Gefahr Social Engineering
Die menschliche Firewall stärken
Das Bewusstsein für die Cybergefahren in der Belegschaft aufrecht zu halten, ist ständige Aufgabe für mittelständische Unternehmen. Die Cybersicherheit zu vernachlässigen, kann hingegen existenzbedrohend sein. Doch ist die Awareness gerade durch Corona eher gesunken als gestiegen.
Die Corona-Pandemie hat die Arbeitswelt und damit auch die Sicherheitssituation in deutschen Unternehmen nachhaltig verändert. Die Menschen arbeiten mittlerweile überall dort, wo es ihnen passt. Und das wird voraussichtlich auch so bleiben. Der Zugriff auf Unternehmensdaten per Remote ist heute mehr Standard als Ausnahme. Daher konzentrieren sich Cyberkriminelle speziell auf Sicherheitslücken in diesem Umfeld. Die größte Bedrohung geht dabei weiterhin von Ransomware aus, sprich von Erpressungstrojanern. Das hat die Eco IT-Sicherheitsstudie 2021 erneut gezeigt. Das Lösegeld für die gestohlenen Daten sollten Unternehmen jedoch auf keinen Fall zahlen, rät das BSI (Bundesamt für Sicherheit in der Informationstechnik).
Das Bewusstsein für die Cybergefahren in der Belegschaft aufrecht zu halten, ist daher ständige Aufgabe für mittelständische Unternehmen. Die Cybersicherheit zu vernachlässigen, kann hingegen existenzbedrohend sein. Doch ist die Awareness gerade durch Corona eher gesunken als gestiegen. Die Social Engineering-Angriffe per E-Mail und Telefon sind perfekt auf Menschen im Homeoffice zugeschnitten. Denn hier fehlt vielen die Möglichkeit, verdächtige E-Mails oder Anrufe schnell mit Kollegen zu besprechen. Isoliert sind die Menschen verletzlicher und ihren Emotionen stärker ausgeliefert.
Voice Phishing im Homeoffice nimmt zu
Sollten MitarbeiterInnen doch mal auf einen Link in einer verdächtigen E-Mail geklickt oder am Telefon sensible Daten mitgeteilt haben, teilen sie das zuhause tendenziell eher niemandem mit. Wo gearbeitet wird, da passieren auch Fehler und es entstehen Sicherheitslücken. Natürlich ist eigentlich jedem klar, dass niemals Unbekannten persönliche Daten wie Passwörter, Kreditkarten- oder Transaktions-Nummer mitgeteilt werden dürfen – nicht per E-Mail, Messenger-Dienst, Social Media oder am Telefon. Im Homeoffice passiert das dennoch regelmäßig, denn die Menschen sind zuhause gefährdet für Manipulationen, Beeinflussungen und Täuschungen. Ohne den Flurfunk, der die menschliche Firewall stärkt, sollte man MitarbeiterInnen anderweitig sensibilisieren. Die Angriffsvektoren sind zum Teil schwer zu erkennen, da Cyberkriminelle sie ständig anpassen. Voice-Phishing-Attacken (Vishing) haben beispielsweise seit Corona deutlich zugenommen. Dabei werden die klassischen E-Mail-Phishing-Kampagnen von Telefonanrufen vermeintlicher Kunden und Partner oder per SMS flankiert. Hier hilft nur regelmäßige Aufklärung und der Aufbau entsprechender Kompetenzen, damit alle im Zweifelsfall richtig reagieren. Regelmäßige Schulungen halten diese Security-Awareness und das Bewusstsein für die Cybergefahren in der Unternehmenskultur hoch.
Der menschliche Faktor ist entscheidend für IT-Sicherheit
Viele Unternehmen denken, es sind die anderen, die zu wenig für ihre IT-Sicherheit tun. Tatsache ist jedoch: Cyberkriminelle kennen die gängigen und aktuellen Sicherheitslücken, beispielsweise auf E-Mail-Servern, und suchen gezielt nach Systemen, die diese noch nicht geschlossen haben. Rund jedes fünfte Unternehmen hatte im vergangenen Jahr einen oder mehrere gravierende Sicherheitsvorfälle, sagt die Eco IT-Sicherheitsstudie 2021. Umso wichtiger ist es heutzutage für Verantwortliche, IT-Sicherheit ganzheitlich zu denken und Sicherheitslücken zu schließen. Patches grundsätzlich zeitnah einspielen und nur über VPN-Verbindungen auf die Firmen-Server zuzugreifen, erhöht die Sicherheit genauso wie Zwei-Faktor-Authentifizierungen für Log-ins und Passwörter.
Doch auch damit gibt es keinen hundertprozentigen Schutz. Wer die Krise oder den Notfall im Vorfeld geübt hat, der ist im Fall der Fälle im Vorteil. Doch rund jedes dritte Unternehmen (31 Prozent) hat noch keinen Notfallplan festgelegt, um entsprechend reagieren zu können. Die Kolleginnen und Kollegen entsprechend zu schulen, ist jedoch wichtig, um Schäden für Organisationen, Unternehmen oder Einzelpersonen zu begrenzen oder abzuwenden. Backups sind noch lange kein Auslaufmodell, sondern nach wie vor extrem wertvoll, um die Folgen von Angriffen abzumildern. Backups zu erstellen ist einfach und geht schnell, beispielsweise über Cloud-Lösungen oder externe Gerätespeicher. Aber ein Backup macht nur dann Sinn, wenn es im Ernstfall auch zuverlässig wiederhergestellt werden kann. Daher sollten Backups regelmäßig getestet werden.
Wer die genannten Punkte beherzigt, rettet im Fall der Fälle vielleicht nicht nur die letzten Arbeitsschritte, sondern das ganze Unternehmen.
Lesen Sie mehr zum Thema
