[datensicherheit.de, 29.01.2025] Miro Mitrovic, „Area Vice President Sales DACH“ bei Proofpoint, hat den „Europäischen Datenschutztag“ vom 28. Januar 2025 zum Anlass genommen, nachdrücklich daran zu erinnern, dass Datenschutz und Privatsphäre ein „Fundament unserer Gesellschaft“ bilden sollten.

Foto: Proofpoint

Miro Mitrovic unterstreicht, dass ein auf den Menschen ausgerichteter Ansatz für die Datensicherheit erforderlich ist

Menschliches Element einer der wichtigsten Faktoren für Datenverluste in Unternehmen

Mitrovic führt aus: „Auch wenn technische Innovationen die Branche verändern und neue Vorschriften ins Spiel kommen, bleibt das ,menschliche Element’ einer der wichtigsten Faktoren, der Unternehmen für Datenverluste anfällig macht!“ Der erste „Data Loss Landscape Report“ von Proofpoint zeigt demnach, dass 85 Prozent aller Unternehmen weltweit im vergangenen Jahr von Datenverlusten betroffen waren.

90 Prozent davon hätten mit negativen Folgen wie Umsatzeinbußen und Rufschädigung zu kämpfen. Bemerkenswert dabei sei, dass ein Prozent der Benutzer für 88 Prozent der Datenverlustwarnungen verantwortlich gewesen seien. „Dies beweist, welche Auswirkungen unvorsichtige Mitarbeiter für die Cyber-Sicherheit haben können“, so Mitrovic.

Immer mehr Nutzer geben sensible Daten in KI-Anwendungen ein

Die zunehmende Bedeutung und der verstärkte Einsatz sogenannter Generativer KI (GenAI) treibe auch die Investitionen in Datenschutzmaßnahmen in die Höhe: „53 Prozent der deutschen CISOs haben 2024 ,Data Loss Prevention’, (DLP)-Technologien; implementiert, ein deutlicher Anstieg gegenüber 27 Prozent im Vorjahr.“ Dies sei besonders wichtig, da Tools wie „ChatGPT“, „Grammarly“ und „Google Gemini“ immer leistungsfähiger und nützlicher würden und immer mehr Nutzer sensible Daten in diese Anwendungen eingäben.

Mitrovic unterstreicht: „Künstliche Intelligenz, insbesondere GenAI, führt zu neuen Herausforderungen für die Datensicherheit. KI bietet ein enormes Potenzial, birgt aber auch erhebliche Risiken für Datenverluste. Wer vertrauliche Informationen oder personenbezogene Daten in diese Modelle einspeist, gibt Angreifern eine ,geladene Waffe’ in die Hand.“ Unternehmen seien darüber verständlicherweise besorgt. Der Bericht „Voice of the CISO 2024“ von Proofpoint zeige, dass 61 Prozent der deutschen CISOs GenAI als eine der größten Gefahren für ihr Unternehmen einschätzten. Dies unterstreiche die Notwendigkeit einer robusten Datenschutzstrategie.

Datenverlust wird immer von Menschen verursacht!

„Daten gehen nicht von selbst verloren, sondern Datenverlust wird immer von Menschen verursacht!“ Unvorsichtige, kompromittierte und böswillige Benutzer seien und blieben für die überwiegende Mehrheit der Datenverluste verantwortlich. Tatsächlich hätten 57 Prozent der deutschen Unternehmen in den letzten zwölf Monaten den Verlust sensibler Daten zu beklagen, wobei 77 Prozent der CISOs hierzulande der Meinung seien, dass ausscheidende Mitarbeiter für diese Vorfälle verantwortlich gewesen seien. „Aber auch riskante Handlungen wie das Weiterleiten von E-Mails, das Klicken auf Phishing-Links, das Installieren nicht autorisierter Software und das Versenden sensibler Daten per E-Mail an ein privates Konto tragen zu Datenverlusten bei.“

Mitrovic fasst zusammen: „All dies unterstreicht, dass ein auf den Menschen ausgerichteter Ansatz für die Datensicherheit erforderlich ist!“ Dieser Ansatz müsse ein Verständnis für die Datenklassen, die Benutzerabsicht und den Bedrohungskontext kombinieren und konsistent auf alle Kommunikationskanäle angewendet werden – einschließlich E-Mail, „Cloud“, Endgeräte, Web und GenAI-Tools. „Es bedeutet auch, dass Mitarbeiter auf Fehlverhalten bei der IT-Sicherheit direkt aufmerksam gemacht werden und an personalisierten Trainings auf Grundlage des individuellen Risikoprofils teilnehmen müssen, um eine Verhaltensänderung herbeizuführen. Denn es ist von überragender Bedeutung, dass jeder die Risiken versteht und seine Rolle beim Schutz des Unternehmens ernst nimmt.“

Weitere Informationen zum Thema:

proofpoint, 19.03.2024
Proofpoint’s Inaugural Data Loss Landscape Report Reveals Careless Employees are Organizations’ Biggest Data Loss Problem / 85% of ​organizations experienced​ data loss in the past year​;​ 90% of those saw negative outcomes including revenue losses and reputational damage

proofpoint, 2024
White Paper: Voice of the CISO 2024

[datensicherheit.de, 29.01.2025] Komplexe Sachverhalte zu durchdringen, Schriftsätze zu formulieren und die neueste Rechtsprechung zu kennen – dies sind offensichtlich Erwartungsstandards an einen Anwalt. Doch rund jeder achte Deutsche (12%) glaubt nach aktuellen Bitkom-Erkenntnissen, dass Künstliche Intelligenz (KI) dies besser könne und den Menschen in den meisten Fällen überflüssig machen werde. Grundlage der Angaben sei eine Umfrage, die Bitkom Research im Auftrag des Digitalverband Bitkom durchgeführt habe: „Dabei wurden 1.004 Personen ab 16 Jahren in Deutschland im Zeitraum von KW 43 bis KW 46 2024 telefonisch befragt. Die Umfrage ist repräsentativ.“

26% können sich vorstellen, bei rechtlichen Problemen Hilfe bei einer KI zu suchen

„Rund ein Viertel (26%) kann sich vorstellen, bei rechtlichen Problemen Hilfe bei einer KI zu suchen, anstatt eine Rechtsanwältin oder einen Rechtsanwalt zu konsultieren.“ Dabei würden zwölf Prozent das auf jeden Fall tun, 14 Prozent nur bei einfachen Fragestellungen – dies seien u.a. Ergebnisse einer Befragung von 1.004 Personen in Deutschland ab 16 Jahren im Auftrag des Digitalverbands Bitkom.

„Künstliche Intelligenz hat zuletzt enorme Fortschritte gemacht und kann schon heute ein sehr nützliches Hilfsmittel sein. Anwältinnen und Anwälte wird sie auf absehbare Zeit aber nicht vollständig ersetzen können“, kommentiert Markus Scheufele, Rechts-Experte des Bitkom.

Das Vertrauen in die KI sei dabei auch eine Altersfrage. So würden unter den Älteren ab 65 Jahren 81 Prozent keine rechtliche Hilfe bei einer KI suchen. Von den 16- bis 29-Jährigen gelte dies nur für 64 Prozent, unter den 30- bis 49-Jährigen seien es 63 Prozent, bei den 50- bis 64-Jährigen 69 Prozent.

