Mitarbeiter für Gefahren der Online-Welt sensibilisierenAwareness-Trainings als Schlüssel zum Erfolg
4. Dezember 2018Die Anzahl von Cyber-Attacken und Datenskandalen nimmt in den letzten Jahren beträchtlich zu. Vor allem Angriffe, die mit einem erheblichen Schaden beziehungsweise dem Verlust von Daten von Millionen Kunden großer Unternehmen einhergehen, stehen dabei im Zentrum der medialen Aufmerksamkeit. Nicht zuletzt hatten Attacken wie WannaCry und NotPetya und die Affäre von Facebook und Cambridge Analytica maßgeblichen Anteil daran, dass das Thema Cyber-Sicherheit zunehmend Beachtung findet. Dass sich dadurch ein zumindest begrenztes öffentliches Bewusstsein für IT-Sicherheit einstellt, ist selbstredend zu begrüßen. Dennoch sind es nicht die aufsehenerregenden Angriffe selbst, die Unternehmen vor die größte Herausforderung stellen.
Es ist vielmehr der Mitarbeiter, denn 99 Prozent aller Befälle mit Schadsoftware wie Ransomware, Trojaner und vielen weiteren Arten von Malware, werden erst durch eine Aktion des Nutzers ausgelöst. Dieser ist sich der Gefahr dabei häufig gar nicht bewusst. Daher droht Firmen das Ungemach oftmals eher von ganz klassischen Cyberkriminellen, deren Angriffe weitaus weniger spektakulär ausfallen. Jedoch sind diese, was die angerichtete Schadenshöhe und den potenziellen Reputationsverlust anbelangt, nicht minder gefährlich.
Social Engineering versus technische Sicherheitslücken
Die vergangenen Jahre haben gezeigt, dass technische Schwachstellen tendenziell weniger häufig im Visier von Online-Kriminellen stehen. Um den mit einer Attacke verbundenen Aufwand möglichst gering zu halten, wenden sie stattdessen für ihre Zwecke immer häufiger Social-Engineering-Techniken an, um sich mit einfachsten Methoden die Unbedarftheit und das mangelnde Wissen von Angestellten zunutze zu machen. Entsprechend ist das Einfallstor der Angreifer heutzutage oftmals der Mitarbeiter.
Um den Stand der (Un-)Kenntnis bezüglich der IT-Sicherheit unter Angestellten zu messen, hat Proofpoint im Rahmen einer Studie mehr als 6.000 Beschäftigte in Deutschland, den USA, Großbritannien, Frankreich, Italien und Australien befragt. Die Gesamtheit der Befragten setzte sich aus Mitarbeitern aller Ebenen eines Unternehmens zusammen. Dabei zeigten sich zum Teil eklatante Wissenslücken und es offenbarte sich ein erheblicher Nachholbedarf, was den sicheren Umgang mit IT-Geräten und -Systemen anbelangt.
IT-Sicherheit beginnt mit sicheren Passwörtern
Vor allem bei der Absicherung der Endgeräte zeigten sich Schwächen, was den Wissensstand der Beschäftigten betrifft. Denn Daten– beziehungsweise Geräteschutz basiert nicht zuletzt auf sicheren Passwörtern. Daher sehen die meisten Online-Dienste heutzutage eine gewisse Struktur von Kennwörtern ihrer Nutzer vor, um ein Mindestmaß an Qualität der Passwörter sicherzustellen.
Da sich aber viele Endnutzer derartige Zugangscodes schlecht oder nur unzureichend merken können, bedient sich ein Teil von Ihnen der denkbar schlechtesten Herangehensweise. Mehr als ein Fünftel (21 Prozent) aller Studienteilnehmer setzen für ihre Online-Aktivitäten nur ein oder zwei Kennwörter ein. Derartiges Verhalten bedeutet ein enormes Risiko für den Anwender und unter Umständen auch für seinen Arbeitgeber. Denn werden die Daten von nur einem einzigen dieser Dienste kompromittiert, erhalten die Hacker im schlimmsten Fall Zugang zu allen weiteren Konten des Betroffenen.
