Security Awareness

Menschliche Firewall als Schutzring

Mobile Endgeräte haben die Idee eines festen zugunsten eines virtuellen Arbeitsplatzes aufgelöst. Die Arbeit kann fortan im Café, Zug, Flugzeug oder von zuhause aus erledigt werden. Zugleich zwingt diese Entwicklung die Unternehmen dazu, sowohl ihre IT-Infrastrukturen als auch ihre Sicherheitsmaßnahmen anzupassen.

Menschen halten sich an den Händen

Die sozialen Medien sind zu einem lukrativen Jagdrevier für Hacker geworden – umso wichtiger ist es, die Mitarbeiter zu schulen.

Bedenklich ist, dass sich die Technologien schneller entwickelt haben als die verfügbaren Mechanismen zum Schutz dieser Geräte und ihrer Benutzer. Unternehmen müssen daher in alternative und nicht technische Sicherheitsmaßnahmen wie etwa das Security-Awareness-Training investieren – d.h. den Fokus von den Maschinen auf den Menschen verlagern. Laut einer Studie greift eine Mehrheit der Mitarbeiter in 72 Prozent der befragten Unternehmen auf Anwendungen und Daten in der Cloud oder im Rechenzentrum über ihre mobilen Geräte zu. Viele von diesen Geräten sind leider nicht geschützt. Dadurch entstehen Schwachstellen in IT-Systemen, die von Angreifern leicht ausgenutzt werden können, wenn sie nicht rechtzeitig erkannt und beseitigt werden.

Dennoch zeigen einige Berichte, dass, obwohl kleine Unternehmen diese Entwicklungen und Bedrohungen erkennen, die meisten dazu neigen, die Gefahr durch Cyberkriminalität und ihre möglichen schädlichen Auswirkungen zu unterschätzen. Eine aktuelle Umfrage der Nationwide Insurance ergab, dass 83 Prozent der Mitarbeiter in kleinen Unternehmen bei Bedarf aus der Ferne arbeiten, ein Fünftel dieser Unternehmen bietet jedoch kein Security-Awareness-Training für seine Mitarbeiter an. 65 Prozent der befragten Geschäftsinhaber gaben an, Opfer eines Cyberangriffs geworden zu sein. Außerdem zeigt der „Phishing by Industry Benchmarking Report“ von 2019, dass der Phish-Prone-Percentage (PPP) für alle Branchen und Unternehmensgrößen bei 29,6 Prozent liegt – ein Anstieg von 2,6 Prozent gegenüber dem Jahr 2018. Unter den kleinen und mittleren Unternehmen aller Kategorien war der Prozentsatz an „Phish-Prone“-Mitarbeitern in den Bauunternehmen am höchsten: 37,9 bzw. 37,1 Prozent. Die kleinen und mittleren Versicherungsunternehmen wurden dieses Jahr zwar von den Bauunternehmen vom ersten Platz verdrängt, doch ihre PPP stiegen leider von 35,5 bzw. 33,3 Prozent auf 36,1 bzw. 34,9 Prozent.

Angriff via Apple-Ladekabel


Mitarbeiter, die öffentliches Wlan nutzen, sind für Hackerangriffe sehr anfällig, da sie sich außerhalb des internen Sicherheitsmechanismus ihres Unternehmens befinden. Dies kann auch zu weiteren Angriffen auf das Unternehmen selbst führen, da der Angreifer auf dem Computer des Opfers wartet, bis sich der Mitarbeiter mit dem internen Netzwerk des Unternehmens verbindet. Forscher haben kürzlich gezeigt, wie ein kompromittiertes Apple-Ladekabel verwendet werden kann, um ein System zu infiltrieren. Das O.MG-Kabel funktioniert wie ein normales Ladekabel. Es lädt ein iPhone auf und überträgt Daten zwischen einem angeschlossenen PC und dem iGadget hin und her, aber es trägt ein WiFi-Implantat, womit ein Hacker mit der richtigen Software auf die angeschlossene Maschine Zugriff hat. Wenn das Ladekabel an ein WiFi-Netzwerk mit externem Internetzugang angeschlossen wird, könnte das Kabel theoretisch dazu verwendet werden, einen verbundenen Computer oder Server irgendwo auf der Welt zu hacken. Der Angreifer kann dann Passwörter knacken oder einen Rechner oder Server sperren, Phishing-Seiten erstellen und vieles mehr.

