeiter des Unternehmens für die Thematik und aktualisiert ihr Wissen. In diesem Rahmen ist überdies wichtig, sich Feedback von den Mitarbeitern einzuholen. Wenn Rückmeldungen, Fragen und konkrete Situationen besprochen werden, ist der Lerneffekt am größten.
Vorteile von Awareness-Schulungen
Regelmäßige Awareness-Schulungen tragen einen wesentlichen Teil zur ganzheitlichen Sicherheitsstrategie im Unternehmen bei. Die Schulungen können zum Beispiel als Inhouse-Schulung sehr individuell auf die unternehmensspezifischen Herausforderungen zugeschnitten werden. Inhouse-Schulungen haben außerdem den Vorteil, dass in einem Schritt ganze Abteilungen oder sogar die gesamte Belegschaft geschult werden kann. Eine andere Möglichkeit bieten Web-Seminare, bei denen die Teilnahme ortsunabhängig ermöglicht wird.
Hier gilt es, für die individuellen An- und Herausforderungen des Unternehmens die passende Weiterbildungsform zu finden und als regelmäßige Weiterbildung zu etablieren. So kann das Sicherheitsniveau im Unternehmen stetig gesteigert werden. Darüber hinaus sind regelmäßige Awareness- und IT-Sicherheits-Schulungen ein Signal an Kunden sowie Partner, dass das Unternehmen sich mit dieser Thematik auseinandersetzt. Das erhöht das Vertrauen und trägt wesentlich zu einem positiven Image bei. Die Investition in das Sicherheitsbewusstsein der Mitarbeiter zahlt sich langfristig immer aus.
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security