von Redaktion IT-A…
Lesezeit
4 Minuten
Besserer Phishing-Schutz durch Mitarbeitertrainings
Für Cyberkriminelle ist die weltweite COVID-19-Pandemie eine Gelegenheit, ihre Aktivitäten zu intensivieren. Sie nutzen die gegenwärtige Unsicherheit vieler Menschen und Organisationen aus, um diese zusätzlich finanziell zu schädigen. Dabei hat eine Umfrage kürzlich ergeben, dass schon 2019 mehr als die Hälfte der Unternehmen Opfer einer Phishing-Attacke geworden sind. Mit dem richtigen Ansatz und verschiedenen Vorgehensweisen lässt sich das Wissen und die Sensibilität der Mitarbeiter für Cybersecurity signifikant verbessern.
Was ist Phishing? Was ist Ransomware? Was ist Malware? Diese Fragen stellte der Sicherheitsdienstleister Proofpoint mehr als 3500 berufstätigen Erwachsenen aus den USA, Australien, Frankreich, Deutschland, Japan, Spanien und Großbritannien. Dabei kamen die Experten des IT-Sicherheitsanbieters zu erstaunlichen Resultaten. Denn viele, die es eigentlich wissen sollten, sind hier anscheinend völlig ahnungslos.
Neben der Kenntnis typischer Begriffe der Cybersicherheit hat der Anbieter das Verständnis der Grenzen technischer Schutzmaßnahmen bei der Identifizierung und Behebung Malware-bezogener Zwischenfälle und einem möglichen Wissensvorsprung jüngerer Mitarbeiter analysiert. Dabei stellte sich heraus, dass Anwender und Administratoren oft nicht dieselbe Sprache sprechen. Denn die Frage nach Phishing konnten lediglich 61 Prozent der Nutzer richtig beantworten. Ganz vorne dran waren dabei die deutschen Befragten mit 66 Prozent, was aber immer noch verbesserungswürdig ist.
Den Begriff Malware konnten zwei Drittel richtig zuordnen – peinlich nur, dass fast 30 Prozent der US-amerikanischen Umfrageteilnehmer der Meinung waren, dass Malware eine Art von Hardware wäre, die WLAN-Signale verstärkt. Vollkommen ahnungslos waren die Befragten bei den Begriffen Ransomware, Smishing (dem Phishing über SMS) und Vishing (Phishing über Video).
Am Anfang aller Abwehr steht die Erkenntnis
Dabei ist das Verständnis der Bedrohung schlechthin die Basis für die Gefahrenabwehr. Wie sollen sich IT-Administratoren Gehör für Sicherheitsbelange verschaffen, wenn die Anwender nicht wissen, wovon die Rede ist? Da gerade Malware und Ransomware bereits ausreichend von den Medien behandelt wurden, wäre eigentlich davon auszugehen, dass auch fachfremde Personen etwas mit diesen Begriffen anfangen können. Leider ist dem nicht so.
Bei den Maßnahmen, die Anwender ergreifen können, um sich gegen Cyberkriminalität zu schützen, ergibt sich ein vielschichtiges Bild. Nahezu sämtliche Umfrageteilnehmer, genauer gesagt 95 Prozent, nutzen ein Smartphone. Etwas weniger als die Hälfte der Befragten setzen ihre Mobilgeräte für private und berufliche Zwecke ein. Um diese Systeme zu schützen, verwenden immerhin 42 Prozent eine biometrische Sperre wie einen Fingerabdruckscanner. Fast ein Viertel verwenden eine vierstellige PIN. Allerdings verzichtet einer von zehn Anwendern gänzlich auf eine Entsperrmethode des mobilen Endgeräts, sodass auch andere darauf zugreifen könnten.
Nicht besonders gut informiert waren die Umfrageteilnehmer ferner bei der Nutzung von WLANs. Über ein Viertel meinten, dass die Nutzung öffentlicher Drahtlos-Netzwerke an vermeintlich vertrauenswürdigen Orten wie etwa Bahnhöfen und Flughäfen sicher ist. Dagegen sind nur 17 Prozent davon nicht überzeugt. Bei sich zu Hause haben 95 Prozent ein eigenes WLAN. Lediglich die Hälfte davon schützt ihr Netzwerk mit einem Passwort. Mit 45 Prozent haben fast ebenso viele den Namen ihres Netzwerks personalisiert. Doch nur 31 Prozent haben das Standardpasswort des WLAN-Routers geändert.