Lediglich 32 Prozent der Befragten verwendete für jeden Online-Dienst ein eigenes Passwort, wodurch sich deren Risiko im Falle eines Sicherheitsvorfalls erheblich verringert. Bei genauerer Betrachtung der Studienergebnisse fällt jedoch positiv auf, dass speziell in Deutschland die Verwendung individueller Passwörter weiter verbreitet war. Hierzulande nutzen immerhin 40 Prozent der Befragten ein eindeutiges Kennwort für ihre Accounts. Im Umkehrschluss bedeutet es jedoch auch, dass bei fast zwei Drittel der Befragten nur eine begrenzte Anzahl an Zugangscodes verwendet wird.
Wissenslücken der Angestellten gefährden das Unternehmen
Auch was das Wissen um Cyber-Bedrohungen im Allgemeinen betrifft, zeichnet die Studie ein durchwachsenes Bild. Immerhin wussten in Deutschland 69 Prozent aller befragten Beschäftigten was Malware ist, doch schon bei der Frage nach Ransomware fielen die Antworten umso weniger fundiert aus. So konnten diese Frage nur 26 Prozent der deutschen Studienteilnehmer richtig beantworten. Im Vergleich dazu, gaben im internationalen Durchschnitt etwas mehr als ein Drittel (36 Prozent) aller Teilnehmer die korrekte Antwort.
Doch auch sichere Kommunikationswege waren für einen nicht zu vernachlässigenden Prozentsatz von Angestellten etwas, worüber sie schlicht nicht ausreichend informiert waren. So gaben 33 Prozent der deutschen Antwortgeber an, dass WLAN-Netzwerke in Hotels, Cafés und an internationalen Flughäfen in Bezug auf den Schutz ihrer Daten grundsätzlich als vertrauenswürdig einzuschätzen seien.
Darüber hinaus offenbarte sich auch an anderer Stelle die Unkenntnis vieler Mitarbeiter. Denn mehr als zwei Drittel (71%) der deutschen Beschäftigten stimmten der Aussage zu, sie müssten lediglich ihre Antivirensoftware auf dem neuesten Stand halten, um Cyber-Angriffe auf ihren Computer zu verhindern. Derartige Ergebnisse sind ein eindeutiges Indiz dafür, dass Unternehmen noch einen weiten Weg vor sich haben, ihre Mitarbeiter für die Gefahren der Digitalisierung zu sensibilisieren. Doch auf welche Maßnahmen sollten Organisationen in ihrem Bestreben, ihre Angestellten in dieser Hinsicht fortzubilden, zurückgreifen?
Neben einer mehrstufigen technischen Sicherheitsarchitektur zur Bedrohungserkennung und -Bekämpfung, muss es für Firmen ein vordringliches Anliegen sein, die eigenen Mitarbeiter in die Lage zu versetzen, gängigen Sicherheitsbedrohungen angemessen zu begegnen. Um die Angestellten folglich zu einer Art „menschlicher Firewall“ für das Unternehmen werden zu lassen, sind Organisationen gut damit beraten, ihre Beschäftigten in wiederkehrenden Trainings für die derzeit aktuellsten Bedrohungen zu sensibilisieren.
Aber sogenannte Awareness-Trainings bestehen nicht nur aus einer klassischen Schulung. Vielmehr werden diese Kurse auch um einen Baustein ergänzt, der sich der vorgetäuschten Konfrontation mit Cyberangriffen im Alltag widmet. Das bedeutet, dass ein damit beauftragter Sicherheitsdienstleister im Anschluss an eine Schulung versucht, sich mit Hilfe der zuvor in den Trainings behandelten Methoden, Zugang zu Informationen oder gar Zugangsdaten für die Unternehmens-IT zu erschleichen.
Selbstverständlich wiederholen sich die vorgetäuschten Angriffe unter Verwendung anderer Methoden nach einer erneuten Schulung. So wird sichergestellt, dass Mitarbeiter auch im Arbeitsalltag jederzeit mit einer Bedrohung für ihr Unternehmen rechnen und dementsprechend wachsam bleiben.
Wie im Sprichwort „Steter Tropfen höhlt den Stein“, verhält es sich analog auch mit dem Bewusstsein für Cyber-Bedrohungen. Nur wer regelmäßig geschult wird und dementsprechend sein Wissen in diesem Bereich sukzessive erweitert, ist in der Lage, eine Vielzahl von Gefahren von vornherein zu vermeiden. Denn ohne einen umsichtigen Benutzer, bietet selbst die beste technische Sicherheitslösung nur einen sehr begrenzten Schutz.
Adenike Cosgrove, Cybersecurity Strategist EMEA, Proofpoint
Hier geht es zu Proofpoint