Die Techniken und Dienste, um Daten vor unberechtigtem Zugriff zu schützen, werden immer besser und effektiver. Dennoch bleibt das Risiko menschlichen Versagens, insbesondere bei fehlender Schulung. Dieser Beitrag gibt einen Überblick über die fünf häufigsten Benutzerfehler. Unternehmen sollten Präventivmaßnahmen treffen, um daraus resultierende Schäden zu minimieren.

Fehler Nr. 1: Auf Phishing hereinfallen. Laut Verizons Data Breach Investigations Report (DBIR) für 2018 [1] machen Phishing und sogenanntes Pretexting (sich selbst als jemand anderes auszugeben, um private Informationen zu erlangen) 93 Prozent der mit Social Engineering verbundenen Verstöße aus, wobei die E-Mail der häufigste Angriffsvektor ist (96 Prozent).

Fehlverhalten von Endanwendern ist hier wahrscheinlicher, wenn ein Unternehmen seine Mitarbeiter nur zum Zeitpunkt der Einstellung über die Sicherheitsrichtlinien informiert, statt diese zu einer ständigen Priorität zu machen. Es ist ratsam, auf langweilige Schulungskurse zu verzichten: Im Allgemeinen ist es effektiver, kurze Videos zu nutzen, um reale Situationen nachzustellen und zu zeigen, wie Social-Engineering-Angriffe funktionieren. Natürlich wird der eine oder andere angesichts einer echten Phishing-E-Mail noch immer unverantwortlich handeln: Die Studie zeigt, dass vier Prozent der Personen einen verdächtigen Anhang immer anklicken. Deshalb ist es ratsam, regelmäßig einen Phishing-Simulationstest durchzuführen, um zu prüfen, ob die Schulung effektiv war und ob Mitarbeiter den Informationen zu empfohlenen Verhaltensweisen und Sicherheitsrichtlinien folgen. Zudem sollten Organisationen Anti-Spam- und E-Mail-Filter-Tools implementieren, um das Risiko weiter zu minimieren.

Fehler Nr. 2: Unbefugten Nutzern Zugriff auf Unternehmensgeräte gewähren. Laut Proofpoints User Risk Report für 2018 [2] erlauben 55 Prozent der berufstätigen Erwachsenen Freunden und Familienangehörigen zu Hause den Zugriff auf Geräte, die ihnen ihr Arbeitgeber zur Verfügung gestellt hat. Ein Freund oder Familienmitglied könnte so auf sensible Daten wie Bankkonten oder Kundendaten der Organisation zugreifen. Noch schlimmer: Sie könnten unbeabsichtigt Malware herunterladen, die Cyberkriminellen den Zugriff auf Unternehmensdaten, Cloud-Anwendungen und -Speicher ermöglicht. Es ist daher unerlässlich, einen umfassenden Informationssicherheitsplan einzuführen, dem alle Mitarbeiter folgen müssen, und die Teamleiter aufzufordern, der Cybersicherheit in ihren Teams Aufmerksamkeit zu verschaffen. Ebenfalls wichtig ist die Implementierung von Sicherheitskontrollmechanismen in Geräten und Systemen, um zu gewährleisten, dass alle Geräte passwortgeschützt sind. Ein ausgezeichneter Schritt ist es zudem, bei allen Unternehmensgeräten und -anwendungen möglichst eine Zwei- oder Mehr-Faktor-Authentifizierung anzuwenden.

Menschliche Fehler waren laut der Umfrage auch die Hauptursache von Vorfällen, die man als kritisch einstufte. Bild: Netwrix

Fehler Nr. 3: Schlechte Praktiken im Zusammenhang mit Benutzerpasswörtern. Die Statistik zeigt, dass die Mehrheit der Benutzer Passwörter von Online-Konten wiederverwendet, wenn sie kein Passwort-Management-Tool einsetzen. Dies ist eine riskante Praxis, denn ist ein Konto erst einmal kompromittiert, hat ein Angreifer Zugriff auf eine Vielzahl von Unternehmenswerten. Weitere passwortbezogene Risiken sind kurze oder leicht zu erratende Passwörter wie 123abc oder 1111, nicht regelmäßig aktualisierte Passwörter, die Aufbewahrung von Passwörtern in der Nähe des Computers oder Geräts sowie die gemeinsame Nutzung von Passwörtern mit anderen. Schlechte Passwortpraktiken erhöhen in einem Unternehmen das Risiko eines Verstoßes, da ein Angreifer Passwörter leichter stehlen oder knacken kann. Schulungen, bei denen es nur um Passwortpraktiken geht, sind definitiv sinnvoll. Man sollte auch in Erwägung ziehen, unterstützende Hinweise zu nutzen, die beim Login auf dem Bildschirm erscheinen. Diese Tipps können wichtige Punkte wiederholen, die im Sicherheitstraining besonders betont wurden, etwa: „Bewahren Sie Ihr Passwort niemals an einem Ort auf, zu dem auch andere Zugang haben oder Einblick nehmen können.“

