Viele Unternehmen kennen es: In der Theorie herrscht eine klare Regelung, wie die Vorgaben der DSGVO im eigenen Betrieb umgesetzt werden sollen. Doch in der Praxis sieht es häufig ganz anders aus. Selten gehen Mitarbeiter absichtlich fahrlässig mit sensiblen Daten um. Vielmehr fehlt ihnen vermeintlich die Zeit, sich genügend mit dem Thema auseinanderzusetzen, oder der Blick darauf, dass sie mit ihrem Verhalten gegen die DSGVO verstoßen. Aber genau diese Verstöße können dem Unternehmen im Ernstfall ein hohes Bußgeld einbringen. »Zwischen Theorie und Praxis herrscht häufig eine Diskrepanz – auch in Sachen Datenschutz. Daher müssen Führungskräfte ihre Mitarbeiter kontinuierlich damit konfrontieren und sensibilisieren«, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.
Vertrauen ist nicht immer gut
Moderne Unternehmenssoftware wird immer intelligenter und ist – vermeintlich – immer besser vor Hacker-Angriffen geschützt. Deswegen setzen Betrüger nun häufiger auf den Menschen als Schwachstelle. Eine Methode stellt das sogenannte Social Engineering dar, bei dem eine zwischenmenschliche Beeinflussung stattfindet, mit dem Ziel, bestimmte Verhaltensweisen bei Personen hervorzurufen und so an vertrauliche Informationen zu gelangen. Social Engineers täuschen dafür Identitäten vor und geben sich etwa als Techniker oder Führungskraft aus, um so geheime Unternehmensinformationen oder persönliche Passwörter abzufragen. »Mitarbeiter sollten daher E-Mails und Anrufen von unbekannten Personen skeptisch gegenüberstehen und vertrauliche Daten nicht einfach weitergeben«, rät Hösel.
Gefährliche E-Mails
Im Gegensatz zum wesentlich individuelleren Social Engineering stellen aber auch Phishing-Mails eine Gefahr dar. Kriminelle bringen dabei E-Mail-Empfänger entweder durch einen Trick dazu, ihre Daten freiwillig weiterzugeben, oder nutzen Spyware, die heimlich im Hintergrund Daten ausspioniert. Das Kunstwort Phishing leitet sich aus den englischen Begriffen »password« und »fishing« ab. Zwar glauben viele Menschen, dafür unempfänglich zu sein, dennoch erfreut sich diese Methode nicht ohne Grund bereits seit Jahren großer Beliebtheit unter Betrügern. Mittlerweile stellt es sich als immer schwieriger heraus, eine falsche E-Mail als solche zu erkennen, da Kriminelle immer bessere Methoden entwickelt haben, um an die Daten von Nutzern zu kommen. Sie verwenden beispielsweise E-Mailadressen, die ähnlich aussehen wie die bekannter Nutzer, sich aber doch marginal unterscheiden. Beim sogenannten Pharming setzen sich Hacker zwischen Anwender und Originalwebsite, sodass dieser selbst mit korrekt eingegebener Internetadresse eine gefälschte Webseite aufruft und dort sensible Daten preisgibt. »In diesem Fall bietet es sich vor allem an, immer spezielle Schutzprogramme auf den Endgeräten zu installieren und diese regelmäßig zu aktualisieren«, meint Hösel. Bei E-Mails, die sie verunsichern oder auch nur einen kleinen Funken des Zweifels hervorrufen, sollten Mitarbeiter zuerst innehalten und reflektieren und sich im Zweifel lieber telefonisch beim betreffenden Kunden oder Dienstleister erkundigen.