Als größter Vorteil einer KI gilt, dass sie rund um die Uhr verfügbar ist

Als größten Vorteil einer KI sähen 61 Prozent aller Befragten, dass sie rund um die Uhr verfügbar sei. Dagegen sagten nur 21 Prozent, dass die KI mehr Fachwissen zu einzelnen Rechtsgebieten habe als ein Mensch. In vielen Fragen seien die Deutschen hinsichtlich der KI-Fähigkeiten gespalten. So glaube rund die Hälfte (54%), dass eine KI sich nicht in die Betroffenen hineinversetzen könne und deshalb schlechter berate.

Ebenfalls die Hälfte (50%) gehe davon aus, dass ein Mensch rechtliche Fragen besser erklären könne als eine KI. 46 Prozent meinten, dass ein Mensch komplexe rechtliche Zusammenhänge besser verstehe als eine KI.

„KI wird bereits heute in Rechtsabteilungen von Unternehmen, in Kanzleien und Gerichten erfolgreich eingesetzt. Wir müssen die rechtlichen und tatsächlichen Rahmenbedingungen verbessern, damit KI in der Rechtspflege als unterstützendes Werkzeug eingesetzt werden kann und wird“, betont Scheufele abschließend.

[datensicherheit.de, 02.05.2024] „Der Mensch bleibt nach wie vor der am häufigsten genutzte Angriffsvektor“ – dies ist laut Dr. Martin Krämer, „Security Awareness Advocate“ bei KnowBe4, eine der wichtigsten Erkenntnisse des am 1. Mai 2024 veröffentlichten „Data Breach Investigations Reports 2024“ von Verizon: 68 Prozent der für den Bericht ausgewerteten Sicherheitsverletzungen gehen demnach auf das Konto des Menschen ohne böswilligen Missbrauch von Berechtigungen.

Foto: KnowBe4

Dr. Martin Krämer: Der Missbrauch von Zugangsdaten bleibt ein Problem!

Durchschnittliche Zeit für Menschen zum Hereinzufallen auf Phishing liegt unter 60 Sekunden

Die allgemeine Melderate für Phishing habe in den letzten Jahren zugenommen. Die von den Partnern der Studie im Jahr 2023 zur Verfügung gestellten Daten hätten bestätigt, „dass 20 Prozent der Mitarbeiter Trainings mit simuliertem Phishing durchlaufen hatten und elf Prozent sich bei der IT-Abteilung meldeten, nachdem sie auf eine E-Mail geklickt hatten“. Dies sei grundsätzlich eine erfreuliche Nachricht.

Dr. Krämer erläutert: „Im Durchschnitt vergehen nach dem Öffnen einer E-Mail 21 Sekunden, bis ein bösartiger Link angeklickt wird, und dann nur noch 28 Sekunden, bis die Person, die in die Falle des Phishings getappt ist, ihre Daten eingibt.“ Die durchschnittliche Zeit, um auf Phishing hereinzufallen, betrage also weniger als 60 Sekunden. „Daraus folgt, dass Zeit wirklich von entscheidender Bedeutung ist“, betont Dr. Krämer. Er stellt klar: „Je mehr Menschen vor dem Öffnen einer E-Mail überlegen, desto geringer das Infektionsrisiko für die gesamte Organisation.“

Mittels Pretexting versuchen Angreifer über ins Visier genommene Menschen Informationen, Zugang oder Geld zu erlangen

Er berichtet weiter: „Die weiteren Ergebnisse zeigten auf, dass 32 Prozent der Sicherheitsverletzungen die Folge von Ransomware oder Erpressung und 28 Prozent auf Software- oder Konfigurationsfehler zurückzuführen waren.“ Beachtliche 15 Prozent seien auf Dritte, also Software-Supply-Chain-Infektionen zurückzuführen. Finanziell motivierte Bedrohungsakteure seien weiterhin erfolgreich, denn 59 und 66 Prozent der Ransomware- und anderen Erpressungsangriffe seien finanziell motiviert.

Weitere 25 Prozent der finanziell motivierten Sicherheitsverstöße seien sogenannte Pretexting-Angriffe. „Bei Pretexting handelt es sich um eine Social-Engineering-Taktik, bei der ein Angreifer versucht, Informationen, Zugang oder Geld zu erlangen, indem er ein Opfer dazu verleitet, ihm zu vertrauen.“ Bekannte Formen seien CEO-Fraud, Business-E-Mail Compromise (BEC), IT-Support-Anfragen oder aber angebliche Außendienstmitarbeiter.

IT-Schwachstellen haben konkret erhebliche Auswirkungen auf Menschen

Zu den Schwachstellen mit den größten Auswirkungen habe „MOVEit“ gezählt: „Dabei handelte es sich um einen Zero-Day-Angriff, der zu nachfolgenden Erpressungsangriffen durch Cyber-Kriminelle führte.“ Die Schwachstelle habe enorme Auswirkungen gehabt, wie es ebenfalls im „Security Culture Report“ von KnowBe4 hervorgehoben werde. „Die russischsprachige Hacker-Gruppe ,Clop’ war für die Ausnutzung verantwortlich und war in 2023 besonders aktiv. Ihr Fokus lag auf Unternehmen der IT-Branche, die sie mit Erpressungsversuchen ins Visier nahmen.“

Inzwischen werde vermutet, dass die Angriffe auf diese Unternehmen zu einer weiteren Kompromittierung von über 2.000 Organisationen geführt habe. „Wenig war in der damaligen Berichterstattung über die etwa 900 betroffenen Schulen und die kompromittierten sensiblen Daten von über 51.000 Personen zu lesen. Die IT-Schwachstelle hatte also erhebliche Auswirkungen.“

Security-Awareness-Training muss konsequent auf den Faktor Mensch abzielen

Daraus folgte, dass Security-Awareness-Training weiterhin auf den menschlichen Faktor abzielen müsse. Nur dann werde es Organisationen gelingen, die im Report genannten 68 Prozent aller Angriffe wirksam zu bekämpfen. Das beliebteste Einfallstor sei die E-Mail, aber auch Soziale Plattformen würden von Cyber-Kriminellen immer häufiger genutzt.

„Der Bericht unterstreicht darüber hinaus die Bedeutung einer sorgfältigen Verwaltung von Anmeldeinformationen“, so Dr. Krämer abschließend. Der Missbrauch von Zugangsdaten bleibe also ein Problem, dass sich trotz aller Technischen und Organisatorischen Maßnahmen (TOM) eher vergrößere.

