Im Neuen Normal sind Mitarbeiter:innen im Home-Office stärker denn je von Phishing-Attacken bedroht, sagt Dr. Niklas Hellemann von SoSafe. Als Experte wird er im Rahmen der ISD 2021 einen Multi-Layer-Ansatz für Cyber-Security-Awareness vorstellen. Erste Tipps gibt er hier im Interview.
Herr Dr. Hellemann, sind in der Corona-Pandemie die Cyber-Gefahren gewachsen?
Leider ja, Cyber-Kriminelle nutzen es ohne Skrupel aus, wenn Menschen im Home-Office verletzlicher sind. Kurz nach Beginn der Pandemie ist die Zahl der Phishing Angriffe nach oben geschnellt. Das zeigt unsere jährliche SoSafe Studie Human Risk Review 2021. Es ist zuhause aufgrund der der Arbeitssituation wahrscheinlicher, dass Mitarbeiter:innen Opfer von Phishing-Angriffen werden. Der Schaden erfolgreicher Angriffe ist außerdem dramatisch gewachsen. Im vergangenen Jahr waren in Deutschland allein 52,5 Milliarden Euro Schaden auf Angriffe im Homeoffice zurückzuführen, 31 Milliarden mehr als vor der Pandemie, zeigt eine aktuelle Studie des Instituts der Deutschen Wirtschaft. Die Angriffe werden immer komplexer und binden dabei neben der E-Mail auch alle anderen Kommunikationskanäle ein, wie Telefon, Messenger und Videokonferenzen.
Wie können Verantwortliche hohe Schäden durch Cyberkriminalität abwenden?
Um die IT-Sicherheit zu erhöhen, müssen Unternehmen zuerst ihre Hausaufgaben in Sachen Hardware machen. Mit dem Beginn der Pandemie hatten viele Menschen zunächst mit privaten Geräten zuhause weitergearbeitet, ohne ausreichend auf Sicherheitslücken zu achten. Inzwischen sollten Verantwortliche für IT-Sicherheit klar benannt, Verschlüsselungen und VPN installiert und auf Updates für alle Geräte geachtet werden. Im nächsten Schritt brauchen Mitarbeiter auch Schulungen dazu, wie sie Bedrohungen erkennen und damit umgehen. Die Schulungen sollten auch neue Software für die Remote-Arbeit einbeziehen, sonst gehen die Erfolgsraten von Phishing-E-Mails schnell nach oben. Dabei helfen sehr gut Awareness-Lösungen, weshalb immer mehr Unternehmen sich für eine solche entscheiden.
Aber reicht es, Mitarbeiter zur Achtsamkeit aufzurufen?
Mitarbeiter:innen sollten auf jeden Fall hinsichtlich Gefahrensituationen informiert werden. Das reicht jedoch nicht aus, dass die Kollegen das eigene Verhalten anpassen. Die Gefahr ist sehr groß, weil Cyberkriminelle ihre Angriffe ständig verändern und über mehrere Kanäle laufen lassen. Schulungen sollten ebenfalls auf mehreren Kanälen ablaufen, beispielsweise über Anrufe oder Messenger-Programme. Regelmäßige kurze Schulungen sind hier besser als seltene und dafür lange – wir sprechen hier von „Micro-Learning“. Durch die ständige Konfrontation der Mitarbeiter mit den Gefahren und Themen, werden diese zum Mitdenken animiert. Indem sie an Beispielen selbst erfahren, was ein möglicher Angriff hätte sein können, entwickeln sie ein Bauchgefühl für potenzielle Attacken. Wer dann genau hinschaut und das hinterfragt, wird den Angriff erkennen.
Vielen Dank für das Gespräch, Herr Dr. Hellemann!
Mehr Informationen dazu gibt Dr. Niklas Hellemann in seinem Vortrag The New Normal – ein Multi-Layer-Ansatz für Cyber Security Awareness am 17. September um 14.30 Uhr auf den Internet Security Days. Er freut sich auf Fragen und eine spannende Diskussion im Anschluss. Zu den Internet Security Days.