Sichere Passwörter
Auch wenn wahrscheinlich jeder davon gehört hat, dass ein sicheres Passwort aus mindestens acht Zeichen, darunter Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen, bestehen soll, stellen sie noch immer eine große Sicherheitslücke in Unternehmen dar. Mitarbeiter verwenden oftmals über Jahre hinweg stets dieselben Passwörter, die häufig aus simplen Zahlenfolgen wie 123456 oder den auf der Tastatur nebeneinanderliegenden Buchstaben QWERT bestehen. Auch Textdateien, die alle relevanten Logins des Unternehmens auflisten und auf den Rechnern der Mitarbeiter gespeichert sind oder ausgedruckt auf dem Schreibtisch liegen, stellen ein leichtes Ziel für Betrüger dar. Da sich die meisten Menschen aber die Vielzahl unterschiedlicher und möglichst komplizierter Passwörter nicht merken können, bieten sich sogenannte Passwort-Manager an. Sie erzeugen und speichern sichere Passwörter verschlüsselt und füllen sie automatisch beim Login aus. »Wir bieten einen speziellen Passwort-Generator, der so groß wie eine Scheckkarte ist, und es den Mitarbeitern ermöglicht auf einfache Weise hoch komplexe Passwörter zu generieren, die sie sich dennoch einfach merken können.«, so Hösel
In den Alltag integrieren
Generell gilt für jedes Unternehmen, das mit personenbezogenen oder -beziehbaren Daten umgeht, die technischen und organisatorischen Maßnahmen, die es zum Schutz dieser Daten ergreift, festzulegen und zu dokumentieren. Zu den technischen Maßnahmen zählen viele physische Verfahrensweisen, wie der Schutz des Unternehmensgebäudes, zum Beispiel durch ein Schloss. Eine organisatorische Maßnahme wäre in diesem Falle, die Schlüsselausgabe zu dokumentieren. Doch auch im Alltag sollten Führungskräfte ihre Mitarbeiter an datenschutzkonformes Verhalten erinnern. So sollte es eigentlich als selbstverständlich gelten, dass sensible Daten wie Personalunterlagen nicht offen auf dem Schreibtisch liegen. Hösel rät ebenfalls: »Es empfiehlt sich, laute Telefonate über sensible Firmendaten in der Öffentlichkeit möglichst zu vermeiden und bei der Nutzung von Dienstlaptops unterwegs Blickschutzfilter zu verwenden.« Führungskräften kommt bei der Einhaltung der DSGVO eine besondere Bedeutung zu. Es genügt nicht, Mitarbeitern bloß das Handwerkszeug zur Verfügung zu stellen. Stattdessen gilt es über die Wichtigkeit des Datenschutzes aufzuklären, selbst wenn vieles dabei auf den ersten Blick als selbstverständlich erscheint. Regelmäßige Schulungen schaffen hier ein allgemeines Bewusstsein.
Weitere Informationen unter www.hubit.de
626 Artikel zu „Schwachstelle Mensch“
NEWS | IT-SECURITY | TIPPS
Datenklau durch Manipulation – Social Engineers nutzen die »Schwachstelle Mensch«
Es gibt viele verschiedene Methoden, mit denen Hacker versuchen an sensible Daten von Unternehmen, staatlichen Behörden oder Privatpersonen zu gelangen. Nicht immer setzen Betrüger auf rein technische Mittel wie das Hacken von IT-Systemen, sondern manchmal auch ganz gezielt auf die Vertrauenswürdigkeit ihrer Mitmenschen – wie beispielsweise der aus dem Hollywoodfilm »Catch Me If You Can«…
NEWS | IT-SECURITY | SERVICES
Social Engineering nutzt »Schwachstelle Mensch« – Mitarbeiter für Unternehmensresilienz