Weitere Informationen zum Thema:

verizon
2024 Data Breach Investigations Report

KnowBe4
SECURITY CULTURE REPORT 2024

datensicherheit.de, 29.10.2022
Den menschlichen Faktor verstehen, um Datenverlusten vorbeugen / IT-Abteilungen müssen vorbeugend aktiv werden, um Datenabflüsse zu unterbinden

datensicherheit.de, 02.06.2022
Der Faktor Mensch: Proofpoint stellt diesjährigen Report vor / Laut Report 2022 100.000 Smartphone-Angriffe täglich und Verdoppelung der Smishing-Versuche

[datensicherheit.de, 07.10.2023] Im Kontext der IT-Sicherheit nehmen Künstliche Intelligenz (KI) und Machine-Learning-Technologien seit einigen Jahren offensichtlich immer mehr Raum ein. „Mit der breiten Verfügbarkeit von generativer KI erhält diese Entwicklung nun einen weiteren starken Schub“, kommentiert Dane Sherrets, „Senior Solutions Architect“ bei HackerOne, in seiner aktuellen Stellungnahme. Die intelligente Automatisierung von IT-Security-Prozessen scheine angesichts des anhaltenden Mangels an IT-Fachkräften eine attraktive Zukunftsperspektive zu bieten. Sherrets wirft in diesem Zusammenhang die Fragen auf: „Doch inwieweit können Unternehmen ihre IT-Security KI-Technologien überlassen? Welche Rolle können – oder sollten – Menschen in diesem Bereich noch spielen? Und können Mensch und KI einander sinnvoll ergänzen?“

Foto: HackerOne

Dane Sherrets: Der Bedarf an Sicherheitsexperten wird auch in Zukunft bestehen bleiben…

Wachsende Professionalisierung Cyber-Krimineller inkl. Einsatz KI-gestützter Tools

Sherrets betont: „Für eine Vielzahl von Unternehmen ist ein Angriff auf ihre Infrastruktur längst eine Frage von ,wann’ anstelle von ,ob’.“ Laut einer aktuellen Statistik hätten Attacken in Deutschland 2022 im Vergleich zum Vorjahr um 27 Prozent zugenommen.

84 Prozent der Unternehmen in Deutschland seien bereits Opfer einer Cyber-Attacke geworden, so eine Bitkom-Studie, und knapp die Hälfte rechnet demnach mit einem Anstieg in den nächsten zwölf Monaten. Diese Zunahme an Angriffen lasse sich unter anderem auf die wachsende Professionalisierung Cyber-Krimineller sowie deren Einsatz von KI-gestützten Tools, die breit angelegte Attacken ermöglichten, zurückführen.

Restrisiko für undokumentierte Schwachstellen, welche durch KI-Tools nicht entdeckt werden

Unternehmen wüssten um die Gefahr, potenzielles Ziel zu sein, hätten sich auf diese Umstände eingestellt und nutzten ebenfalls automatisierte Test- und Monitoring-Tools. Diese könnten unmittelbar Alarm schlagen, ein schnelles Eingreifen ermöglichen und das Entstehen von Schäden besser verhindern. Allerdings blieben die Fähigkeiten automatisierter Test-Tools eng auf ihren Anwendungsbereich beschränkt und eigneten sich vornehmlich für das Entdecken bekannter Schwachstellen und häufiger Codierungsfehler. „Es bleibt ein Restrisiko für undokumentierte Schwachstellen, die durch derartige Tools nicht abgedeckt sind“, erläutert Sherrets. Einige von ihnen könnten nur durch die anhaltende Wachsamkeit eines erfahrenen Menschen entdeckt werden – „der den gesamten Kontext, in dem ein System arbeitet, versteht“.

Dies sei ein Ansatz, den auch Cyber-Kriminelle für sich nutzten: „Sie kombinieren die Fähigkeiten automatisierter Tools mit von Menschen entwickelten Taktiken, um wirksame Angriffe oder Betrugsmethoden in einem Umfang anzuwenden, der früher nicht möglich war.“ Außerdem sei zu beachten, dass in Unternehmen eingesetzte KI-Anwendungen auch Schwachstellen aufweisen könnten. Diese könnten Cyber-Kriminelle ausnutzen, um die Geschäftslogik zu verfälschen, Kundenbeziehungen böswillig zu stören oder sensible Daten zu exfiltrieren.

Vielschichtiger Sicherheitsansatz: Der Mensch bleibt unverzichtbar!

Für Unternehmen werde es immer wichtiger, „ihre Angriffsfläche auf granularer Ebene zu verstehen und zu wissen, wie sie diese schützen können“. Dazu benötigten sie dringend menschliche Experten, „die ihre Infrastrukturen umfassenden Sicherheitstests unterziehen – und nicht nur verschiedene Varianten desselben Scans“. Sherrets führt aus: „Menschen sind in der Lage, kontextbezogene Analysen durchzuführen, die spezifischen Anforderungen und Feinheiten des Sicherheitsprofils einer Organisation zu verstehen und ihren Testansatz entsprechend anzupassen.“ Sie könnten Einblicke in potenzielle für die Software, die Umgebung oder die Branche spezifische Schwachstellen gewähren, und Organisationen dabei helfen, besondere Sicherheitsherausforderungen effektiv anzugehen.

Dies ermögliche einen vielschichtigeren Sicherheitsansatz, „indem automatisches Scannen mit anderen proaktiven Sicherheitsmaßnahmen wie manuellen Penetrationstests, Bedrohungsmodellierungen, Code-Reviews und Sicherheitsaudits kombiniert werden, um potenzielle unbekannte Schwachstellen aufzudecken“. Untersuchungen zeigten, dass dies menschlichen Sicherheitsexperten deutlich schneller und präziser gelinge als automatisierten Lösungen: „Fast 85 Prozent der Bug-Bounty-Programme decken eine oder mehrere hochgradige oder kritische Schwachstellen auf, während 92 Prozent der ethischen Hacker versichern, dass sie Schwachstellen aufdecken können, die Scanner nicht finden.“ Während Cyber-Kriminelle nach Möglichkeiten suchten, um sich ohne Erlaubnis Zugang zu einem Unternehmenssystem zu verschaffen, könnten ethische Hacker sicherstellen, „dass Schwachstellen und Sicherheitslücken schnellstmöglich behoben werden und die Angreifer somit keinen Ansatzpunkt mehr haben“.

Fähigkeiten der KI von Intelligenz der Anwender abhängig

Die KI-gestützte Automatisierung könne also den Menschen zwar bei der Cyber-Sicherheit unterstützen, mache menschliche Expertise jedoch noch nicht unentbehrlich. Cyber-Bedrohungen entwickelten sich ständig weiter – damit tauchten auch neue Schwachstellen auf. Unternehmen sollten daher ihre Sicherheitspraktiken kontinuierlich bewerten und verbessern, sich über die neuesten Bedrohungsdaten auf dem Laufenden halten und in regelmäßige Sicherheitsbewertungen durch qualifizierte Sicherheitsexperten, Tester und Hacker investieren.

Sherrets’ Fazit: „Der Bedarf an Sicherheitsexperten wird auch in Zukunft bestehen bleiben, jedoch kann KI-Technologie Unternehmen in die Lage versetzen, diese effizienter und besser ihren individuellen Sicherheitsanforderungen entsprechend zu nutzen.“

Weitere Informationen zum Thema:

bitkom, 31.08.2023
203 Milliarden Euro Schaden pro Jahr durch Angriffe auf deutsche Unternehmen

hackerone, 12.12.2022
Hackers Discover Over 65,000 Software Flaws In 2022 According to HackerOne Report

hackerone, 09.12.2022
How Human Testers Improve Application Security

[datensicherheit.de, 20.06.2023] Laut einer aktuellen Meldung von Proofpoint hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich eine Initiative angekündigt, mit der es Kommunen beim Thema Cyber-Sicherheit stärker unterstützen möchte. Die dabei angedachten Maßnahmen sind laut Proofpoint zwar ein Schritt in die richtige Richtung – sie gehen demnach allerdings noch nicht weit genug. Das Unternehmen plädiert nach eigenen Angaben dafür, dass Kommunen und Organisationen – unabhängig von ihrer Branche – bei der IT-Sicherheit einen Fokus auf die Angestellten richten sollten. Begründet wird dies mit Verweis auf die Tatsache, dass mehr als neun von zehn Cyber-Attacken durch die Aktionen eines Angestellten – beispielsweise in Form eines Klicks – begünstigt würden. Technische Schutzmaßnahmen bildeten zwar nach wie vor das Rückgrat jeder Cyber-Sicherheitsstrategie, seien jedoch nur ein Teilaspekt bei der Gesamtbetrachtung, um die Öffentliche Hand nachhaltig vor Cyber-Attacken zu schützen. Bert Skaletski, „Resident CISO“ für die „EMEA“-Region bei Proofpoint, kommentiert in seiner Stellungnahme das BSI-Pilotprojekt „Weg in die Basis-Absicherung“ (WiBA):

Foto: Proofpoint

Bert Skaletski rät, in sämtliche Kommunen die IT-Sicherheit nicht als Nebensache zu erachten, sondern sie muss auf der Prioritätenliste einen der obersten Plätze einnehmen!

Der Mensch muss umfassend für moderne Cyber-Gefahren sensibilisiert werden!

Skaletski führt aus: „Cyber-Kriminelle greifen nicht nur Unternehmen oder Kritische Infrastrukturen an, sondern immer wieder auch die Öffentliche Hand, beispielsweise unsere Gemeindeverwaltungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) will die Kommunen dabei unterstützen, besser gegen diese Attacken geschützt zu sein.“ Dafür sei im Mai 2023 das Pilotprojekt „Weg in die Basis-Absicherung“ (WiBA) mit sechs deutschen Modellkommunen gestartet worden. Die Erfahrungen aus diesem „Piloten“ sollten dann insgesamt den Grundschutz der IT der Gemeinden verbessern.

Mit dieser Initiative mache das BSI zweifellos „einen wichtigen Schritt in die richtige Richtung“. Allerdings werde wie so oft in der Cybersecurity-Debatte der Fokus vor allem auf technische Maßnahmen gerichtet. „Diese dürfen zwar nicht vernachlässigt werden, aber der primäre Unsicherheitsfaktor in der IT-Sicherheit ist und bleibt der Mensch“, betont Skaletski und erläutert: „Nur wenn es gelinge, die eigenen Beamten und Mitarbeiter umfassend für moderne Cyber-Gefahren zu sensibilisieren, werden kommunale und andere Behörden ein bestmögliches Schutzniveau erzielen können.“

Der Mensch als größtes Cyber-Risiko ihrer Organisation einzustufen…

Insbesondere mangelnde Kenntnisse in Sachen IT-Sicherheit und ein fehlendes Problembewusstsein unter Angestellten seien hierbei die größten Risikofaktoren. Laut Proofpoints diesjährigem „State of the Phish“-Report könnten hierzulande beispielsweise nur etwas mehr als die Hälfte der Anwender (53%) den Begriff „Phishing“ korrekt zuordnen. Noch schlechter sehe es beim Thema „Ransomware“ aus – „dabei gelang es nur einem Drittel (33%) der in Deutschland befragten Angestellten diesen Begriff richtig einzuordnen“.

Daher sei es kaum verwunderlich, dass im Rahmen des „Voice of the CISO Report 2023“ fast die Hälfte (45%) der deutschen „Chief Information Security Officers“ (CISOs) den Menschen als größtes Cyber-Risiko ihrer Organisation eingestuft hätten. „Weltweit stimmten sogar 60 Prozent der befragten Security-Verantwortlichen dieser Aussage zu“, berichtet Skaletski.

Hochsensible Daten und Prozesse bestmöglich im Sinne der Menschen schützen!

„Hinzukommt, dass selbst bei einer ausgereiften Cyber-Sicherheitsstrategie die entsprechenden Maßnahmen auch wirklich umgesetzt werden müssen – leider ist dies nicht immer und überall der Fall.“ Nach Angaben des „Voice of the CISO“-Reports hätten hierzulande nur zwei von fünf (39%) der Befragten bestätigt, „dass sie mit ihrer Geschäftsführung auf Augenhöhe kommunizieren“. Wenig überraschend forderten daher mehr als die Hälfte (51%), dass Kenntnisse im Bereich Cybersecurity eine Voraussetzung für Mitglieder des Vorstands sein sollten – „weltweit sprachen sich sogar 62 Prozent der CISOs dafür aus“. Diese Zahlen lassen sich laut Skaletski zweifelsohne auch auf den öffentlichen Sektor übertragen.

Zudem sei es wichtig, „dass auch möglichst sämtliche Kommunen in Deutschland das Thema IT-Sicherheit nicht als Nebensache erachten, sondern es auf der Prioritätenliste einen der obersten Plätze einnimmt“. Es müsse darum gehen, hochsensible Daten und Prozesse bestmöglich im Sinne der Bürger zu schützen. „Wenn persönliche Daten, die die Kommunen von uns allen haben (müssen), in die Hände von Cyber-Kriminellen gelangen, sind die Folgen unermesslich. Sicherlich ein Albtraum für alle!“, warnt Skaletski abschließend.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 06.06.2023
BSI und kommunale Spitzenverbände starten Pilotprojekt für bessere IT-Absicherung in Kommunen / Bundesweit sechs Modellkommunen ausgewählt – Kommunale Cyber-Sicherheit ist unverzichtbar für zuverlässige staatliche Leistungen für Bürgerinnen und Bürger sowie Wirtschaft
Bild-Dokument für das Frontend

prootpoint
White Paper: Voice of the CISO Report 2023

proofpoint
Top Resources

[datensicherheit.de, 29.10.2022] Datenverlust in Unternehmen kann offensichtlich viele Ursachen haben. Im Wesentlichen hat er laut Deepen Desai, „Global CISO“ bei Zscaler, allerdings zwei Gesichter – den böswilligen Datendiebstahl durch externe Akteure und versehentliche Fehler durch Mitarbeiter: „Bei Ersterem geht es beispielsweise um Phishing-Angriffe, Ransomware mit Double-Extortion oder gar groß angelegte Attacken auf die Lieferkette. Im zweiten Fall fließen Daten unbeabsichtigt durch schlechtes Datenmanagement bei der Kollaboration oder durch menschliches Versagen aus der Unternehmensumgebung ab.“ Dieser menschliche Faktor werde häufig unterschätzt, „obwohl dadurch für Organisationen großer Schaden entstehen kann“. Ein Grund mehr, dass die IT-Abteilung hierbei vorbeugend aktiv wird, um Datenverluste zu unterbinden, betont Desai in seiner aktuellen Stellungnahme.

Foto: Zscaler

Deepen Desai warnt: 84 Prozent der Verstöße betreffen personenbezogene Daten!