Dies ist ein Artikel aus unserer Print-Ausgabe 11-12/2019. Bestellen Sie ein kostenfreies Probe-Abo. 

Laut dem „Verizon Data Breach Investigation Report“ von 2019 war im abgelaufenen Jahr Phishing die Angriffstaktik Nummer 1,
die bei den schwersten Sicherheitsverletzungen im Zusammenhang mit Social Engineering und Malware-Angriffen eingesetzt wurde. Dabei umgehen Cyberkriminelle erfolgreich die Sicherheitskontrollen eines Unternehmens, indem sie clevere Phishing- und Social-Engineering-Taktiken anwenden, die auf unachtsame Mitarbeiter in Unternehmen abzielen. Mithilfe von E-Mails, Telefonaten und anderen Methoden der Kontaktaufnahme werden die Mitarbeiter zu Aktionen verleitet, die den Angreifern Zugang zum Unternehmensnetzwerk ermöglichen.

Diese Angreifer wissen, dass Mitarbeiter das einfachste Einfallstor in ein Unternehmensnetzwerk sind, und da sich Mitarbeiter in ihrem Privatleben viel mit unterschiedlichen Social-Media-Plattformen beschäftigen, sind die sozialen Medien zu einem sehr lukrativen Jagdgebiet für Hacker geworden. 91 Prozent der erfolgreichen Datenschutzverletzungen vor allem im Unternehmen begannen mit einem Spear-Phishing-Angriff. Die Angriffe auf Social-Media-Accounts sind im vergangenen Jahr um 43 Prozent gestiegen, wobei Social-Media-Phishing-Angriffe sogar um erstaunliche 75 Prozent zugenommen haben. Viele Mitarbeiter sind sich jedoch der Risiken, die mit der Nutzung verschiedener Social-Media-Plattformen einhergehen, nicht bewusst.

Es ist immer schwierig, die Nutzung zu regulieren, da Mitarbeiter von ihrem Smartphone oder anderen mobilen Geräten auf Social-Media-Seiten zugreifen. Besonders schwierig ist es, wenn das Unternehmen eine eigene Firmenseite auf Twitter, Facebook, Linkedin oder Instagram unterhält und Mitarbeiter viel Vertrauen in diese Online-Plattformen haben. Eine jüngste Studie zeigt, dass mehr als 50 Prozent der eingegangenen und von Mitarbeitern angeklickten Phishing-E-Mails bei einem simulierten Phishing-Test „Linkedin“ als Begriff in ihrer Betreffzeile enthielten. Schulungen und Tests sind deshalb entscheidend, um die Mitarbeiter für Social-Engineering-Angriffstechniken zu sensibilisieren, denn sie können das größte Kapital für die Sicherheit eines Unternehmens sein.

Mitarbeiter kontinuierlich schulen


Ein „New School Security Awareness“-Training, wie es etwa KnowBe4 anbietet, zeigt, wie Unternehmen ihre Mitarbeiter sowohl im privaten als auch im beruflichen Leben vor Cyberangriffen schützen können. Es stellt eine Auswahl von simulierten Phishing-Tests dar, z.B. Passwort-Exposure-, Phishing-Reply- und Social-Media-Phishing-Tests. Letztere wurden etwa entwickelt, um IT- und Sicherheitsexperten in Firmen jeder Größe dabei zu helfen, ihre Mitarbeiter für Phishing-E-Mails zu sensibilisieren, die von einer Social-Media-Seite wie Facebook, Linkedin oder Twitter stammen. Nur wenn aus kontinuierlich geschulten und trainierten Mitarbeitern eine menschliche Firewall als zusätzlicher Schutzring für Unternehmen aufgebaut wird, kann die Gefahr durch Phishing-E-Mails reduziert werden.

Bildquelle: Getty Images/iStock/Getty Images Plus

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok