Risikofaktor Sicherheitsbewusstsein
Angestellte im Visier
Schon vor der Pandemie war es nicht allzu gut um das Bewusstsein der Beschäftigten in Sachen Cybersecurity bestellt. Cyberkriminelle haben die Chance erkannt und intensivieren ihre Angriffsversuche auf einzelne Angestellte abermals, um Zugriff auf die Unternehmens-IT und Cloud-Ressourcen der Organisationen zu erhalten. Der reduzierte Austausch im Team, das Gefühl der Isolation und fehlende Schulungen zu aktuellen Taktiken von Hackergruppen befeuern dieses Risiko. Sicherheitsverantwortliche geraten dadurch in Zugzwang.
Was ist unter Malware zu verstehen? Was ist Ransomware? Und womit hat man es bei Phishing zu tun? Diese und andere Fragen stellt Proofpoint Jahr für Jahr 3.500 Berufstätigen aus Deutschland, Frankreich, Großbritannien, Spanien, den USA, Australien und Japan für seinen „State of the Phish“-Report. Zu den Beschäftigten der Unternehmen kommen in dem Bericht alljährlich auch 600 Security-Fachkräfte zu Wort. Besonders in Anbetracht der vorherrschenden Arbeitssituation – dem stärker verbreiteten Arbeiten aus dem Home-Office – lassen die Ergebnisse des aktuellen Berichts tief blicken. Denn in dieser Situation fühlen sich Angestellte zuweilen isoliert und unter Umständen abgeschnitten von sachkundigem Rat in puncto IT-Sicherheit.
Umso schwerer wiegt es, dass nur 26 Prozent der in Deutschland befragten Beschäftigten den Begriff Ransomware korrekt zuordnen konnten. International waren es durchschnittlich hingegen immerhin 33 Prozent. Beim Thema Phishing konnte zumindest die Mehrheit der deutschen Befragten (64 Prozent) die richtige Antwort geben. Im Umkehrschluss weiß jedoch noch immer mehr als ein Drittel aller Beschäftigten hierzulande nicht, worum es sich bei dieser weitverbreiteten Art von
Social-Engineering-Angriff handelt – ein für alle Organisationen mehr als bedenklicher Wert.
Bereits vorherige Untersuchungen kamen zu einem ähnlichen Ergebnis. Doch anstatt adäquat auf diese Missstände zu reagieren, begnügt sich eine beträchtliche Zahl an Unternehmen weiterhin damit, Trainingsmöglichkeiten für ihre Belegschaft nur sporadisch anzubieten: So sagten zwar 97 Prozent der in Deutschland befragten Security-Verantwortlichen, dass ihre Organisation Sicherheitstrainings anbietet; bei 28 Prozent geschieht das jedoch nur zweimal im Jahr oder seltener. Weitere 36 Prozent schulen die Angestellten lediglich einmal pro Quartal. Nachhaltige Erfolge in der Sensibilisierung der Beschäftigten für die Risiken in Sachen Cybersicherheit lassen sich damit nur sehr bedingt erzielen.
Dedizierte Trainings, die angesichts der Pandemie zum Ziel hatten, Mitarbeitende für richtige Verhaltensweisen in Sachen Cybersecurity im Home-Office zu schulen, waren sogar noch spärlicher gesät. Lediglich 30 Prozent der Befragten weltweit äußerten, dass ihr Unternehmen ihnen hierzu ein Angebot gemacht hatte. In Deutschland betrug dieser Wert sogar nur 14 Prozent – ein Ergebnis, das alle Alarmglocken schrillen lassen sollte.
Die Unkenntnis vieler Angestellter wird folglich zu einer realen Gefahr für Unternehmen – insbesondere, da sich die Bedrohungslandschaft zunehmend verschärft. Mehr als 75 Prozent der befragten Sicherheitsfachleute gaben an, dass ihr Unternehmen im Jahr 2020 mit breit angelegten Phishing-Angriffen konfrontiert war. Bei 47 Prozent der deutschen Organisationen waren diese Attacken sogar erfolgreich. Die betroffenen Unternehmen hierzulande hatten im Anschluss mit Datendiebstahl (62 Prozent), kompromittierten Accounts oder Login-Daten (60 Prozent), einer Ransomware-Infektion (47 Prozent) und anderen Folgen zu kämpfen.
Angriffe auf einzelne Angestellte
Während sich Cybersecurity-Fachleute in der Vergangenheit größtenteils technischen Sicherheitslücken widmeten, haben die Angreifer diesen Ansatz in den letzten Jahren zusehends ad absurdum geführt. Denn schon seit Längerem konzentrieren sie sich vornehmlich auf die Ausnutzung menschlicher Schwächen, anstatt umständlich und zeitaufwendig Exploits für technische Schwachstellen zu entwickeln. Der Antrieb der Kriminellen ist dabei die schnellstmögliche und effizienteste Monetarisierung ihrer Aktivitäten.
Nahezu alle Unternehmen verfügen heutzutage über weitreichende Sicherheitslösungen, die es Angreifern erschweren sollen, Zugriff auf die IT-Ressourcen der Organisation zu erlangen. Diese Hürden zu überwinden und ein technisches Einfallstor zur Unternehmens-IT aufzutun, kostet viel Zeit und erfordert oft ausgeprägtes Know-how seitens der Kriminellen. Was liegt aus deren Sicht also näher als auf das schwächste Verteidigungselement abzuzielen: den Menschen? Schon ein einziger unbedachter Klick kann ausreichen, um ein Unternehmen in ernsthafte Bedrängnis zu bringen und beträchtliche Kosten zu verursachen.
Ziel der Sicherheitsverantwortlichen muss es daher sein, eine personenorientierte Security-Strategie zu implementieren, die den Menschen in den Mittelpunkt der Betrachtung rückt. Ein solcher Ansatz kann jedoch nur dann von Erfolg gekrönt sein, wenn die eigenen Beschäftigten für die Taktiken der Cyberkriminellen sensibilisiert und in der Lage sind, richtig auf eine Bedrohung zu reagieren.
- Angestellte im Visier
- Security-Awareness-Trainings
Lesen Sie mehr zum Thema