Durchschnittlich über 360 Dateien pro Unternehmen und Tag öffentlich zugänglich

„Wie der ,2022 ThreatLabz Data Loss Report’ von Zscaler verdeutlicht, erleben Unternehmen im Schnitt jeden Tag 10.000 Verstöße gegen Datenschutzrichtlinien“, berichtet Desai. 36 Prozent der Daten von „Cloud“-Anwendungen würden dabei beispielsweise über Links öffentlich zugänglich gemacht – somit also durchschnittlich über 360 Dateien pro Unternehmen und Tag. Außerdem seien 94 Prozent der Malware in „Cloud“-Anwendungen – in „Microsoft Exchange“- und „OneDrive“-Umgebungen – gefunden worden.

„Damit wird deutlich, dass gerade bei der Gestaltung der Kollaboration unter der Belegschaft Sicherheitsthemen zu kurz kommen“, moniert Desai. Darüber hinaus beinhalteten mittlerweile mehr als die Hälfte der Ransomware-Angriffe die Exfiltration von Unternehmensdaten. Diese Vorgehensweise von Angreifern sei heute so lukrativ, dass einige Hacker-Gruppierungen die Verschlüsselungskomponente in ihren Angriffen bereits ganz wegließen.

Menschlicher Faktor für Prävention von Datenverlusten von großer Wichtigkeit

„Eine weitere Erkenntnis aus dem Report ist, dass 84 Prozent der Verstöße personenbezogene Daten betreffen.“ Weitere zehn Prozent entfielen auf Finanz- und Kreditkarteninformationen. Fast 13 Prozent der per E-Mail verschickten sensiblen Daten befänden sich in Bildern, deren unbeabsichtigtes Abfließen nur mit fortschrittlichen Prüfverfahren, wie „Optical Character Recognition“ (OCR) oder Künstlicher Intelligenz (KI), eingeschränkt werden könne.

Desai kommentiert: „Dies zeigt, wie wichtig der menschliche Faktor für die Prävention von Datenverlusten ist. Von unbewussten Fehlern von Mitarbeitenden bis hin zu komplexen, von Insidern und Bedrohungsakteuren inszenierte Angriffe: Datenverlust beginnt und endet bei Menschen!“

Gruppen von Hauptverantwortlichen für Datenverluste

Die Verantwortlichkeit für Datenverluste lassen sich laut Desai in die folgenden Gruppen einsortieren: Mitarbeiter, aber auch Administration, böswillige Insider, oder Geschäftsführer sowie Partner und externe Akteure.

Mitarbeiter neigten zum „Oversharing“, „Opensharing“ oder zur Datenlöschung und könnten ihre Arbeitsgeräte verlieren oder gefährden.

Bei der Administration schlichen sich Fehler beim Patchen oder Konfigurieren ein.

Böswillige Insider könnten Daten absichtlich exfiltrieren oder Dritten unberechtigten Zugang zu Informationen gewähren. „Dabei kann es sich um Mitarbeitende handeln, die ihre Funktion aufgeben möchten und zuvor Daten zerstören oder stehlen, oder mit Angreifern sowie Konkurrenten zum persönlichen oder finanziellen Vorteil kollaborieren.“

Auch die Geschäftsführungsebene sei nicht gefeit und gerade deshalb gelte es hier, die digitale Kompetenz zu erhöhen. Vorstände könnten beispielsweise wichtige Anträge auf ein IT- oder Sicherheitsbudget zur Aktualisierung der anfälligen Netzwerkarchitektur ablehnen.

Partner und Drittunternehmen könnten absichtlich oder unabsichtlich Datenverluste durch zu weitgreifende Berechtigungen des Zugriffs auf Daten verursachen. Der Kundensupport mit Zugang zu Kundendaten und -systemen sei hierbei besonders gefährdet für eine Kompromittierung, ebenso wie Anbieter von „Cloud“-Anwendungen.

Eines sei all diesen Gruppierungen gemein: Bedrohungsakteure hätten immer dann ein leichtes Spiel, „wenn Unternehmen ihre Angriffsvektoren und Einfallstore nicht ausreichend kontrollieren“, warnt Desai.

Ganzheitlichen Ansatz zur Vermeidung von Datenverlusten etablieren!

Der menschliche Faktor spiele für alle übergeordneten Ursachen von Datenverlusten eine Rolle – denn schließlich müsse ein Phishing-Angriff oder die Platzierung eines sogenannten Infostealers nur einmal gelingen, um von einem kompromittierten Nutzer weitere Kreise zu ziehen. „Organisationen sollten sich dieses Risiko bewusst machen und einen ganzheitlichen Ansatz zur Vermeidung von Datenverlusten etablieren“, rät Desai abschließend und unterstreicht:

„Der Schutz von sensiblen Daten ist kein alleinstehendes Unterfangen, sondern sollte Teil einer umfassenderen Sicherheitsstrategie sein, mit der alle Datenströme auf Malware und unberechtigtes Abfließen kontrolliert werden.“

Weitere Informationen zum Thema:

zscaler
Report: 2022 ThreatLabz State of Data Loss Report / Trends and risks of enterprise data sharing and how to manage them

datensicherheit.de, 02.06.2022
Der Faktor Mensch: Proofpoint stellt diesjährigen Report vor / Laut Report 2022 100.000 Smartphone-Angriffe täglich und Verdoppelung der Smishing-Versuche

datensicherheit.de, 09.08.2021
Der Mensch als größte Schwachstelle für die IT-Sicherheit / Cyber-Kriminelle nutzen Home-Office aus und fokussieren auf den Risikofaktor Mensch

datensicherheit.de, 20.04.2021
Faktor Mensch und Unternehmensnetzwerk laut PSW GROUP wesentliche Cyber-Risiken / PSW GROUP rät zu mehr Awareness und Mitarbeitersensibilisierung

[datensicherheit.de, 10.08.2022] Nach dem Motto „Wenn es sich anfühlt, wie Phishing und es aussieht wie Phishing, muss es Phishing sein“ erörtert Marc Lueck, „CISO EMEA“ bei Zscaler, in seiner aktuellen Stellungnahme den KI-Einsatz für die Cybersecurity:

Foto: Zscaler

Marc Lueck: Skalierbarkeit entscheidet über den Erfolg…

KI setzt auf Anwendung menschlicher, logischer Entscheidungsprozesses zur Aufspürung von Malware

Im Englischen gebe es ein Sprichwort, welches die moderne Vorgehensweise der Malware-Erkennung auf den Punkt bringt: „If it smells like a fish, looks like a fish and acts like a fish, then it is probably a fish“ (wenn etwas riecht, wie ein Fisch und es aussieht wie ein Fisch und sich so verhält, ist es wahrscheinlich auch ein Fisch). Lueck erläutert: „Dieses Prinzip ist die Grundlage für die meisten modernen Mechanismen zur Erkennung von Cyber-Angriffen, auf das auch Künstliche Intelligenz (KI) setzt. Denn diese Aussage gilt nicht nur für Fisch, sondern ebenso für Phishing und Malware im Allgemeinen.“ Allerdings gebe es einen wichtigen Unterschied im Fischfang mit der Angelrute oder mit einem engmaschigen Netz, wie mit KI. „Die Skalierbarkeit entscheidet über den Erfolg des Fangs.“

KI setze dabei auf die Anwendung eines menschlichen, logischen Entscheidungsprozesses, um Malware aufzuspüren. Der gravierende Unterschied liege allerdings in der Geschwindigkeit und der Menge der Verarbeitung von Informationen. „Ein Mensch, dem all die Informationen eines KI-Systems zur Verfügung stehen, kann ziemlich einfach eine Entscheidung hinsichtlich potenzieller Malware innerhalb eines bestimmten Zeitrahmens treffen. Für dieses Zeitfenster sind allerdings Minuten oder gar Stunden anzusetzen. Allerdings stehen diese Informationen meist nicht in einer Form zur Verfügung, die für den Menschen konsumierbar ist, zumindest nicht ohne weitere Aufbereitung“, so Lueck.

