Der Mensch als größte Schwachstelle für die IT-Sicherheit

Cyber-Kriminelle nutzen Home-Office aus und fokussieren auf den Risikofaktor Mensch

[datensicherheit.de, 09.08.2021] Neun von zehn Unternehmen seien im vergangenen Jahr, 2020, in Deutschland das Ziel (erfolgreicher) Cyber-Angriffe gewesen – laut der aktuellen Bitkom-Studie haben Cyber-Attacken in Deutschland für Schäden in Rekordhöhe gesorgt: Mit insgesamt 223 Milliarden Euro habe sich die Summe mehr als verdoppelt. Ein Ende der Angriffswelle sei nicht in Sicht – nach wie vor nutzten Cyber-Kriminelle gerade das Home-Office aus und hätten dabei vor allem ein Ziel vor Augen – den „Risikofaktor Mensch“. Wie Unternehmen diesen verringern können und wie die Mitarbeiter gemeinsam mit technischen Vorkehrungen in puncto IT-Sicherheit als „Dream Team“ fungieren können, erläutert nach eigenen Angaben Ulf Baltin, „Managing Director DACH“ bei BlackBerry.

Foto: BlackBerry

Ulf Baltin: Angreifer müssen oft nur eine Hürde überwinden, um Erfolg zu haben – den Menschen

Hacker kalkulieren damit, dass Menschen vor den Rechnern Fehler machen

Immer wieder berichteten Medien von Cyber-Angriffen in großem Format auf Unternehmen und Institutionen – „und ein Ende ist nicht in Sicht“. Viele Unternehmen ergriffen daher technische Maßnahmen gegen die zunehmende Bedrohung. Dabei werde eines oft unterschätzt – der menschliche Faktor. Baltin erläutert: „Immer öfter kalkulieren Hacker damit, dass die Menschen vor den Rechnern Fehler machen und durch unbedachte Klicks unter anderem Phishing- oder Ransomware-Attacken erst ermöglichen.“ Phishing-Mails seien keine neue Erfindung und doch führten sie immer noch viel zu oft zum Ziel. Cyber-Kriminelle gäben sich dabei als vertrauenswürdige Kommunikationspartner aus und verleiteten die Adressaten dazu, sensible Daten preiszugeben oder im Falle von Ransomware schädliche Prozesse in Gang zu setzen.
„Phishing-Mails werden in der Regel an einen sehr breiten Adressatenkreis verschickt, doch die Angreifer verfeinern ihre Methoden. Bei Spear-Phishing- oder CEO-Fraud-Attacken, die immer mehr zunehmen, gehen die Betrüger gezielter vor.“ Beim Spear-Phishing werde nur ein bestimmter Pool an E-Mail-Adressen ins Visier genommen, etwa die Belegschaft eines Unternehmens, und beim „CEO-Fraud“ gäben sich die Täter als „CEO“ oder Manager aus und forderten Mitarbeiter dazu auf, hohe Geldbeträge auf fremde Konten zu überweisen. „Klickt ein Mitarbeiter dann ohne nachzudenken weiter, kann das für Unternehmen und Institutionen gravierende Folgen sowohl auf wirtschaftlicher Ebene als auch fürs Image haben.“ Phishing, Spam oder auch gezielte Attacken in Sozialen Medien nähmen weiterhin zu – allen gemeinsam sei, so Baltin, dass die Angreifer oft nur eine Hürde überwinden müssten, um Erfolg zu haben: den Menschen.

Menschen in die Lage versetzen, Bedrohungen zu erkennen

Bereits 2019 habe fast ein Viertel der Unternehmen in Deutschland angegeben, dass sie allein durch Phishing-Attacken wirtschaftliche Schäden erlitten hätten. Dies zeige, „wie wichtig es ist, dass Unternehmen das Bewusstsein ihrer Mitarbeiter für die konkreten Cyber-Gefahren, denen sie im operativen Geschäft begegnen, wie etwa Phishing deutlich erhöhen müssen“. Um dies zu erreichen und die Menschen in die Lage zu versetzen, solche Bedrohungen zu erkennen, seien regelmäßige Schulungen ein erster wichtiger Schritt.
Sowohl um Gelerntes zu überprüfen als auch, um jene Mitarbeiter mit ins Boot zu holen, welche durch Schulungen nicht erreicht werden könnten, seien ebenfalls regelmäßig durchgeführte Fake-Attacken ein probates Mittel. Dabei initiiere die eigene Unternehmens-IT eine Phishing-Attacke. Der Lerneffekt solcher Maßnahmen sei hoch. Bei ihren Bemühungen in puncto Cyber-Security mehr „Awareness“ für den menschlichen Faktor zu schaffen, sollten Unternehmen zudem eins berücksichtigen: „Es geht nicht darum, die Mitarbeiter zu erziehen, sondern darum, sie mit ins Boot zu holen. Schließlich haben sie selbst ein Interesse daran, die Sicherheit ihres Arbeitgebers zu stärken und zu gewährleisten.“

Mitarbeiter mit ins Boot holen und so den Risikofaktor Mensch erheblich verringern

Da Fehler aber zur menschlichen Natur gehörten und Cyber-Kriminelle immer ausgefeiltere Angriffstechnologien nutzten, seien effektive Schutzmechanismen für alle Endpunkte in IT-Systemen essenziell. Baltin erläutert: „Der sicherste Weg ist, keinerlei Zugriffe von außen zuzulassen. Nach diesem Prinzip funktioniert der ,Zero Trust‘-Ansatz moderner Systeme für die Sicherung von Unternehmensendpunkten. Jedes Gerät beziehungsweise jeder User wird zunächst standardmäßig als nicht vertrauenswürdig eingestuft, so dass nur minimale Rechte gewährt werden.“
Mehr Vertrauen könne dann durch eine Reihe von schnellen, nicht-intrusiven, aber gängigen Maßnahmen wie der Zwei-Faktor-Authentifizierung aufgebaut werden, von einer KI überwacht. „So hilft ,Zero Trust‘, indem die jüngsten Fortschritte auf dem Gebiet der KI zum Zuge kommen, in Kombination mit User-Awareness die IT-Systeme von Unternehmen gegen Cyber-Attacken zu schützen.“ Dennoch gelte: „Um sich umfassend abzusichern, sollten eben nicht nur technische Sicherheitsvorkehrungen getroffen werden. Durch umfassende Aufklärungskampagnen, Schulungen und Fake-Attacken, können Unternehmen ihre Mitarbeiter mit ins Boot holen und so den Risikofaktor Mensch erheblich verringern.“ Mit der nötigen „Awareness“ für Bedrohungen und dem Wissen zu Angriffsmöglichkeiten bei der gesamten Belegschaft, könne das „Dream Team Mensch und Technik“ nachhaltig für mehr Sicherheit sorgen, betont Baltin abschließend.

Weitere Informationen zum Thema:

bitkom, 05.08.2021
Angriffsziel deutsche Wirtschaft: mehr als 220 Milliarden Euro Schaden pro Jahr

datensicherheit.de, 20.04.2021
Faktor Mensch und Unternehmensnetzwerk laut PSW GROUP wesentliche Cyber-Risiken / PSW GROUP rät zu mehr Awareness und Mitarbeitersensibilisierung

datensicherheit.de, 20.11.2018
Unternehmen: Menschen größte Stärke und Schwäche zugleich / ds-Herausgeber Dirk C. Pinnow erinnert sich an ein Messegespräch mit Dr. Guy Bunker auf der „it-sa 2018“