Sensibilisierung durch Security-Awareness-Kampagnen fördert die Widerstandskraft beim »Faktor Mensch« im Unternehmen. Die Beeinflussung des Mitarbeiters, um dadurch beispielsweise an vertrauliche Informationen zu gelangen – diesem Prinzip folgt das Social Engineering. Cyberkriminelle nutzen dabei den Menschen als vermeintlich schwächstes Glied im Sicherheitskonstrukt eines Unternehmens aus. Zur Cybersicherheit ist es daher neben der Absicherung der Technologien und…
NEWS
IBM X-Force Halbjahresreport: Schwachstelle Mensch
Mangelnde Vorsicht ist die größte Schwachstelle bei Cyber-Attacken / zwölf Prozent mehr Vorfälle Licht und Schatten gleichermaßen zeigt der aktuelle X-Force Report der IBM: Einerseits nutzen immer mehr Unternehmen intelligente Analysen, um sich erfolgreich gegen Cyber-Attacken zur Wehr zu setzen, andererseits steigt die Quote menschlichen Fehlverhaltens als Ursache für deren Erfolg. Laut aktuellem IBM Cyber…
NEWS | BUSINESS | TRENDS SECURITY | TRENDS 2019 | IT-SECURITY
99 Prozent aller Cyberangriffe setzen auf den Menschen als Schwachstelle
Im »Human Factor Reports« wird die Art und Weise näher beleuchtet, wie Cyberkriminelle Menschen anstatt technischer Systeme und Infrastrukturen auszunutzen versuchen, um Malware zu verbreiten, betrügerische Transaktionen anzustoßen, Daten zu stehlen und sich durch weitere Arten des Betrugs zu bereichern. Mit dem Bericht will Proofpoint Angriffstrends aufzeigen, um Unternehmen und Mitarbeiter dabei zu unterstützen, sich…
NEWS | TRENDS 2020 | BUSINESS | TRENDS WIRTSCHAFT
Droht die zweite Welle? Die Verunsicherung der Menschen steigt weltweit wieder
Während Regierungen auf der ganzen Welt versuchen, die Wirtschaft in ihren Ländern wieder anzukurbeln, steigt die Verunsicherung der Menschen vielerorts wieder an. Die Beteuerungen von staatlicher Seite, dass die Lockerungsmaßnahmen sicher und vertretbar seien, reichen bei vielen Bürger*innen nicht für eine Rückkehr zum normalen Leben aus. Die siebte Welle des globalen Covid-19-Barometers von Kantar in…
NEWS | TRENDS SECURITY | CLOUD COMPUTING | TRENDS CLOUD COMPUTING | WHITEPAPER
CASB-Studie zeigt Schwachstellen in der IT-Security auf
Die Cloud Security Alliance (CSA), Organisation für die Definition von Standards, Zertifizierungen und Best Practices zur Gewährleistung des sicheren Cloud-Computings, veröffentlicht die Ergebnisse ihrer neuesten Umfrage. Im Rahmen der Studie »The Evolution of the CASB« wurden mehr als 200 IT- und Sicherheitsexperten aus einer Vielzahl von Ländern und verantwortlich für Unternehmen verschiedenster Größen befragt. Ziel…
NEWS | IT-SECURITY
Anwendungssicherheit: Kombination aus Mensch und Technik
2020 brachte zahlreiche Herausforderungen für Unternehmen. Viele Arbeitnehmer mussten aufgrund der COVID-19-Pandemie über Nacht von Zuhause arbeiten. Sie benötigen daher sichere Arbeitsumgebungen, die gleichzeitig den Zugang zu allen relevanten Anwendungen ermöglichen. Der Verizon 2020 Data Breach Investigations Report zeigte nun, dass Cyberkriminelle diese Umstellung ausnutzen, um neue Wege zu finden, Anwendungen anzugreifen. Um dies zu…
NEWS | TRENDS 2020 | TRENDS SECURITY | IT-SECURITY
Schutz kritischer Infrastruktur erfordert menschliche und künstliche Intelligenz
