Geht es um Informationssicherheits- und Datenschutzrisiken für Unternehmen, wird vorwiegend über Angriffe auf Server oder Tools gesprochen, seltener jedoch über Angriffe auf Mitarbeiter. Dabei ist der größte Risikofaktor für die Unternehmenssicherheit der Mensch. Attila Misota, Sales Expert Security bei der Telekom MMS, gibt Einblicke in seine Arbeit und erklärt, worauf Mitarbeiter und Unternehmen achten müssen, um Sicherheitsrisiken zu vermeiden.
Was versteht man unter Security Awareness?
Attila Misota: Security Awareness fokussiert nicht die technologische Sicht auf IT-Sicherheit, sondern betrachtet auch die Mitarbeiter im Unternehmen. Hier steht die Schwachstelle Mensch im Vordergrund, schließlich sind es die Mitarbeiter, die zum Ziel vieler Angriffe werden. Nicht umsonst wird der Angriffsvektor „Social Engineering“ mit über 75% als größtes Risiko für die IT-Sicherheit wahrgenommen. Daher sollten alle Mitarbeiter für Informationssicherheits- und Datenschutzrisiken sowie Gefahren von außen sensibilisiert werden. Diese Sensibilisierung muss sowohl auf der persönlichen Ebene erfolgen als auch durch prozessuale und organisatorische Seiten der IT-Abteilung flankiert werden. Mitarbeiter müssen Sicherheitsrisiken als solche erkennen lernen, aber auch Ansprechpartner und das weitere Vorgehen kennen.
Warum ist eine sichere IT für Unternehmen wichtig?
Attila Misota: Eine sichere IT ist der Grundbaustein, der jedes Unternehmen am Leben hält. Denn nicht nur die Systeme werden bei einem Angriff von außen gefährdet, sondern auch die personenbezogenen oder sensiblen Daten und damit das Know-how des gesamten Unternehmens. Jedes Unternehmen hat Geheimnisse, die seinen Erfolg ausmachen. Haben auch andere Zugriff auf dieses Wissen, ist die gesamte Existenz des Unternehmens gefährdet. Daher ist eine sichere IT sehr wichtig. Einen Schutz von 100 Prozent kann es aber leider nie geben. Selbst wenn man alle Mitarbeiter schult und die modernsten Sicherheitstools einsetzt, können Angriffe nie ausgeschlossen werden. Das Risiko kann durch Schulungen und Aufklärung der Mitarbeiter jedoch deutlich reduziert werden.
Was müssen Unternehmer und Mitarbeiter beachten?
Attila Misota: Das kommt ganz auf die Unternehmen an. Allgemeine Empfehlungen lauten aber: Mitarbeiter sollten bspw. ein Passwort-Management nutzen, um nicht aus Angst vor dem Vergessen zu leichte Passwörter zu verwenden, die schnell gehackt werden können. Zudem sollten aus Bequemlichkeit keine Passwörter im Browser gespeichert werden, da diese eine leichte Beute für versierte Angreifer darstellen. Ebenso sollten grundsätzlich keine öffentlichen oder im allgemeinen freie WLAN-Netzwerke genutzt werden. Die Basis all dieser Handlungen sind jedoch die Aufmerksamkeit und das Bewusstsein der Mitarbeiter und Unternehmen für die vielfältigen Risiken, die durch Phishing-Mails, fingierte Anrufe oder fremde USB-Sticks drohen. Bei Unsicherheiten sollten Mitarbeiter immer nachfragen und sich rückversichern, ob bspw. eine Mail, die zur Überweisung hoher Beträge auffordert, wirklich vom Vorgesetzten kommt. Kommt einem Mitarbeiter eine Mail verdächtig vor oder wird ein unbekannter USB-Stick gefunden, so sollte entsprechend gehandelt werden. Besser als das schlichte Ignorieren ist dabei, das verdächtige Material an die eigene IT-Abteilung weiterzureichen und um eine Prüfung zu bitten. So können Mitarbeiter nicht nur sich selbst vor einem Angriff schützen, sondern auch das gesamte Unternehmen. In diesem Fall kann die IT dem Vorfall nachgehen und alle Beschäftigten warnen. Aber auch Führungskräfte haben häufig noch Schulungsbedarf, wie bereits Tests im Auftrag von Kunden gezeigt haben. Auch sie haben ausgelegte Datenträger an ihre Computer angeschlossen und neugierig den Datenträger durchstöbert.
Welche Risikofallen gibt es in jedem Unternehmen?
Attila Misota: Der größte Risikofaktor für jede IT ist der Mensch, danach folgen erst Technologien und Anwendungen. Mitarbeiter sind nur Menschen und die sind schließlich neugierig, hilfsbereit und teilweise unberechenbar und im Gegensatz zu Technologien eben nicht programmierbar. Das menschliche Verhalten kann am besten am Beispiel von Phishing-Mails dargestellt werden, denn hierbei wird Neugier, Angst oder die Hoffnung auf einen vermeintlichen Gewinn getriggert. Die einzige Herausforderung stellt nach dem Klick auf den vermeintlich sicheren Link nur noch die Eingabe des User-Namen und Passworts dar. Sind die Gewinne dann noch verknappt, gibt es also bspw. nur fünf Reisen zu gewinnen, ist die Bereitschaft vieler Menschen noch größer, die Daten preiszugeben. Neugier ist dabei meist die treibende Kraft, die dazu führt, dass Links oder Anhänge doch angeklickt werden. Manche Angriffe sind aber auch gar nicht so offensichtlich, sondern eher subtil. So wird über persönliche Daten und private Aktivitäten der Mitarbeiter versucht, an Firmengeheimnisse zu gelangen.
