- Unternehmenskultur ist grundlegend für ganzheitliche IT-Security
- Beim CEO-Fraud nutzen Cyberkriminelle Hilfsbereitschaft, Neugier und Angst aus
Bei der IT-Security verlassen sich viele mittelständische Unternehmen noch zu sehr auf rein technische Lösungen. Insbesondere den menschlichen Faktor unterschätzen viele bei der Risikobewertung. Immer wieder ermöglichen so Mitarbeiter Cyberkriminellen erfolgreiche Angriffe – beispielsweise indem sie in verdächtigen E-Mails auf Links oder auf die Anhänge klicken und so einen Erpressungstrojaner ins Haus holen. „Insbesondere kleinere Unternehmen vernachlässigen es, bei der IT-Sicherheit umfassend zu denken und eine Unternehmenskultur zu schaffen, die Mitarbeiter für Bedrohungslagen sensibilisiert“, sagt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco – Verband der Internetwirtschaft e. V.
Rein technische Schutzkonzepte scheitern häufig
Beim „CEO-Fraud“ etwa nutzen Cyberkriminelle menschliche Eigenschaften wie Hilfsbereitschaft, Neugier und Angst aus. Aufgrund gefälschter E-Mails und Telefonanrufe überweisen Mitarbeiter hohe Summen ins Ausland. Diese Form der personalisierten Manipulation (Social Engineering) hat Hochkonjunktur und ergänzt immer stärker technische Angriffe. „Cyberkriminelle kombinieren heute technische und menschliche Angriffsvektoren“, sagt Dehning. „Durch die hohe Zahl der attackierten Firmen verbuchen die Kriminellen immer wieder Erfolge.“ Bis zu 40 Millionen Euro haben einzelne deutsche Mittelständler bereits auf diesem Wege verloren. „Insbesondere Unternehmen, die ihre Strukturen und die Sicherheit ihrer digitalen Arbeitswege nicht den aktuellen Anforderungen angepasst haben, sind gefährdet“, sagt Dehning.
Sicherheitsfaktor Mensch
Entwickeln Unternehmen jedoch ein Bewusstsein für die neuen Bedrohungen, dann werden die Mitarbeiter vom Risikofaktor zum Verteidiger der Firmen-IT: „Entscheidend ist eine Unternehmenskultur, in der Mitarbeiter sich trauen verdächtige Vorfälle und E-Mails zu melden und Rücksprache zu halten“, sagt Dehning. Die IT-Verantwortlichen können dann die tatsächliche E-Mail-Adresse und gegebenenfalls das S/MIME-Zertifikat überprüfen. Auch wenn eine zweifelhafte Überweisung bereits raus ist, sollten Mitarbeiter sich bei Verantwortlichen mit ihrem Verdacht melden. Je schneller ein erfolgreicher Betrug ans Licht kommt, desto höher ist die Chance, das Geld zurück zu bekommen.
Security Awareness schaffen
„Damit die Mitarbeiter neue Verhaltensweisen verinnerlichen, sollten sie kontinuierlich wiederholt werden“, sagt Dehning. Regelmäßige Schulungen oder monatliche Mitarbeiterversammlungen halten das Bewusstsein für aktuelle Bedrohungen aufrecht. Zusätzlich zur Sensibilisierung ihrer Mitarbeiter sollten Unternehmen nicht zu viele Daten auf der Website oder über soziale Netzwerke preisgeben. Denn diese könnten für Angriffe instrumentalisiert werden.
Internet Security Days (ISD) 2017
Der Faktor Mensch ist auch eines von vier Schwerpunktthemen der Internet Security Days (ISD) vom 28.–29. September in Brühl. Mit einem Call for Papers suchen die Veranstalter bis Mitte April Referenten, die sich per E-Mail an cfpisd@eco.de mit dem Betreff „CFP ISD 2017“ bewerben können. Weitere Informationen sind erhältlich unter https://isd.eco.de.
-
Cornelia Schildt cornelia.schildt@eco.de
