Selbst die modernste, umfangreichste IT-Sicherheit lässt oft noch eine große Schwachstelle offen – die Menschen hinter der IT. Viele Angreifer suchen gezielt nach Schwächen im menschlichen Verhalten zum Beispiel durch Phishing oder Social Engineering. Doch auch dagegen lässt sich ein wirksamer Schutzschirm aufbauen.
Etwa 70 Prozent erfolgreicher Hackerangriffe beginnen mit einer Phishing-Mail
Tipps für die Cybersicherheit gibt es viele. Dennoch haben kriminelle Angreifer immer wieder Erfolg und können Daten stehlen, Systeme kompromittieren oder nach ihren Attacken Lösegeld erpressen. Die Experten von Chainalysis beziffern die weltweit gezahlten Lösegelder allein für 2023 auf mehr als eine Milliarde Dollar – eine hohe Dunkelziffer inklusive. Damit ein Unternehmen in die Bedrängnis kommt, entweder sensible Daten, den Zugriff auf Systeme und Prozesse zu verlieren oder ein hohes Lösegeld zu zahlen, braucht es nicht viel. Eine E-Mail genügt. Diese gaukelt mehr oder weniger perfekt gestaltet einen seriösen Absender vor: die Bank, einen Geschäftspartner, Kollegen, Kunden oder gleich die eigene Geschäftsleitung. Die Mail beinhaltet einen Link und wer diesen anklickt, öffnet den Angreifern direkt Tür und Tor für Schadsoftware oder wird in der Folge weiter verleitet, sensible Informationen wie Anmeldedaten preiszugeben.
Noch mehr Angriffsformen
Im Büro oder bei hybrider Arbeit gibt es weitere Sicherheitsrisiken. Neben E-Mail-Phishing nutzen Kriminelle auch Voice-Phishing oder Vishing und Spear-Phishing. Einmal erfolgen die Angriffsversuche durch telefonischen Kontakt anstelle von E-Mails und dann durch gezielt auf einzelne Personen abgestimmte Angriffe anstatt allgemeiner Mails. Diese ausgefeilteren Arten der Attacken im Bereich des Social Engineerings nehmen zu, weil sie noch mehr Erfolg versprechen als eine gewöhnliche Phishing-Attacke. Die Erfolgswahrscheinlichkeit steigt, je näher und persönlicher der Kontakt zu Mitarbeitenden des angegriffenen Unternehmens gelingt. Daneben gibt es Tailgating, wo sich Kriminelle in persona an Mitarbeitende hängen, um in ein Unternehmen und an seine IT zu gelangen. Wie gewöhnliche Einbrecher scheuen aber auch Cyberkriminelle die persönliche Begegnung und das Risiko, schnell entdeckt zu werden. Sie setzen eher auf den anonymen Angriff aus der Ferne – so auch beim Baiting. Dabei hinterlassen sie wie zufällig etwa irgendwo einen USB-Stick und setzen auf die menschliche Neugier. Die Versuchung, sich den Inhalt des Speichers (inklusive Schadsoftware) anzuschauen, ist groß …
Abwehr und Prävention: die Firewall 2.0
Ein erfolgreicher Cyberangriff kann das gesamte Unternehmen gefährden: Daten- oder öffentlicher Vertrauensverlust, lahmgelegte Betriebsprozesse und rechtliche Folgen sind nur einige der möglichen Schäden. Diese Gefahr wird in zahlreichen Unternehmen unterschätzt oder falsch betrachtet, wenn eher Fragen zur Sicherheit von Cloud-Anwendungen aufkommen. Hohe Sicherheit in der Cloud, bei Betriebssystemen oder Software sind heutzutage Standard. Cloud-Lösungen liefern alle relevanten Updates automatisch. Bei lokalen Betriebssystemen und Anwendungen sind Sie oder Ihre IT direkt verantwortlich, um alle Lücken so schnell wie möglich zu schließen. In jedem Fall müssen Sie sich um die verbleibende große Angriffsfläche kümmern: Ihre Mitarbeitenden.
- Schulen und sensibilisieren Sie alle regelmäßig zu Phishing-Attacken und Social Engineering.
- Die Angriffsversuche ändern sich stetig und entwickeln sich immer weiter. Deswegen brauchen diese Schulungen Regelmäßigkeit und Aktualität.
- Simulieren Sie Angriffe durch Ihre IT-Abteilung oder externe Spezialisten, um die Reaktionen der Mitarbeitenden zu testen und zu verbessern.
- Erstellen Sie Richtlinien zum Umgang mit allen Unternehmensdaten. Dazu gehören eine Rechte- oder Zugriffsverwaltung ebenso wie klar definierte Prozesse zum Umgang mit den Daten. Das alte Vier-Augen-Prinzip oder die digitale Zwei-Faktor-Authentisierung (2FA) erhöhen den Sicherheitslevel direkt und deutlich.
- Sichere Kommunikationswege: Im Zweifelsfall brauchen Ihre Mitarbeiterinnen und Mitarbeiter einfache Sicherungsmöglichkeiten und Kommunikationskanäle zur Bestätigung von Anfragen – geprüfte Telefonnummern und E-Mail-Adressen zur Absicherung.
Schließlich dürfen auch Pläne für den absoluten Notfall nicht fehlen. Verdächtige Aktivitäten müssen sofort gemeldet werden. Danach werden diese Pläne für Verdachtsfälle oder echte Schäden in Gang gesetzt.
Best Practices für die Unternehmenssicherheit im digitalen Zeitalter
Nur große Unternehmen können sich eine umfangreiche interne IT-Sicherheit leisten. Alle anderen sollten externe Anbieter und Spezialisten nutzen. Diese prüfen und optimieren das vorhandene Sicherheitsniveau oder unterstützen bei der Mitarbeiterschulung in Sachen IT-Sicherheit. Vergessen Sie niemals: Ihre IT-Sicherheit ist eine kontinuierliche Aufgabe! Die Bedrohungen verändern sich laufend – täglich oder sogar stündlich. Gängige Schutzsysteme wie eine Firewall hält Ihr System- oder Sicherheitsanbieter permanent auf dem Laufenden mit automatischen Updates. Genauso müssen Sie laufend am Ball bleiben, was das Sicherheitsbewusstsein Ihrer Mitarbeitenden angeht. Dieses Bewusstsein für Aufmerksamkeit, Verantwortung und Wachsamkeit muss in Ihre Unternehmenskultur einfließen. Für Ihre Unternehmenssicherheit brauchen Sie mehr als nur Software und Technologie. Sie brauchen jeden einzelnen Mitarbeiter. Holen Sie alle durch regelmäßige Informationen ins Boot und machen Sie Ihr Unternehmen sicherer!