Schwachstelle Mensch: Mitarbeiter für den Datenschutz sensibilisieren

Viele Unternehmen kennen es: In der Theorie herrscht eine klare Regelung, wie die Vorgaben der DSGVO im eigenen Betrieb umgesetzt werden sollen. Doch in der Praxis sieht es häufig ganz anders aus. Selten gehen Mitarbeiter absichtlich fahrlässig mit sensiblen Daten um. Vielmehr fehlt ihnen vermeintlich die Zeit, sich genügend mit dem Thema auseinanderzusetzen, oder der Blick darauf, dass sie mit ihrem Verhalten gegen die DSGVO verstoßen. Aber genau diese Verstöße können dem Unternehmen im Ernstfall ein hohes Bußgeld einbringen. »Zwischen Theorie und Praxis herrscht häufig eine Diskrepanz – auch in Sachen Datenschutz. Daher müssen Führungskräfte ihre Mitarbeiter kontinuierlich damit konfrontieren und sensibilisieren«, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.

Vertrauen ist nicht immer gut

Moderne Unternehmenssoftware wird immer intelligenter und ist – vermeintlich – immer besser vor Hacker-Angriffen geschützt. Deswegen setzen Betrüger nun häufiger auf den Menschen als Schwachstelle. Eine Methode stellt das sogenannte Social Engineering dar, bei dem eine zwischenmenschliche Beeinflussung stattfindet, mit dem Ziel, bestimmte Verhaltensweisen bei Personen hervorzurufen und so an vertrauliche Informationen zu gelangen. Social Engineers täuschen dafür Identitäten vor und geben sich etwa als Techniker oder Führungskraft aus, um so geheime Unternehmensinformationen oder persönliche Passwörter abzufragen. »Mitarbeiter sollten daher E-Mails und Anrufen von unbekannten Personen skeptisch gegenüberstehen und vertrauliche Daten nicht einfach weitergeben«, rät Hösel.

Gefährliche E-Mails

Im Gegensatz zum wesentlich individuelleren Social Engineering stellen aber auch Phishing-Mails eine Gefahr dar. Kriminelle bringen dabei E-Mail-Empfänger entweder durch einen Trick dazu, ihre Daten freiwillig weiterzugeben, oder nutzen Spyware, die heimlich im Hintergrund Daten ausspioniert. Das Kunstwort Phishing leitet sich aus den englischen Begriffen »password« und »fishing« ab. Zwar glauben viele Menschen, dafür unempfänglich zu sein, dennoch erfreut sich diese Methode nicht ohne Grund bereits seit Jahren großer Beliebtheit unter Betrügern. Mittlerweile stellt es sich als immer schwieriger heraus, eine falsche E-Mail als solche zu erkennen, da Kriminelle immer bessere Methoden entwickelt haben, um an die Daten von Nutzern zu kommen. Sie verwenden beispielsweise E-Mailadressen, die ähnlich aussehen wie die bekannter Nutzer, sich aber doch marginal unterscheiden. Beim sogenannten Pharming setzen sich Hacker zwischen Anwender und Originalwebsite, sodass dieser selbst mit korrekt eingegebener Internetadresse eine gefälschte Webseite aufruft und dort sensible Daten preisgibt. »In diesem Fall bietet es sich vor allem an, immer spezielle Schutzprogramme auf den Endgeräten zu installieren und diese regelmäßig zu aktualisieren«, meint Hösel. Bei E-Mails, die sie verunsichern oder auch nur einen kleinen Funken des Zweifels hervorrufen, sollten Mitarbeiter zuerst innehalten und reflektieren und sich im Zweifel lieber telefonisch beim betreffenden Kunden oder Dienstleister erkundigen.

Sichere Passwörter

Auch wenn wahrscheinlich jeder davon gehört hat, dass ein sicheres Passwort aus mindestens acht Zeichen, darunter Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen, bestehen soll, stellen sie noch immer eine große Sicherheitslücke in Unternehmen dar. Mitarbeiter verwenden oftmals über Jahre hinweg stets dieselben Passwörter, die häufig aus simplen Zahlenfolgen wie 123456 oder den auf der Tastatur nebeneinanderliegenden Buchstaben QWERT bestehen. Auch Textdateien, die alle relevanten Logins des Unternehmens auflisten und auf den Rechnern der Mitarbeiter gespeichert sind oder ausgedruckt auf dem Schreibtisch liegen, stellen ein leichtes Ziel für Betrüger dar. Da sich die meisten Menschen aber die Vielzahl unterschiedlicher und möglichst komplizierter Passwörter nicht merken können, bieten sich sogenannte Passwort-Manager an. Sie erzeugen und speichern sichere Passwörter verschlüsselt und füllen sie automatisch beim Login aus. »Wir bieten einen speziellen Passwort-Generator, der so groß wie eine Scheckkarte ist, und es den Mitarbeitern ermöglicht auf einfache Weise hoch komplexe Passwörter zu generieren, die sie sich dennoch einfach merken können.«, so Hösel