Passwörter sind und bleiben Schwachstellen
Ähnlich dürftig sieht es aus, wenn es um regelmäßige und notwendige Updates der Systemsoftware des Routers geht. Hier haben lediglich 19 Prozent die Firmware des WLAN-Routers überprüft beziehungsweise aktualisiert. Viele Befragte konnten oder wollten keine Sicherheitsmaßnahmen übernehmen. Bei 14 Prozent war die Kompetenz für die WLAN-Sicherheitsmaßnahmen nicht vorhanden und 11 Prozent fanden die Implementierung zu zeitaufwändig beziehungsweise unbequem.
Da davon auszugehen ist, dass diese Befragten auch in ihren Unternehmen mit einer ähnlich gelagerten Sorglosigkeit mit der unternehmenseigenen IT umgehen, sollten Administratoren hier ansetzen. Denn Anwender gehen oft von den falschen Voraussetzungen aus. So denken zwei Drittel der Befragten, dass eine Virenschutzlösung genügt, um dem Zugriff von Cyberkriminellen einen Riegel vorzuschieben. Knapp über die Hälfte meint sogar, dass ihre IT-Teams automatisch benachrichtigt werden, sollte sich auf ihrem beruflich genutzten Rechner ein Virus oder eine andere Malware eingenistet haben.
Auch bei der Verwendung von Kennwörtern sind viele Anwender nachlässig. In der Studie nutzten nur 23 Prozent einen Passwortmanager und lediglich jeder Dritte verwendet für neue Dienste ein bisher noch nicht genutztes Passwort. Weniger stark schützen sich 29 Prozent der Befragten mit dem Wechsel zwischen fünf und zehn Kennwörtern und schließlich sind da noch die 16 Prozent, die lediglich ein oder zwei Passwörter verwenden.
Firmennotebooks oft nicht nur vom legitimen Anwender genutzt
Hier sollten die Alarmglocken dann klingeln, wenn Angestellte unternehmenseigene Notebooks zusätzlich für ihre privaten Zwecke nutzen. Da können die beruflichen Anwendungen noch so stark geschützt sein, wenn Mitarbeiter ihre eigenen Anwendungen installieren und fragwürdige Internetseiten aufrufen, gefährdet dies die Unternehmens-IT. Dies gilt besonders, wenn Angestellte, wie etwa während der Coronakrise, im Home Office arbeiten. Denn wenn sie dort Familienmitgliedern Zugang zum Rechner gestatten, birgt dies weitere Risiken.
Einen bösen Willen darf man hier den Mitarbeitern nicht unterstellen, denn sie handeln oft arglos. Was sollte ihrer Meinung groß geschehen, wenn sie eine bestimmte Seite im Internet aufrufen oder mit sowohl geschäftlichen als auch privaten E-Mails sorglos umgehen? IT-Administratoren wissen natürlich, welche Gefahren lauern. Gegen Malware gibt es gute und geeignete Software. Doch dies ist nicht alles. Neben technischen Mitteln, die ihnen etwa beim Management der vom Anwender genutzten geschäftlichen Notebooks helfen, ist dem eigentlichen Problem auf den Grund zu gehen – dem Gefahrenbewusstsein der Mitarbeiter. So belegt der aktuelle Report des Ponemon Instituts, dass mehr 60 Prozent der durch Innentäter ausgelösten Sicherheitszwischenfälle auf die Fahrlässigkeit des Anwenders zurückzuführen sind.
Schulen, schulen, schulen
Dabei liegt zwar der Gedanke nahe, dass besonders Führungskräfte unter den gefährdeten Personen sind. Jedoch sind es besonders die Mitarbeiter, die mit sensiblen Fachaufgaben betraut sind und als "Very Attacked Persons" zu gelten haben. Beispiele dafür sind Mitarbeiter aus der Buchhaltung, dem Personalwesen oder Assistenten von Führungspersonen. Diese sollten identifiziert, besonders gut betreut und gegenüber Gefahren, die durch Cyberkriminalität entstehen, sensibilisiert werden.
Dies zu schärfen, ist ohne kontinuierliche und intensive Schulungsmaßnahmen kaum möglich. Denn ein, zwei Stunden Training einmal im Jahr sind nicht wirklich nachhaltig. Aus diesem Grund gilt es, die vermittelten Inhalte ständig zu erneuern und zu vertiefen. Und was wirkt nachhaltiger als ein praktisches Erlebnis? Ähnlich, wie alle Hinweise auf die berühmte heiße Herdplatte weniger wirken als eine kurze Berührung, hinterlassen praktische Erfahrungen einen bleibenden Eindruck. Hier können Trainer die Anwender anhand deren eigenen Verhalten sensibilisieren, indem sie eine Situation schaffen, die der realen Bedrohung ähnlich ist. Im Rahmen eines Fake-Angriffs stellen Trainer beispielsweise eine Phishing-Attacke nach und besprechen danach das Verhalten des Angestellten mit ihm.
Fazit
Nur das Zusammenspiel von Mensch und Technik, also die Sensibilisierung der Mitarbeiter in Kombination mit effizienten technischen Werkzeugen, reduzieren das Risiko für Unternehmen, Opfer von Cyberkriminellen zu werden. IT-Sicherheitsverantwortliche sollten daher auch darauf achten, den Faktor Mensch in ihren Sicherheitsstrategien und -taktiken angemessen zu berücksichtigen.
ln/Werner Thalmeier, VP EMEA Systems Engineering and Technical Sales bei Proofpoint
Neben der Kenntnis typischer Begriffe der Cybersicherheit hat der Anbieter das Verständnis der Grenzen technischer Schutzmaßnahmen bei der Identifizierung und Behebung Malware-bezogener Zwischenfälle und einem möglichen Wissensvorsprung jüngerer Mitarbeiter analysiert. Dabei stellte sich heraus, dass Anwender und Administratoren oft nicht dieselbe Sprache sprechen. Denn die Frage nach Phishing konnten lediglich 61 Prozent der Nutzer richtig beantworten. Ganz vorne dran waren dabei die deutschen Befragten mit 66 Prozent, was aber immer noch verbesserungswürdig ist.
Den Begriff Malware konnten zwei Drittel richtig zuordnen – peinlich nur, dass fast 30 Prozent der US-amerikanischen Umfrageteilnehmer der Meinung waren, dass Malware eine Art von Hardware wäre, die WLAN-Signale verstärkt. Vollkommen ahnungslos waren die Befragten bei den Begriffen Ransomware, Smishing (dem Phishing über SMS) und Vishing (Phishing über Video).
Am Anfang aller Abwehr steht die Erkenntnis
Dabei ist das Verständnis der Bedrohung schlechthin die Basis für die Gefahrenabwehr. Wie sollen sich IT-Administratoren Gehör für Sicherheitsbelange verschaffen, wenn die Anwender nicht wissen, wovon die Rede ist? Da gerade Malware und Ransomware bereits ausreichend von den Medien behandelt wurden, wäre eigentlich davon auszugehen, dass auch fachfremde Personen etwas mit diesen Begriffen anfangen können. Leider ist dem nicht so.
Bei den Maßnahmen, die Anwender ergreifen können, um sich gegen Cyberkriminalität zu schützen, ergibt sich ein vielschichtiges Bild. Nahezu sämtliche Umfrageteilnehmer, genauer gesagt 95 Prozent, nutzen ein Smartphone. Etwas weniger als die Hälfte der Befragten setzen ihre Mobilgeräte für private und berufliche Zwecke ein. Um diese Systeme zu schützen, verwenden immerhin 42 Prozent eine biometrische Sperre wie einen Fingerabdruckscanner. Fast ein Viertel verwenden eine vierstellige PIN. Allerdings verzichtet einer von zehn Anwendern gänzlich auf eine Entsperrmethode des mobilen Endgeräts, sodass auch andere darauf zugreifen könnten.
Nicht besonders gut informiert waren die Umfrageteilnehmer ferner bei der Nutzung von WLANs. Über ein Viertel meinten, dass die Nutzung öffentlicher Drahtlos-Netzwerke an vermeintlich vertrauenswürdigen Orten wie etwa Bahnhöfen und Flughäfen sicher ist. Dagegen sind nur 17 Prozent davon nicht überzeugt. Bei sich zu Hause haben 95 Prozent ein eigenes WLAN. Lediglich die Hälfte davon schützt ihr Netzwerk mit einem Passwort. Mit 45 Prozent haben fast ebenso viele den Namen ihres Netzwerks personalisiert. Doch nur 31 Prozent haben das Standardpasswort des WLAN-Routers geändert.
Passwörter sind und bleiben Schwachstellen
Ähnlich dürftig sieht es aus, wenn es um regelmäßige und notwendige Updates der Systemsoftware des Routers geht. Hier haben lediglich 19 Prozent die Firmware des WLAN-Routers überprüft beziehungsweise aktualisiert. Viele Befragte konnten oder wollten keine Sicherheitsmaßnahmen übernehmen. Bei 14 Prozent war die Kompetenz für die WLAN-Sicherheitsmaßnahmen nicht vorhanden und 11 Prozent fanden die Implementierung zu zeitaufwändig beziehungsweise unbequem.