Fehler Nr. 4: Schlecht verwaltete Konten privilegierter Nutzer. Konten mit hohen Privilegien, beispielsweise Administratorenkonten, öffnen Angreifern viele Türen, die Kontrollmechanismen zur Verhinderung ihres Missbrauchs sind aber oft unzureichend. Netwrix‘ aktueller IT Risk Report [3] zeigt, dass nur 38 Prozent der Organisationen einmal im Quartal Admin-Passwörter aktualisieren – beim Rest geschieht dies noch seltener. Wenn IT-Verantwortliche die Passwörter für privilegierte Konten nicht aktualisieren und schützen, können Angreifer sie leichter knacken und Zugriff auf das Netzwerk der Organisation erlangen. Eine notwendige Präventivmaßname besteht darin, wo immer möglich das Least-Privilege-Prinzip anzuwenden: Statt vielen Accounts Administratorenrechte zu gewähren, sollte man die Privilegien für bestimmte Anwendungen und Aufgaben auf Bedarfsbasis erhöhen, und zwar nur für die kurze Zeit, in der dies erforderlich ist. Unternehmen müssen unbedingt separate administrative Konten und Mitarbeiterkonten für IT-Personal einrichten. Admin-Konten sollten nur zum Einsatz kommen, um spezielle Teile der Infrastruktur zu verwalten.

Fehler Nr. 5: Fälschlicher Nachrichtenversand. Verizons DBIR besagt, dass fehlerhafter Nachrichtenverkehr die vierthäufigste Ursache für Datenverstöße ist. Insbesondere im Gesundheitswesen beruhen rund 62 Prozent der Datenverstöße durch menschliches Fehlverhalten auf fehlerhaftem Versand. In Betracht ziehen sollte man hier eine flächendeckende Verschlüsselung von E-Mails, die sensible Daten enthalten. Zudem sollte die IT-Organisation Pop-up-Felder einsetzen, die den Absender daran erinnern, E-Mail-Adressen zu überprüfen, sofern die E-Mail sensible Daten enthält. Ein weiterer Tipp ist die Implementierung einer DLP-Lösung (Data Loss Prevention). Ein DLP-Tool überwacht Ereignisse, die zu einem Datenleck führen könnten. In einem solchen Fall greift die Lösung automatisch ein, indem sie beispielsweise verhindert, dass Nutzer sensible Daten aus dem Unternehmensnetzwerk hinaus versenden.

Unvermeidbare Fehler

Selbst wenn ein Unternehmen hervorragende Abwehrmaßnahmen für die Cybersicherheit eingeführt hat: Menschen machen zwangsläufig dennoch Fehler – und werden sie auch in Zukunft machen. Ein raffinierter Phishing-Angriff könnte dazu führen, dass sich Malware in einem Unternehmensnetzwerk verbreitet oder ein Administrator jemandem übermäßige Rechte gewährt. Tatsächlich ergab der erwähnte IT Risk Report, dass im letzten Jahr in 29 Prozent der Organisationen menschliches Fehlverhalten zu Datenschutzverstößen führte. Jede Organisation sollte daher ihre Erkennungsfunktionen verbessern, sodass sie schnell auf verdächtige oder fragwürdige Vorkommnisse reagieren kann. Um verdächtigen Aktivitäten zu erkennen und darauf reagieren zu können, sollten Unternehmen Methoden zur Überwachung des Nutzerverhaltens einführen. Damit können sie die Aktivitäten aller Anwender einschließlich der privilegierten Nutzer nachverfolgen.

Mangelndes Sicherheitsbewusstsein der Mitarbeiter setzt das Unternehmen Gefahren aus. Wenn Organisationen die Sicherheit ernst nehmen, können sie das Risiko eines Datenschutzverstoßes und die daraus resultierenden Schäden minimieren. Dazu ist es wichtig, effektive Schulungsprogramme für Mitarbeiter zu entwickeln und Technik einzuführen, um die sensibelsten Daten schützen – ganz gleich, wo sie gespeichert sind.

 

Jürgen Venhorst ist Country Manager DACH bei Netwrix, www.netwrix.com.