Wie kann die MMS da helfen?
Attila Misota: Die MMS sensibilisiert, visualisiert, erklärt und macht Angriffsmethoden und Sicherheitsrisiken sichtbar. So wird in Schulungen vor Ort in den Unternehmen den Mitarbeitern sowohl die Angriffs-, als auch die Opferperspektive vorgestellt und Schritt für Schritt erklärt. Hierbei können Mitarbeiter hautnah miterleben, wie schnell ein von ihnen genanntes Passwort durch unsere Experten gehackt werden kann oder wie unkompliziert und einfach eine Phishing-Mail an tausende von Empfängern versendet werden kann. Darüber hinaus werden auch innovative und neue Angriffsmuster vorgestellt. Im sog. CEO-Fraud 2.0, wird z.B. mittels künstlicher Intelligenz der Angriff perfektioniert. Hierbei wird mit Stimmensynthese (Deep Fake Voice) die Stimme des Geschäftsführers nachgeahmt, so dass ein zusätzlicher Telefonanruf, die bereits abgesendete E-Mail stärkeres Vertrauen und Nachdruck verleiht. Wir zeigen aber auch, welche Folgen diese Angriffe für Unternehmen haben können. Engagiert ein Kunde uns, so zeigen wir zunächst den Ist-Zustand auf. Wir analysieren bestehende Prozesse, den Aufbau der Organisation, wie Mitarbeiter auf Angriffe reagieren und ob es bereits Richtlinien für solche Fälle gibt. Dazu gehört auch der Test der Mitarbeiter, indem sie unsererseits Phishing-Mails zugeschickt bekommen oder wir präparierte USB-Sticks in den Unternehmen auslegen. Teilweise versuchen wir auch, so weit wie möglich in Unternehmen vorzudringen. Trotz entsprechender Richtlinien und Vorschriften, schafften wir es bei einem Kunden bei 55 von 60 Versuchen, unbegleitet durch das Gebäude zu gehen und uns darin frei zu bewegen. Nach dieser Bestandsaufnahme definieren wir gemeinsam mit den Kunden den Soll-Zustand. Dazu werden die Richtlinien aktualisiert, Schulungskonzepte entwickelt, eLearning Angebote eingerichtet und Sensibilisierungsmaterial zur Verfügung gestellt. Dies wird alles im Corporate Design des jeweiligen Unternehmens gestaltet. Speziell die Schulung der Mitarbeiter vor Ort, mit insgesamt 15 praktischen Live Demonstrationen, gehört zu unseren Stärken. Zudem werden im Nachgang optionale Überprüfungen durchgeführt, um den aktuellen Stand der IT-Sicherheit und des Sensibilisierungsprogramms zu messen.
Wie fallen die Ergebnisse dann aus?
Attila Misota: In der Vergangenheit ließ sich eine deutliche Reduzierung des Fehlverhaltens im Vergleich zu dem jeweils ersten Test feststellen. Aktive Schulungen weisen Mitarbeiter häufig erst einmal auf all die Risiken hin und schaffen ein Bewusstsein bei Ihnen, welches sie vorher nicht hatten. Trotzdem gibt es wie bereits erwähnt keine absolute Sicherheit, sodass auch nach der Schulung noch Phishing-Mails geöffnet und Links geklickt werden. Aber eben deutlich weniger als zuvor. Die Etablierung eines soliden Sicherheitsbewusstseins ist ein laufender Prozess, welcher jedes Jahr neu angepasst und wiederholt werden muss.
Was empfiehlst du Unternehmen, die sich bisher noch nicht mit dem Thema beschäftigt haben?
Attila Misota: Unternehmen sollten gezielt ihre eigenen Mitarbeiter aktiv schulen und für Informationssicherheits- und Datenschutzrisiken sensibilisieren. Sie sollten aufklären, welche Methoden Angreifer verwenden und wo überall Gefahren lauern. In einem persönlichen Gespräch können wir uns über das aktuelle Sensibilisierungsniveau des Unternehmens austauschen und mögliche Handlungsempfehlungen definieren. Die IT-Abteilung und auch die Geschäftsführung sollte sich nie ausschließlich auf die technologische IT-Sicherheit fixieren und hoffen, dass dadurch alle Angriffe abgewehrt werden können. Angreifer finden immer einen Weg, mit Ihren Mitarbeitern in den Austausch zu kommen. Bspw. via E-Mail, einem ersten flüchtigen Gespräch in einem Café oder durch Übersendung eines präparierten USB-Sticks, auf dem aktuelle Präsentationen oder ähnliches gespeichert sind. Damit sammeln Angreifer nach und nach die notwendigen Informationen, um den Angriff perfekt vorzubereiten und zuzuschlagen.
Sensibilisieren Sie Ihre Mitarbeiter für IT-Gefahren
>Zu den Security Awareness Campaigns
User Centric Security: Wie lassen sich ganzheitliche Sicherheitskonzepte entwickeln?
>Zum Blogbeitrag
Ist digitales Geschäft eigentlich zuverlässig, sicher, vertrauensvoll, ausfallsicher? Wie und warum – darüber schreibe ich in diesem Blog.