Insider Threats
Der Feind in meinem Netz
Die Wahrscheinlichkeit, Opfer eines Cybervorfalls zu werden, steigt jährlich. Nach wie vor bieten umfassende Sicherheitskonzepte den besten Schutz gegen Eindringlinge von außen. Dabei wird das am häufigsten attackierte System noch immer nicht ausreichend geschützt: der Mensch.
Der Buchhalter ist sich sicher, das Richtige zu tun. Immerhin hat ihn sein Chef ja persönlich angeschrieben und ihn um höchste Diskretion gebeten. Er will nicht der Schuldige sein, wenn wichtige Transaktionen nicht schnell genug durchgeführt werden können, nur weil er lästige Nachfragen stellt. Spätestens die Unterschrift seines Chefs auf dem Dokument überzeugt ihn und er überweist den Geldbetrag auf ein fremdes Konto.
Dieser sogenannte „CEO-Fraud“ („Chefbetrug“) ist nur eine von vielen Maschen der Cyberkriminellen, um Mitarbeiter zu täuschen: Ein Klick auf den falschen Link, das falsche Dokument geöffnet oder auf dem Mobilgerät eine gefakte App heruntergeladen – und schon stehen den Angreifern Möglichkeiten offen, die Unternehmens-IT zu infiltrieren. Da ist selbst die beste Sicherheitsarchitektur machtlos.
Solche Social-Engineering- und Phishing-Attacken gehören zu den am häufigsten angewandten und erfolgreichsten Cyberangriffen überhaupt. Je nachdem welche Studie man zu Rate zieht, kann man davon ausgehen, dass – konservativ geschätzt – jedem zweiten erfolgreichen Angriff ein menschlicher Fehler vorausgegangen ist.
Cyberkriminelle haben längst erkannt, dass Unternehmen viel Geld investieren, um ihre digitalen Schutzmauern zu stärken und mögliche Schlupflöcher zu schließen. Sie müssten also viel mehr Ressourcen aufwenden, um dort erfolgreich zu sein, dabei gibt der Mensch doch ein viel einfacheres Ziel ab. Dieses wird dabei von den meisten Unternehmen auch noch stiefmütterlich behandelt und nicht ausreichend geschützt. Hier gilt es für die Unternehmen anzusetzen.
Welche Maßnahmen Erfolg versprechen
Im ersten Schritt geht es darum, einheitliche IT-Sicherheitsrichtlinien festzulegen, an die sich jeder Mitarbeiter zu halten hat und die neue Mitarbeiter bereits am ersten Arbeitstag lesen und verinnerlichen sollten. In diesen werden alle möglichen Angriffsquellen und Bedrohungen aufgezeigt und erläutert, wie mit ihnen umzugehen ist. Daher ist es auch ausschlaggebend, dass die Richtlinien einen eindeutigen Ablaufplan enthalten, wie Mitarbeiter auf einen Cyberangriff zu reagieren haben. Der Plan muss Kontaktdaten wie Telefonnummer und E-Mail-Adresse des verantwortlichen IT-Administrators enthalten, dem die verdächtigen E-Mails oder ungewöhnliche Aktivitäten zu melden sind – selbst wenn es sich um einen Fehlalarm handelt. Bereits die Aufklärung der Mitarbeiter über Sicherheitsbedrohungen sowie Best-Practices für korrektes Online-Verhalten verringern die Wahrscheinlichkeit von menschlichem Versagen um ein Vielfaches.