Im Gegensatz dazu sei KI richtig gut darin, Entscheidungen auf Basis einer Bandbreite an Daten in ihrer nativen Form zu treffen, welche ein Mensch nicht in der nötigen Geschwindigkeit erkennen könne. Die KI fälle diese Entscheidungen innerhalb von Millisekunden. Dementsprechend spiele heute die KI in der Malware-Erkennung eine wichtige Rolle, menschenähnliche Entscheidungen zu fällen und der Software darauf aufbauend Festlegungen für Handlungsanweisungen zu programmieren. „Dazu zählt auch die Fähigkeit anhand davon, wie etwas aussieht oder sich anfühlt zu erkennen, ob es sich um Malware handelt.“

KI: Erfolgsfaktor Geschwindigkeit

Einige der erfolgreichen Cyber-Kriminellen setzten auf KI und Maschinelles Lernen, „um ihre Tools so zu trainieren, dass sie Opfer noch erfolgreicher durch automatisierte Angriffe oder ,Social Engineering‘ manipulieren und im Anschluss schneller – ohne langsame menschliche Interaktion – kompromittieren können“. Um den Kampf mit einer Maschine aufzunehmen, sei eine Maschine erforderlich.

Lueck rät daher: „Deshalb tun Unternehmen gut daran, zur Erkennung und Abwehr von kriminellen Machenschaften mit der gleichen Intelligenz und Geschwindigkeit aufzuwarten. Es gilt dabei, ein System in die Lage zu versetzen, semi-menschliche Entscheidungen auf der Grundlage einer Vielzahl von Datenpunkten zu treffen.“ In der Korrelationsfähigkeit könne KI tatsächlich ihre Intelligenz ausspielen und zur schnelleren Erkennung von Malware beitragen.

In der Realität warte eine global operierende „Cloud“-Sicherheitsplattform mit der nötigen Skalierbarkeit und Rechenleistung auf, um Entscheidungen nahezu in Echtzeit und damit mit der gefragten Effizienz zu treffen. Ein solcher „Cloud“-Ansatz könne darüber hinaus auf einen großen Daten-Pool zum Training der KI zugreifen, um den „Fisch-Test“ durchzuführen. „Es geht dabei nicht darum, dem System unnötige Komplexität beizubringen, sondern die entscheidenden (virtuellen) Merkmale – Aussehen und Geruch – zu vermitteln. Damit können weitere Kontext-Faktoren, wie beispielsweise Standort, abweichende Verhaltensmuster, Zeitfaktor eines Zugriffs auf Daten und Abgleich neu registrierter Domains angereichert werden.“

KI kann schon heute ihre Stärken ausspielen

Durch die Leistungsfähigkeit eines „Cloud“-Ansatzes und deren Fähigkeit zur Inline-Untersuchung der Datenströme könne Risikotransparenz fast in Echtzeit zur Verfügung gestellt werden. „Noch bevor die Daten beim Mitarbeitenden ankommen, wird automatisch die Entscheidung gefällt, ob sich Malware darin verbirgt.“ Durch den Inline-Scan ließen sich Reaktionszeiten für die Entscheidung hinsichtlich des Passierens von Datenströmen zum Nutzer verkürzen und potenzielle Malware blockieren, während echte Inhalte passieren dürften.

Das Training von KI-Modellen auf die entscheidenden Parameter zur Erkennung von Malware ersetze den manuellen Drill der permanenten Verfolgung von „Security Alerts“ durch das IT-Team und die „False/Positive“-Rate lasse sich deutlich reduzieren.

„Die Magie liegt darin, die KI so zu beeinflussen, dass sie ihre Fähigkeiten zur Malware-Erkennung aufbauend auf umfangreichen Datensätzen tatsächlich ausspielen kann“, betont Lueck abschließend und empfiehlt Unternehmen dementsprechend, damit aufzuhören kompliziert zu denken. „Künstliche Intelligenz kann schon heute ihre Stärken ausspielen, indem sie das, was wie Malware aussieht, tatsächlich auch als Malware behandelt.“

Weitere Informationen zum Thema:

datensicherheit.de, 13.07.2019
Cyber-Abwehr: Erfolgsfaktor Künstliche Intelligenz / Rund die Hälfte der Unternehmen mit dem Erkennen und Verhindern von Cyber-Angriffen überfordert

datensicherheit.de, 18.09.2018
Künstliche Intelligenz zur Erhöhung der Sicherheit im Netzwerk / Durch die dynamische Analyse des Verhaltens der Nutzer können Bedrohungen besser und schneller erkannt werden

[datensicherheit.de, 21.07.2022] Nutzern genüge es heute nicht mehr, wenn Software einfach nur einwandfrei funktioniert und sich unkompliziert bedienen lässt. Sie erwarteten, dass sie auch ihren persönlichen Vorlieben, Gewohnheiten und Lebenssituationen entspricht. „Unternehmen, die diese Erwartungen mit ihrer Software erfüllen, haben zufriedenere Mitarbeiter und treuere Kunden“, heißt es in einer aktuellen Progress-Stellungnahme zum Thema „menschenzentrierte“ Software-Lösungen. Unternehmen sollten demnach „human-centric software“ entwickeln, welche also den Menschen in den Mittelpunkt stellt. Progress erläutert hierzu drei wesentliche Aspekte:

1. Möglichst viele Menschen als potenzielle Software-Nutzer betrachten

Herkömmlicherweise hätten Unternehmen bei der Entwicklung von Software fest definierte Zielgruppen im Auge – diesen Ansatz sollten sie erheblich erweitern: Sie müssten möglichst viele Menschen als potenzielle Nutzer ihrer Software betrachten.
Dabei stellten sich häufig auch positive Nebeneffekte ein. „Entwickeln sie beispielsweise eine Software, die sich an Menschen mit körperlichen Einschränkungen anpasst, können davon auch andere User profitieren: Etwa der Vater im Home-Office, der gerade nur eine Hand frei hat, weil er mit der anderen sein Kind hält.“

2. Verantwortung für „User Experience“ der Software auf breit aufgestellte Teams übertragen

Die Verantwortung für die „User Experience“ (UX) von Software dürfe nicht allein den UX-Designern aufgebürdet werden. Um sich in den Lebensstil und die Mentalität möglichst vieler Menschen hineinzuversetzen und ihre individuellen Bedürfnisse, Motivationen und Herausforderungen zu verstehen, brauche es breit aufgestellte Teams.