Da davon auszugehen ist, dass diese Befragten auch in ihren Unternehmen mit einer ähnlich gelagerten Sorglosigkeit mit der unternehmenseigenen IT umgehen, sollten Administratoren hier ansetzen. Denn Anwender gehen oft von den falschen Voraussetzungen aus. So denken zwei Drittel der Befragten, dass eine Virenschutzlösung genügt, um dem Zugriff von Cyberkriminellen einen Riegel vorzuschieben. Knapp über die Hälfte meint sogar, dass ihre IT-Teams automatisch benachrichtigt werden, sollte sich auf ihrem beruflich genutzten Rechner ein Virus oder eine andere Malware eingenistet haben.
Auch bei der Verwendung von Kennwörtern sind viele Anwender nachlässig. In der Studie nutzten nur 23 Prozent einen Passwortmanager und lediglich jeder Dritte verwendet für neue Dienste ein bisher noch nicht genutztes Passwort. Weniger stark schützen sich 29 Prozent der Befragten mit dem Wechsel zwischen fünf und zehn Kennwörtern und schließlich sind da noch die 16 Prozent, die lediglich ein oder zwei Passwörter verwenden.
Firmennotebooks oft nicht nur vom legitimen Anwender genutzt
Hier sollten die Alarmglocken dann klingeln, wenn Angestellte unternehmenseigene Notebooks zusätzlich für ihre privaten Zwecke nutzen. Da können die beruflichen Anwendungen noch so stark geschützt sein, wenn Mitarbeiter ihre eigenen Anwendungen installieren und fragwürdige Internetseiten aufrufen, gefährdet dies die Unternehmens-IT. Dies gilt besonders, wenn Angestellte, wie etwa während der Coronakrise, im Home Office arbeiten. Denn wenn sie dort Familienmitgliedern Zugang zum Rechner gestatten, birgt dies weitere Risiken.
Einen bösen Willen darf man hier den Mitarbeitern nicht unterstellen, denn sie handeln oft arglos. Was sollte ihrer Meinung groß geschehen, wenn sie eine bestimmte Seite im Internet aufrufen oder mit sowohl geschäftlichen als auch privaten E-Mails sorglos umgehen? IT-Administratoren wissen natürlich, welche Gefahren lauern. Gegen Malware gibt es gute und geeignete Software. Doch dies ist nicht alles. Neben technischen Mitteln, die ihnen etwa beim Management der vom Anwender genutzten geschäftlichen Notebooks helfen, ist dem eigentlichen Problem auf den Grund zu gehen – dem Gefahrenbewusstsein der Mitarbeiter. So belegt der aktuelle Report des Ponemon Instituts, dass mehr 60 Prozent der durch Innentäter ausgelösten Sicherheitszwischenfälle auf die Fahrlässigkeit des Anwenders zurückzuführen sind.
Schulen, schulen, schulen
Dabei liegt zwar der Gedanke nahe, dass besonders Führungskräfte unter den gefährdeten Personen sind. Jedoch sind es besonders die Mitarbeiter, die mit sensiblen Fachaufgaben betraut sind und als "Very Attacked Persons" zu gelten haben. Beispiele dafür sind Mitarbeiter aus der Buchhaltung, dem Personalwesen oder Assistenten von Führungspersonen. Diese sollten identifiziert, besonders gut betreut und gegenüber Gefahren, die durch Cyberkriminalität entstehen, sensibilisiert werden.
Dies zu schärfen, ist ohne kontinuierliche und intensive Schulungsmaßnahmen kaum möglich. Denn ein, zwei Stunden Training einmal im Jahr sind nicht wirklich nachhaltig. Aus diesem Grund gilt es, die vermittelten Inhalte ständig zu erneuern und zu vertiefen. Und was wirkt nachhaltiger als ein praktisches Erlebnis? Ähnlich, wie alle Hinweise auf die berühmte heiße Herdplatte weniger wirken als eine kurze Berührung, hinterlassen praktische Erfahrungen einen bleibenden Eindruck. Hier können Trainer die Anwender anhand deren eigenen Verhalten sensibilisieren, indem sie eine Situation schaffen, die der realen Bedrohung ähnlich ist. Im Rahmen eines Fake-Angriffs stellen Trainer beispielsweise eine Phishing-Attacke nach und besprechen danach das Verhalten des Angestellten mit ihm.
Fazit
Nur das Zusammenspiel von Mensch und Technik, also die Sensibilisierung der Mitarbeiter in Kombination mit effizienten technischen Werkzeugen, reduzieren das Risiko für Unternehmen, Opfer von Cyberkriminellen zu werden. IT-Sicherheitsverantwortliche sollten daher auch darauf achten, den Faktor Mensch in ihren Sicherheitsstrategien und -taktiken angemessen zu berücksichtigen.
ln/Werner Thalmeier, VP EMEA Systems Engineering and Technical Sales bei Proofpoint