Damit sich dieses theoretische Wissen fest im Bewusstsein der Mitarbeiter verankert, bedarf es gleichzeitig regelmäßiger Cybersicherheitstrainings. Dabei gilt es, nicht zu warten bis das Unternehmen von einem Cybervorfall betroffen ist. Nach den Cybersicherheitstrainings im Rahmen des Einarbeitungsprozesses sollten Unternehmen regelmäßige Veranstaltungen einrichten, die die Mitarbeiter über aktuelle Methoden und jüngste Betrugsfälle informieren. Solche Awareness-Trainings geben ihnen am besten noch einen Mehrwert, der über ihr Berufsleben hinausgeht: Wie erstelle ich nicht-hackbare Passwörter für meine Social-Media-Accounts, wie erkenne ich Phishing-E-Mails im GMX-Postfach und wie surfe ich sicher mit dem Tablet auf dem Sofa. Dadurch wird das Gelernte viel öfter angewandt und prägt sich besser ein. Auch die Form des Trainings hat erheblichen Einfluss auf die Wirksamkeit: Mithilfe von spielerischen Methoden wie einem Quiz und einem Wettkampfmodus kann zum Beispiel der interne Cyberabwehrchampion gekrönt werden. So wird das manchmal trockene Thema aufgelockert und entwickelt sich im Idealfall zum Gesprächsthema in der Kantine.
Einer der wichtigsten und oft unterschätztesten Punkte für eine bessere Abwehr von Hackerattacken ist eine positive und offene Unternehmenskultur zum Thema Cybersecurity. In vielen Unternehmen herrscht ein Klima der Angst, Mitarbeitern wird im Falle eines Cyberverstoßes mit Abmahnung oder gar Kündigung gedroht. Dabei wäre es eigentlich elementar, den Mitarbeitern ein gewisses Maß an Fehlern einzugestehen. Denn wenn der falsche Klick erst einmal gesetzt ist, zählt jede Sekunde. Nichts wäre fataler als ein Mitarbeiter, der sich aus Angst davor abgemahnt zu werden, nicht bei der IT-Abteilung meldet. Je schneller diese Bescheid weiß, umso mehr unternehmenskritische Daten können gesichert und das Sicherheitsleck wieder geschlossen werden. Im Optimalfall entsteht durch die positive Einstellung gegenüber Cybersecurity sogar ein Gemeinschaftsgefühl: Wir sind besser als jede Firewall und lassen hier niemanden rein. Schon gar nicht mit plumpen E-Mails in gebrochenem Englisch.
Unternehmensführung in der Pflicht
Die Schwachstelle im System zu finden, ist seit jeher die Stärke von Cyberkriminellen. Für Unternehmen gilt es jetzt, einen ihrer größten Schwachpunkte zu einer Stärke umzuwandeln. Die Angestellten regelmäßig zu schulen und das Know-how auf dem neuesten Stand zu halten, ist natürlich kein einmaliges Projekt. Die Sensibilisierung von Mitarbeitern erfordert regelmäßige Wiederholungen. Nur so lässt sich das Thema IT-Sicherheit nachhaltig in ihrem Denken und Handeln verankern. Kommunikation ist dabei ebenfalls eine wichtige Säule. Die Unternehmensführung ist in der Pflicht, Cybersicherheit zur Aufgabe für alle Beteiligten zu machen. Wenn Geschäftsführer ihren Mitarbeitern die Gründe für bestimmte Maßnahmen erläutern und ihnen die (geschäftlichen) Konsequenzen fehlerhafter Nutzung vermitteln, stößt das meist auf offenere Ohren.
Die IT-Abteilungen sind dabei das Bindeglied zwischen Unternehmensführung und Mitarbeitern. So sollten IT-Abteilungen ihre Aufgabe nicht mehr nur darin sehen, die Hardware in Gang zu halten oder Softwareupdates einzuspielen, sondern als Advokat für eine positive Cybersecurity-Kultur auftreten. Letztendlich gilt es im Bewusstsein der Mitarbeiter zu verankern, dass sie eine signifikante Rolle bei der Integrität ihres Unternehmens spielen und sie zu motivieren, ihren Beitrag dazu auch leisten zu wollen.
Pierre Curien ist Geschäftsführer von Doctor Web Deutschland
Lesen Sie mehr zum Thema