Diese sollten nicht nur alle an der Erstellung und Betreuung von Anwendungen Beteiligten umfassen, also Designer, Entwickler, Tester und Support-Mitarbeiter, sondern sich idealerweise bis hin zu Produktmanagement, Sales und Marketing erstrecken.

3. Machine-Learning-Modelle für Software-Personalisierung regelmäßig überprüfen und validieren

Eine Schlüsseltechnologie für die Personalisierung von Software sei sogenanntes Machine Learning. Obwohl man diese Technologie für objektiv halten könnte, hätten zahlreiche Fälle bereits gezeigt, dass Algorithmen Vorurteile entwickeln und dadurch falsche Entscheidungen treffen könnten.

Deshalb sollten Unternehmen die Machine-Learning-Modelle, die sie zur Personalisierung ihrer Software einsetzen, regelmäßig auf ihre Objektivität hin überprüfen.

Fazit: Anwender wünschen sich heute empathische Softwaresysteme

„Der Digitalisierungsschub der vergangenen zweieinhalb Jahre hat die Erwartungshaltung der Menschen nachhaltig verändert. Sie wünschen sich heute empathische Softwaresysteme, die auf ihre Vorlieben, Unterschiede und sogar Emotionen zugeschnitten sind“, betont Svetlin Nikolaev, „Director of Innovation and User Experience“ bei Progress, und gibt abschließend zu bedenken:

„Wollen Unternehmen ihre Wettbewerbsfähigkeit weiterhin steigern, führt kein Weg mehr an der Entwicklung menschenzentrierter Software vorbei.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2022
Zuverlässige Software: Prof. Dr. Moritz Sinn von FH Münster berufen / Der 38-Jährige leitet seit Kurzem das neu eingerichtete Labor für Software Reliability am Fachbereich Elektrotechnik und Informatik

datensicherheit.de, 08.09.2020
Bündnis für humane Bildung fordert europäische Software für Schulen / Kritik an geplanter Einführung von Microsoft-Software in Baden-Württemberg

[datensicherheit.de, 02.06.2022] Die Proofpoint Inc. hat nach eigenen Angaben am 2. Juni 2022 den „Der Faktor Mensch 2022“-Report veröffentlicht. Diese Studie untersucht demnach die drei wesentlichen Aspekte, anhand derer das Cyber-Risiko für IT-Nutzer quantifiziert werden kann: Verwundbarkeit, gezielte Angriffsarten und Zugriffsprivilegien. Im Bericht finden sich laut Proofpoint auch zahlreiche Beispiele dafür, welche Kreativität Cyber-Kriminelle an den Tag legen, um Menschen in die Falle zu locken.

Report 2022 befasst sich eingehend mit Risiken für Anwender

„Der Faktor Mensch 2022“-Bericht befasse sich eingehend mit den Risiken für Anwender und stütze sich dabei auf Daten und Erkenntnisse aus einem Jahr Cybersecurity-Forschung. Dabei handele es sich um Informationen zu erkannten, entschärften und behobenen Cyber-Bedrohungen, welche in ihrer Gesamtheit einen der größten Datensätze zur Cyber-Sicherheit bildeten.

„Auch nach einem turbulenten Jahr mit einer langsamen Rückkehr zur Normalität nehmen Cyber-Kriminelle weiterhin Menschen ins Visier und nutzen deren Schwächen aus“, berichtet Ryan Kalember, „EVP of Cybersecurity Strategy“ bei Proofpoint:

„Letztes Jahr haben die Angreifer gezeigt, wie skrupellos sie tatsächlich sind. Das macht den Schutz der Mitarbeiter vor Cyber-Bedrohungen zu einer ständigen Herausforderung für Unternehmen und hat so manchen die Augen für die Gefahren im ,Cyberspace‘ geöffnet.“

Report stützt sich auf mehrere Trillionen Datenpunkte

Der Report stütze sich auf mehrere Trillionen Datenpunkte, folglich einen der größten Datensätze im Bereich Cyber-Sicherheit.

Jeden Tag analysiere Proofpoint mehr als 2,6 Milliarden E-Mail-Nachrichten, 49 Milliarden URLs, 1,9 Milliarden Dateianhänge, 28,2 Millionen „Cloud“-Konten, 1,7 Milliarden Nachrichten auf Mobilgeräten und vieles mehr.

Der vorliegende Bericht analysiere die im Jahr 2021 gesammelten Daten und untersuche die Art der heutigen Cyber-Bedrohungen. Sicherheitsverantwortlichen biete er praktisch relevante Einblicke, um Mitarbeiter vor Angreifern schützen zu können.

Wichtigste Erkenntnisse des Reports „Der Faktor Mensch 2022“:

Cyber-krimineller Fokus auf das Smartphone
Cyber-Kriminelle fokussierten sich auf das Smartphone als Schlüssel zum privaten und beruflichen Leben der Menschen. In den USA hätten sich die sogenannten Smishing-Versuche (Angriffe über SMS) im Laufe des Jahres mehr als verdoppelt. In Großbritannien hätten Cyber-Kriminellen dabei in mehr als 50 Prozent der Fälle Lieferbenachrichtigungen als Köder eingesetzt. Darüber hinaus hätten Cyber-Kriminelle mehr als 100.000 Angriffe per Telefon pro Tag verübt.

Nutzer vieler Privilegien überproportional stark betroffen
Nutzer mit vielen Privilegien seien überproportional stark betroffen. Manager und Führungskräfte machten im Durchschnitt nur zehn Prozent der Gesamtnutzer in Unternehmen aus, auf sie entfielen aber fast 50 Prozent aller Angriffe.

Gut 80% der Unternehmen jeden Monat von kompromittiertem Lieferanten-Konto aus angegriffen
Über 80 Prozent aller Unternehmen würden jeden Monat von einem kompromittierten Konto eines Lieferanten aus angegriffen. Schulungen zum Sicherheitsbewusstsein, welche sich auf Bedrohungen in der Lieferkette konzentrieren, seien für Unternehmen daher von entscheidender Bedeutung.

Microsoft OneDrive und Google Drive am häufigsten missbraucht
„Microsoft OneDrive“ und „Google Drive“ würden von allen legitimen „Cloud“-Plattformen am häufigsten von Cyber-Kriminellen missbraucht. Letztes Jahr, 2021, sei es bei 35 Prozent der „Cloud“-Accounts mit festgestellter verdächtiger Anmeldung in der Folge zu dubiosen Dateiaktivitäten gekommen. Dies zeige, dass auf Privilegien basierende Risiken in dem Maße wüchsen, wie Unternehmen die „Cloud“ nutzen. Im Durchschnitt sei bei etwa zehn Prozent der Unternehmen mindestens eine aktive bösartige Anwendung in ihrer Umgebung festgestellt worden, welche zuvor autorisiert worden sei.

Enge Verbindung zwischen Malware-Gruppen und Ransomware-Betreibern
Die enge Verbindung zwischen Malware-Gruppen und Ransomware-Betreibern bestehe nach wie vor. Zwischen dem 1. Januar und dem 31. Dezember 2021 seien mehr als 20 Millionen Nachrichten versendet worden, deren Ziel es gewesen sei, Malware in Verbindung mit einem möglichen Ransomware-Angriff zu verbreiten.