In den Alltag integrieren

Generell gilt für jedes Unternehmen, das mit personenbezogenen oder -beziehbaren Daten umgeht, die technischen und organisatorischen Maßnahmen, die es zum Schutz dieser Daten ergreift, festzulegen und zu dokumentieren. Zu den technischen Maßnahmen zählen viele physische Verfahrensweisen, wie der Schutz des Unternehmensgebäudes, zum Beispiel durch ein Schloss. Eine organisatorische Maßnahme wäre in diesem Falle, die Schlüsselausgabe zu dokumentieren. Doch auch im Alltag sollten Führungskräfte ihre Mitarbeiter an datenschutzkonformes Verhalten erinnern. So sollte es eigentlich als selbstverständlich gelten, dass sensible Daten wie Personalunterlagen nicht offen auf dem Schreibtisch liegen. Hösel rät ebenfalls: »Es empfiehlt sich, laute Telefonate über sensible Firmendaten in der Öffentlichkeit möglichst zu vermeiden und bei der Nutzung von Dienstlaptops unterwegs Blickschutzfilter zu verwenden.« Führungskräften kommt bei der Einhaltung der DSGVO eine besondere Bedeutung zu. Es genügt nicht, Mitarbeitern bloß das Handwerkszeug zur Verfügung zu stellen. Stattdessen gilt es über die Wichtigkeit des Datenschutzes aufzuklären, selbst wenn vieles dabei auf den ersten Blick als selbstverständlich erscheint. Regelmäßige Schulungen schaffen hier ein allgemeines Bewusstsein.

Weitere Informationen unter www.hubit.de

 

626 Artikel zu „Schwachstelle Mensch“

Datenklau durch Manipulation – Social Engineers nutzen die »Schwachstelle Mensch«

Es gibt viele verschiedene Methoden, mit denen Hacker versuchen an sensible Daten von Unternehmen, staatlichen Behörden oder Privatpersonen zu gelangen. Nicht immer setzen Betrüger auf rein technische Mittel wie das Hacken von IT-Systemen, sondern manchmal auch ganz gezielt auf die Vertrauenswürdigkeit ihrer Mitmenschen – wie beispielsweise der aus dem Hollywoodfilm »Catch Me If You Can«…

Social Engineering nutzt »Schwachstelle Mensch« – Mitarbeiter für Unternehmensresilienz

Sensibilisierung durch Security-Awareness-Kampagnen fördert die Widerstandskraft beim »Faktor Mensch« im Unternehmen. Die Beeinflussung des Mitarbeiters, um dadurch beispielsweise an vertrauliche Informationen zu gelangen – diesem Prinzip folgt das Social Engineering. Cyberkriminelle nutzen dabei den Menschen als vermeintlich schwächstes Glied im Sicherheitskonstrukt eines Unternehmens aus. Zur Cybersicherheit ist es daher neben der Absicherung der Technologien und…

IBM X-Force Halbjahresreport: Schwachstelle Mensch

Mangelnde Vorsicht ist die größte Schwachstelle bei Cyber-Attacken / zwölf Prozent mehr Vorfälle Licht und Schatten gleichermaßen zeigt der aktuelle X-Force Report der IBM: Einerseits nutzen immer mehr Unternehmen intelligente Analysen, um sich erfolgreich gegen Cyber-Attacken zur Wehr zu setzen, andererseits steigt die Quote menschlichen Fehlverhaltens als Ursache für deren Erfolg. Laut aktuellem IBM Cyber…

99 Prozent aller Cyberangriffe setzen auf den Menschen als Schwachstelle

Im »Human Factor Reports« wird die Art und Weise näher beleuchtet, wie Cyberkriminelle Menschen anstatt technischer Systeme und Infrastrukturen auszunutzen versuchen, um Malware zu verbreiten, betrügerische Transaktionen anzustoßen, Daten zu stehlen und sich durch weitere Arten des Betrugs zu bereichern. Mit dem Bericht will Proofpoint Angriffstrends aufzeigen, um Unternehmen und Mitarbeiter dabei zu unterstützen, sich…