»Insight the Mind of a Hacker 2020« bietet einen Überblick über den Status Quo der internationalen ethischen Hacker-Gemeinschaft. Bugcrowd stellte die Ergebnisse der Studie »Inside the Mind of a Hacker 2020« vor [1]. Demnach spielen Kreativität und Einfallsreichtum eine wichtige Rolle, um kriminell motivierten Hackern den entscheidenden Schritt voraus zu sein. So reicht für 78…
NEWS | TRENDS 2020 | TRENDS SECURITY | IT-SECURITY
Führungskräfte der Chefetage sind eine Schwachstelle in der mobilen Sicherheit von Unternehmen
74 % der IT-Entscheidungsträger geben an, dass C-Level-Entscheider am ehesten lockere mobile Sicherheitsrichtlinien fordern, obwohl sie stark von Cyberangriffen betroffen sind. MobileIron veröffentlichte die Ergebnisse seiner »Trouble at the Top«-Studie. Aus der Umfrage geht hervor, dass die C-Suite die Gruppe innerhalb einer Organisation ist, die am ehesten lockere mobile Sicherheitsrichtlinien fordert (74 %) –…
NEWS | TRENDS 2020 | TRENDS SERVICES | SERVICES
70 Prozent aller Anwendungen haben Open-Source-Schwachstellen
Fehlerhafte Bibliotheken landen auf indirektem Wege im Code. Einsatz von PHP-Bibliotheken führt mit über 50-prozentiger Wahrscheinlichkeit zu fehlerhaftem Code. JavaScript und Ruby haben besonders große Angriffsflächen. Der neue »State of Software Security (SoSS): Open Source Edition«-Report zum Thema Sicherheit in Open-Source-Software von Veracode zeigt unter anderem auf, dass 70 Prozent aller gescannten Anwendungen mindestens…
NEWS | IT-SECURITY | TIPPS
Diese Schwachstellen sollten Unternehmen zum Schutz mobiler Mitarbeiter finden und beheben
Die weltweite Reaktion auf Covid-19 hat die Angriffsfläche in Unternehmen erweitert, da viele Mitarbeiter derzeit von zuhause arbeiten. Damit der Fernzugriff für alle Kollegen geschützt ist, sollten diese kritischen Sicherheitslücken unbedingt identifiziert, priorisiert und behoben werden. Die Bedeutung des CVSS Das Common Vulnerability Scoring System (CVSS) ist der branchenweit anerkannte Standard, der bewertet, wie…
NEWS | IT-SECURITY | AUSGABE 3-4-2020 | SECURITY SPEZIAL 3-4-2020
Menschlichen Fehlern vorbeugen: Wie IT-Infrastrukturen Human Nature Proof werden
Cyberangriffe nehmen weltweit zu. Laut dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik waren zuletzt 114 Millionen neue Schadprogramm-Varianten im Umlauf [1]. Unternehmen bleiben von diesen nicht unverschont und die Schäden erfolgreicher Attacken gehen schnell in die Millionen. Um diesen vorzubeugen, sind Schutzmaßnahmen zwingend erforderlich. Da Fehler menschlich sind, sind moderne und effektive IT-Schutzmechanismen unerlässlich, um das notwendige Maß an Sicherheit gewährleisten zu können. Wie IT-Infrastrukturen Human Nature Proof bleiben, zeigen Best Practices.
NEWS | INFRASTRUKTUR | STRATEGIEN | AUSGABE 11-12-2019
Mensch-Maschine-Schnittstelle –
Die letzteN GrenzeN
NEWS | TRENDS WIRTSCHAFT | DIGITALISIERUNG | TRENDS KOMMUNIKATION | FAVORITEN DER REDAKTION | TRENDS 2019 | KOMMUNIKATION
Change Management: Bei der Digitalisierung kommt es auf die Menschen an
8 von 10 Unternehmen erwarten von Mitarbeitern allgemeine Digitalkompetenz. Unternehmen setzen verstärkt auf Change Management und agile Methoden. Bei der Digitalisierung rückt in deutschen Unternehmen immer öfter neben dem Einsatz neuer Technologien die Gestaltung der notwendigen Veränderungsprozesse in den Mittelpunkt. So setzt aktuell rund jedes zweite Unternehmen (47 Prozent) mit 100 oder mehr Mitarbeitern…