Cyber-Kriminelle missbrauchen Popkultur
Cyber-Kriminelle machten sich die Popkultur zunutze. So hätten Angreifer im Jahr 2021 bekannte Persönlichkeiten wie Justin Bieber und „The Weeknd“ sowie die Netflix-Serie „Squid Game“ für ihre Köder ausgenutzt. Im Oktober 2021 hätten Cyber-Kriminelle E-Mails mit dem Thema „Squid Game“ an Opfer in den USA verschickt und einen frühzeitigen Zugang zur nächsten Staffel oder sogar die Möglichkeit, in künftigen Folgen mitzuspielen, versprochen.

Weltweite Konflikte als Aufhänger
Angreifer nutzten weiterhin weltweite Konflikte aus. Anfang dieses Jahres, 2022, hätten Cyber-Kriminelle und APT-Gruppen, welche mit staatlichen Stellen in Verbindung gebracht würden, auf den Einmarsch Russlands in die Ukraine reagiert. Im Rahmen dieser Aktivitäten habe Proofpoint die zerstörerische „Wiper“-Malware beobachten können, welche gegen ukrainische Organisationen und wichtige Kommunikationsinfrastrukturen eingesetzt worden sei. Zudem habe Proofpoint Aktivitäten von mit Belarus und China verbündeten Akteuren festgestellt, welche speziell auf europäische, für Asylprozesse und andere Hilfsmaßnahmen zuständige Regierungsorganisationen abzielten.

Der vollständige „Der Faktor Mensch 2022“-Bericht von Proofpoint steht zum Download bereit. Die Ergebnisse des diesjährigen Reports sollen auch von zwei Proofpoint-Experten am 15. Juni 2022 um 11 Uhr (MEZ) in einem Web-Seminar erörtert werden.

Weitere Informationen zum Thema:

proofpoint
Threat Report / Der Faktor Mensch 2022

proofpoint
15. Juni | 11:00 CEST / Der Faktor Mensch 2022: Personenzentrierte Cybersicherheit vor dem Hintergrund zunehmender Anwenderrisiken

[datensicherheit.de, 30.11.2021] Zum „Tag der Computersicherheit“ am 30. November 2021 fordert Rainer Seidlitz, Leiter „Produkt-Management Safety & Security“ bei der TÜV SÜD Akademie GmbH, in seiner Stellungnahme, die „menschliche Firewall“ zu stärken.

Foto: TÜV SÜD Akademie GmbH

Rainer Seidlitz: Ständig werden Netzwerke durch Angriffe auf eine harte Probe gestellt

Seidlitz warnt: Malware-Distributoren und Hacker professionalisieren sich – KMU-Gegenmaßnahmen hinken hinterher

„Die Bedeutung von Cybersecurity und eines sicheren digitalen Öko-Systems wächst weiter“, so Seidlitz. Ständig würden Netzwerke durch Angriffe auf eine harte Probe gestellt. Während Malware-Distributoren und Hacker sich professionalisierten und ihre Dienste mittlerweile „as-a-Service“ zur Miete anböten, hinkten jedoch besonders kleine und mittlere Unternehmen (KMU) bezüglich der Gegenmaßnahmen hinterher.
Seidlitz führt aus: „Zwar achten viele mehr auf die Absicherungen von Netzwerk- und Cloud-Infrastrukturen gegen externe Angriffe, doch sie versäumen es, ihre Mitarbeiter über die Bedrohungen und Gegenmaßnahmen zu unterrichten, um sie als menschliche Firewall zu stärken.“

E-Mails laut Seidlitz noch immer beliebteste Einfallstore

„Der beliebteste Weg, um sich unerlaubten Zutritt zu einem Unternehmensnetzwerk zu verschaffen, ist und bleibt die E-Mail, was diverse Studien zeigen“, berichtet Seidlitz. Die Nachrichten enthielten in der Regel eine mit Malware verseuchte Datei als Anhang oder den Link zu einer betrügerischen Internet-Seite, welche im Rahmen einer Phishing-Attacke die Zugangsdaten stehlen solle.
Besonders beliebt seien die digitalen Auftritte von Online-Versandhändlern, Banken und Paketdiensten – oftmals seien diese E-Mails sogar personalisiert. Auch vor dem Ausnutzen möglicher Ängste ihrer Opfer schreckten die Hacker nicht mehr zurück – von vermeintlichen Informationen rund um die „Corona-Pandemie“ bis zu Anträgen für dringend benötigte Sozialhilfen sei alles bereits missbraucht worden. „Wer bei solchen E-Mails nicht auf verdächtige Absenderadressen oder seltsame Webseiten-URLs achtet, der landet schnell in den Fängen von Kriminellen“, warnt Seidlitz.

Seidlitz betont: Mehr Home-Office verlangt mehr Verantwortung!

„Wie lange die Krise uns beschäftigen wird, lässt sich nicht bestimmen. Das Home-Office als Arbeitsweise ist nun allerdings in der Gesellschaft verankert.“ Mobiles Arbeiten bringe allerdings neue Herausforderungen für die IT-Sicherheit mit sich und fordere gleichzeitig von der Belegschaft, mehr Verantwortung für die Absicherung des Netzwerkes zu übernehmen.
Dabei reiche es nicht aus, die Mitarbeiter lediglich über die Bedrohungslage aufzuklären. Es gelte, im Unternehmen ein Bewusstsein für IT-Sicherheit bis hin zur Führungsebene zu etablieren und den Mitarbeitern zu vermitteln, „dass sie ein wichtiger Teil der Cyber-Abwehr sind“. Hierfür brauche es regelmäßige Übungen, wie Simulationen im Alltag, wenn die Mitarbeiter ihrer gewohnten Arbeit nachgehen. Dadurch sei man für den Ernstfall gewappnet und könne die Abläufe festlegen, um einen Krisenplan zu erstellen.

Seidlitz appelliert: Bewusstsein für IT-Sicherheit schaffen!

Alle Beteiligten eines Unternehmens müssten wissen, „wie bedroht ihre Firma ist und welche Rolle sie bei einem Angriff übernehmen sollen“. „Remote Work“ mit vielen Endgeräten und Zugangspunkten zum Unternehmensnetzwerk erhöhe den Druck.
Da es aber besonders den KMU oft an Fachkräften und Ressourcen fehle, um sich gut vorzubereiten, lohne sich die Einbindung externer Experten von unabhängiger Seite, „die bei entsprechender Ausbildung und Eignung gegebenenfalls auch als Informationssicherheits- oder Datenschutzbeauftragte benannt werden können“. IT-Sicherheit bestehe eben nicht nur aus Hard- und Software, sondern ebenso aus geschulten Mitarbeitern.

Weitere Informationen zum Thema:

datensicherheit.de, 30.11.2021
Computer Security Day 2021: Check Point gibt fünf Tipps / Tipps für alle, die einen Computer, ein Smartphone oder ein IoT-Gerät besitzen

datensicherheit.de, 09.08.2021]
Der Mensch als größte Schwachstelle für die IT-Sicherheit / Cyber-Kriminelle nutzen Home-Office aus und fokussieren auf den Risikofaktor Mensch