Droht die zweite Welle? Die Verunsicherung der Menschen steigt weltweit wieder

Während Regierungen auf der ganzen Welt versuchen, die Wirtschaft in ihren Ländern wieder anzukurbeln, steigt die Verunsicherung der Menschen vielerorts wieder an. Die Beteuerungen von staatlicher Seite, dass die Lockerungsmaßnahmen sicher und vertretbar seien, reichen bei vielen Bürger*innen nicht für eine Rückkehr zum normalen Leben aus. Die siebte Welle des globalen Covid-19-Barometers von Kantar in…

CASB-Studie zeigt Schwachstellen in der IT-Security auf

Die Cloud Security Alliance (CSA), Organisation für die Definition von Standards, Zertifizierungen und Best Practices zur Gewährleistung des sicheren Cloud-Computings, veröffentlicht die Ergebnisse ihrer neuesten Umfrage. Im Rahmen der Studie »The Evolution of the CASB« wurden mehr als 200 IT- und Sicherheitsexperten aus einer Vielzahl von Ländern und verantwortlich für Unternehmen verschiedenster Größen befragt. Ziel…

Anwendungssicherheit: Kombination aus Mensch und Technik

2020 brachte zahlreiche Herausforderungen für Unternehmen. Viele Arbeitnehmer mussten aufgrund der COVID-19-Pandemie über Nacht von Zuhause arbeiten. Sie benötigen daher sichere Arbeitsumgebungen, die gleichzeitig den Zugang zu allen relevanten Anwendungen ermöglichen. Der Verizon 2020 Data Breach Investigations Report zeigte nun, dass Cyberkriminelle diese Umstellung ausnutzen, um neue Wege zu finden, Anwendungen anzugreifen. Um dies zu…

Schutz kritischer Infrastruktur erfordert menschliche und künstliche Intelligenz

»Insight the Mind of a Hacker 2020« bietet einen Überblick über den Status Quo der internationalen ethischen Hacker-Gemeinschaft. Bugcrowd stellte die Ergebnisse der Studie »Inside the Mind of a Hacker 2020« vor [1]. Demnach spielen Kreativität und Einfallsreichtum eine wichtige Rolle, um kriminell motivierten Hackern den entscheidenden Schritt voraus zu sein. So reicht für 78…

Führungskräfte der Chefetage sind eine Schwachstelle in der mobilen Sicherheit von Unternehmen

74 % der IT-Entscheidungsträger geben an, dass C-Level-Entscheider am ehesten lockere mobile Sicherheitsrichtlinien fordern, obwohl sie stark von Cyberangriffen betroffen sind.   MobileIron veröffentlichte die Ergebnisse seiner »Trouble at the Top«-Studie. Aus der Umfrage geht hervor, dass die C-Suite die Gruppe innerhalb einer Organisation ist, die am ehesten lockere mobile Sicherheitsrichtlinien fordert (74 %) –…

70 Prozent aller Anwendungen haben Open-Source-Schwachstellen

Fehlerhafte Bibliotheken landen auf indirektem Wege im Code. Einsatz von PHP-Bibliotheken führt mit über 50-prozentiger Wahrscheinlichkeit zu fehlerhaftem Code. JavaScript und Ruby haben besonders große Angriffsflächen.   Der neue »State of Software Security (SoSS): Open Source Edition«-Report zum Thema Sicherheit in Open-Source-Software von Veracode zeigt unter anderem auf, dass 70 Prozent aller gescannten Anwendungen mindestens…

Diese Schwachstellen sollten Unternehmen zum Schutz mobiler Mitarbeiter finden und beheben

Die weltweite Reaktion auf Covid-19 hat die Angriffsfläche in Unternehmen erweitert, da viele Mitarbeiter derzeit von zuhause arbeiten. Damit der Fernzugriff für alle Kollegen geschützt ist, sollten diese kritischen Sicherheitslücken unbedingt identifiziert, priorisiert und behoben werden.   Die Bedeutung des CVSS Das Common Vulnerability Scoring System (CVSS) ist der branchenweit anerkannte Standard, der bewertet, wie…

Menschlichen Fehlern vorbeugen: Wie IT-Infrastrukturen Human Nature Proof werden

Cyberangriffe nehmen weltweit zu. Laut dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik waren zuletzt 114 Millionen neue Schadprogramm-Varianten im Umlauf [1]. Unternehmen bleiben von diesen nicht unverschont und die Schäden erfolgreicher Attacken gehen schnell in die Millionen. Um diesen vorzubeugen, sind Schutzmaßnahmen zwingend erforderlich. Da Fehler menschlich sind, sind moderne und effektive IT-Schutzmechanismen unerlässlich, um das notwendige Maß an Sicherheit gewährleisten zu können. Wie IT-Infrastrukturen Human Nature Proof bleiben, zeigen Best Practices.