NEWS | FAVORITEN DER REDAKTION | SERVICES | STRATEGIEN | AUSGABE 9-10-2019
Faktor Mensch – Speed-Dating im Sourcing
NEWS | BLOCKCHAIN | TRENDS WIRTSCHAFT | TRENDS SECURITY | TRENDS 2019 | IT-SECURITY
Cybersicherheit: 1.440 einmalige Schwachstellen pro Unternehmen
Cyberkriminelle setzten 2018 vermehrt auf Kryptojacking. Mehr als die Hälfte der Cyberangriffe waren keine Malware-basierten Angriffe; Zahl der Attacken auf geschäftliche E-Mail-Adressen gestiegen. IBM Security gibt die Ergebnisse des X-Force Threat Intelligence Index 2019 bekannt: Erhöhte Sicherheitsmaßnahmen und ein gestiegenes Bewusstsein gegenüber Cyberangriffen zwingen Cyberkriminelle dazu, ihre Angriffstechniken auf der Suche nach Profit zu…
NEWS | DIGITALISIERUNG | GESCHÄFTSPROZESSE | IT-SECURITY | SERVICES | STRATEGIEN | TIPPS
Menschliche Firewall ist für die Abwehr von Social-Engineering-Angriffen unerlässlich
Unternehmen unterschätzen vielfach die Gefahr von Social-Engineering-Angriffen und sind hierauf auch nur unzureichend vorbereitet – trotz aller Security-Kampagnen. Da die technischen Möglichkeiten bei den Abwehrmaßnahmen beschränkt sind, muss vor allem die »menschliche Firewall« gut funktionieren. Adäquate Security-Awareness-Trainings sind deshalb unverzichtbar. Social-Engineering-Angriffe liegen im Trend. Ein Grund dafür ist, dass Unternehmen in den letzten Jahren vielfach…
NEWS | BUSINESS PROCESS MANAGEMENT | DIGITALISIERUNG | INDUSTRIE 4.0 | IT-SECURITY | STRATEGIEN | TIPPS
Schwachstellen »Meltdown« und »Spectre« und die Handlungsempfehlungen für Industrie 4.0
Die Sicherheitslücken »Meltdown« und »Spectre« gefährden flächendeckend die Zukunft der Industrie 4.0. Unternehmen benötigen eine umfassende Defense-In-Depth-Strategie, um ihre Netzwerke gegen die Ausnutzung der Schwachstellen zu sichern. Mit einer industriellen Anomalieerkennung können Unternehmen jederzeit Angriffe im Zusammenhang mit bekannt gewordenen Schwachstellen erkennen. Das Bekanntwerden der strukturellen Schwachstellen »Meltdown« und »Spectre« in nahezu allen…
NEWS | TRENDS SECURITY | BUSINESS PROCESS MANAGEMENT | TRENDS KOMMUNIKATION | GESCHÄFTSPROZESSE | TRENDS 2018 | INTERNET DER DINGE | IT-SECURITY | KOMMUNIKATION
Menschenrecht der Privatsphäre wirkt sich auf viele Geschäftsmodelle aus
Hermann Wimmer, General Manager bei ForgeRock, definiert drei Trends im Bereich Identität in Bezug auf die kommende Datenschutz-Grundverordnung, das Internet der Dinge und PSD2. Bild: Hermann Wimmer General Manager bei ForgeRock Datenschutz-Grundverordnung (DSGVO) bietet Unternehmen Wettbewerbsvorteile: Mehr Vertrauen durch direkten Zugriff auf eigene persönlichen Daten Die Datenschutz-Grundverordnung (DSGVO), deren Umsetzungsfrist im Mai 2018 endet,…
NEWS | BUSINESS | TRENDS SECURITY | DIGITALISIERUNG | TRENDS 2017 | INFOGRAFIKEN | IT-SECURITY | TIPPS
Der Faktor Mensch: Das Nutzerverhalten bei Cyberangriffen
In der jährlich durchgeführten Untersuchung »The Human Factor« geht es um die Rolle der Menschen und deren Verhalten bei Cyberattacken sowie um interessante Muster, die sich aus den Angriffen herausarbeiten lassen [1]. Wichtigstes Ergebnis: Cyberkriminelle fokussieren sich immer stärker auf menschliches Fehlverhalten anstatt auf technische Fehler, um an Geld, persönliche Daten oder geistiges Eigentum zu…