Unabhängig davon, ob sie sich dessen bewusst sind oder nicht, können Mitarbeiter ein erhebliches Risiko für die Sicherheit von Unternehmensnetzwerken und deren gespeicherte Daten darstellen: Um Cyberkriminellen die Tür zu öffnen, reicht es, auf einen Link zu klicken oder eine Datei herunterzuladen, ohne zuvor zu prüfen, ob diese schädlich ist. Beschäftigte, die von zu Hause aus arbeiten und nicht an den Schreibtisch nebenan gehen können, um die Meinung zu einer verdächtig aussehenden E-Mail einzuholen, sind anfälliger für Social-Engineering-Angriffe.

CISOs müssen ihren Mitarbeitern vermitteln, welche Rolle sie bei der Sicherheit ihres Unternehmensnetzwerks spielen. Das Risiko unabsichtlicher Insider-Bedrohungen lässt sich dadurch reduzieren. Unabhängig von ihrer Position sollten alle Beschäftigten die Auswirkungen eines Sicherheitsereignisses verstehen und wissen, wie es das Unternehmen und sie persönlich beeinflussen kann. Denn aufmerksame Mitarbeiter funktionieren als menschliche Firewall und können Cyberbedrohungen abwehren. Die folgenden drei Maßnahmen eignen sich, um alle Mitarbeiter für eine unternehmensweite Sicherheitskultur zu motivieren:

Schulungen zur Cybersensibilisierung priorisieren

Weil sie funktionieren sind Social-Engineering-Angriffe in Unternehmen weit verbreitet. Laut des Data Breach Investigations Report 2019 von Verizon haben etwa ein Drittel aller Datenschutzverletzungen auf die eine oder andere Weise mit Phishing zu tun [1]. Um Mitarbeiter für dieses Risiko zu sensibilisieren, müssen CISOs über häufige Angriffsarten, wie Phishing, Spear-Phishing, Smishing oder andere Betrügereien im technischen Support aufklären. Mitarbeiter müssen die Bedrohungen sowie deren Warnsignale erkennen. Dies ist entscheidend, damit sie nicht Opfer gefälschter E-Mails oder bösartiger Websites werden. Das NSE-Schulungsinstitut von Fortinet bietet einen kostenlosen Schulungsservice für IT-Security-Awareness an, um Mitarbeiter über die zunehmenden Risiken von Cyberattacken und die Erkennung von Bedrohungen aufzuklären [2]. Zusätzlich sollten auch simulierte Phishing-Übungen Teil der Sensibilisierungsmaßnahmen sein. Sie dienen dazu, das Wissen zu testen und festzustellen, welche Mitarbeiter möglicherweise mehr Unterstützung benötigen.

Partnerschaft zwischen Sicherheitsteam und Abteilungen schaffen

Cybersicherheit kann nicht allein auf den Schultern der Sicherheits- und IT-Teams lasten. Während das Sicherheitsteam der Experte in Bezug auf die Risikobestimmung und die Bedrohungen ist, liegt es bei anderen Abteilungen, benutzerfreundliche Richtlinien zu entwickeln. Diese müssen sowohl im Büro als auch vom Remote-Arbeitsplatz aus leicht zu befolgen sein. Alle Personen müssen die Sicherheitsrichtlinien und bewährten Praktiken kennen. Mitarbeiter, die sich als Teil des Teams fühlen, vermeiden eher Verhaltensweisen, die zu den genannten Problemen führen. Beispielsweise achten sie stärker darauf, ihre Standardpasswörter zu ändern und sichere Passwörter zu nutzen. Je mehr Mitarbeiter diesem Beispiel folgen, desto stärker wird die menschliche Firewall, die als erste Verteidigungsfront des Unternehmens fungiert.

Eindeutige Best Practices festlegen

Nachdem die Mitarbeiter darüber aufgeklärt sind, worauf sie im Falle eines Social-Engineering-Angriffs achten müssen, benötigen sie eine Anleitung für das weitere Vorgehen. Eine verdächtig aussehende E-Mail ist einfach zu ignorieren oder zu löschen, aber was ist mit den normal erscheinenden E-Mails, bei denen Unsicherheit herrscht? In diesem Fall sollten CISOs ihre Mitarbeiter dazu ermutigen, sich konkrete Fragen zu stellen: Kenne ich den Absender? Habe ich diese E-Mail erwartet? Ruft diese E-Mail eine starke Emotion wie Aufregung oder Angst hervor? Werde ich dazu aufgefordert dringend zu handeln?

Die Empfänger sollten folgende Schritte unternehmen, um sich selbst und ihr Unternehmen zu schützen:

bevor auf einen Link geklickt wird, mit dem Mauszeiger darüber schweben, um zu sehen, ob er echt ist.
unerwartete Anhänge nicht öffnen, sondern stattdessen den Absender anrufen und überprüfen, ob er die E-Mail tatsächlich gesendet hat.
alle verdächtigen E-Mails dem IT- oder Sicherheitsteam melden.

Die aktive Aufklärung der Mitarbeiter hilft jedem CISO negative Auswirkungen zu vermeiden.

Schlussbemerkungen

CISOs legen den Grundstein für eine starke Sicherheitskultur, indem sie der Schulung aller Mitarbeiter und der Zusammenarbeit zwischen den Abteilungen und dem Security-Team Priorität einräumen. Verdächtiges Verhalten zu erkennen, Geräte auf dem neuesten Stand zu halten und sicheres Cyberverhalten zu üben, sollte in die Prozesse aller Aufgabenbereiche integriert werden, um zu gewährleisten, dass die menschliche Firewall funktioniert.

[1] https://ap-verlag.de/cyberkriminalitaet-angreifer-nehmen-fuehrungskraefte-ins-visier-warnt-der-data-breach-investigations-report-2019/52691/

[2] https://www.fortinet.com/training/infosec-awareness

93 Artikel zu „menschliche Firewall“

NEWS | DIGITALISIERUNG | GESCHÄFTSPROZESSE | IT-SECURITY | SERVICES | STRATEGIEN | TIPPS

Menschliche Firewall ist für die Abwehr von Social-Engineering-Angriffen unerlässlich

22. November 2018

Unternehmen unterschätzen vielfach die Gefahr von Social-Engineering-Angriffen und sind hierauf auch nur unzureichend vorbereitet – trotz aller Security-Kampagnen. Da die technischen Möglichkeiten bei den Abwehrmaßnahmen beschränkt sind, muss vor allem die »menschliche Firewall« gut funktionieren. Adäquate Security-Awareness-Trainings sind deshalb unverzichtbar. Social-Engineering-Angriffe liegen im Trend. Ein Grund dafür ist, dass Unternehmen in den letzten Jahren vielfach…