Change Management: Bei der Digitalisierung kommt es auf die Menschen an

8 von 10 Unternehmen erwarten von Mitarbeitern allgemeine Digitalkompetenz. Unternehmen setzen verstärkt auf Change Management und agile Methoden.   Bei der Digitalisierung rückt in deutschen Unternehmen immer öfter neben dem Einsatz neuer Technologien die Gestaltung der notwendigen Veränderungsprozesse in den Mittelpunkt. So setzt aktuell rund jedes zweite Unternehmen (47 Prozent) mit 100 oder mehr Mitarbeitern…

Cybersicherheit: 1.440 einmalige Schwachstellen pro Unternehmen

Cyberkriminelle setzten 2018 vermehrt auf Kryptojacking. Mehr als die Hälfte der Cyberangriffe waren keine Malware-basierten Angriffe; Zahl der Attacken auf geschäftliche E-Mail-Adressen gestiegen.   IBM Security gibt die Ergebnisse des X-Force Threat Intelligence Index 2019 bekannt: Erhöhte Sicherheitsmaßnahmen und ein gestiegenes Bewusstsein gegenüber Cyberangriffen zwingen Cyberkriminelle dazu, ihre Angriffstechniken auf der Suche nach Profit zu…

Menschliche Firewall ist für die Abwehr von Social-Engineering-Angriffen unerlässlich

Unternehmen unterschätzen vielfach die Gefahr von Social-Engineering-Angriffen und sind hierauf auch nur unzureichend vorbereitet – trotz aller Security-Kampagnen. Da die technischen Möglichkeiten bei den Abwehrmaßnahmen beschränkt sind, muss vor allem die »menschliche Firewall« gut funktionieren. Adäquate Security-Awareness-Trainings sind deshalb unverzichtbar. Social-Engineering-Angriffe liegen im Trend. Ein Grund dafür ist, dass Unternehmen in den letzten Jahren vielfach…

Schwachstellen »Meltdown« und »Spectre« und die Handlungsempfehlungen für Industrie 4.0

  Die Sicherheitslücken »Meltdown« und »Spectre« gefährden flächendeckend die Zukunft der Industrie 4.0. Unternehmen benötigen eine umfassende Defense-In-Depth-Strategie, um ihre Netzwerke gegen die Ausnutzung der Schwachstellen zu sichern. Mit einer industriellen Anomalieerkennung können Unternehmen jederzeit Angriffe im Zusammenhang mit bekannt gewordenen Schwachstellen erkennen.   Das Bekanntwerden der strukturellen Schwachstellen »Meltdown« und »Spectre« in nahezu allen…

Menschenrecht der Privatsphäre wirkt sich auf viele Geschäftsmodelle aus

Hermann Wimmer, General Manager bei ForgeRock, definiert drei Trends im Bereich Identität in Bezug auf die kommende Datenschutz-Grundverordnung, das Internet der Dinge und PSD2.   Bild: Hermann Wimmer General Manager bei ForgeRock Datenschutz-Grundverordnung (DSGVO) bietet Unternehmen Wettbewerbsvorteile: Mehr Vertrauen durch direkten Zugriff auf eigene persönlichen Daten Die Datenschutz-Grundverordnung (DSGVO), deren Umsetzungsfrist im Mai 2018 endet,…

Der Faktor Mensch: Das Nutzerverhalten bei Cyberangriffen

In der jährlich durchgeführten Untersuchung »The Human Factor« geht es um die Rolle der Menschen und deren Verhalten bei Cyberattacken sowie um interessante Muster, die sich aus den Angriffen herausarbeiten lassen [1]. Wichtigstes Ergebnis: Cyberkriminelle fokussieren sich immer stärker auf menschliches Fehlverhalten anstatt auf technische Fehler, um an Geld, persönliche Daten oder geistiges Eigentum zu…