Trainings erhöhen die Sicherheit

Mathias Hein, Consultant, Buchautor, Redakteur

Cyberkriminelle orientieren ihre Angriffe verstärkt in Richtung der Nutzer und zielen weniger auf die Infrastruktur ab.

Das Phishing auf Basis des Social-Engineerings stellt die primäre Methode dar, mit der die Angreifer die notwendigen Zugangsdaten (46% der Bedrohungen) zu IT-Systemen und Netzwerken erhalten. Möglicherweise kann man einige dieser Bedrohungen mit Software bekämpfen, aber die ultimative Präventionsmethode besteht darin, die potenziellen Bedrohungen durch die Benutzer zu verhindern. Genau in diesem Punkt sind angemessene und konsequente Ausbildungsmethoden erfolgreich.

 

Was leistet ein Dark-Web-Scan?

Die meisten Unternehmen wissen nicht, welche ihrer Benutzerkonten bzw. die Daten der Nutzer bereits im Dark-Web verfügbar sind. Diese Informationen sind auf Websites versteckt, die nur mit einer speziellen Software zugänglich sind. Um das herauszufinden, kann man ein Werkzeug wie beispielsweise „Have I Been Pwned“ (https://haveibeenpwned.com) nutzen? Dieses kostenlose Tool sagt dem Netzadministrator, ob eine E-Mail-Adresse oder ein Passwort in einem der mehr als 300 Datenspeicher von Websites enthalten ist und es benachrichtigt den Administrator auch, wenn eine betreffende E-Mail-Adresse in einem neuen Datenspeicher erscheint.

Will man herausfinden, ob die betreffenden Anmeldeinformationen gefährdet sind, sollte dieser nützliche Dienst genutzt werden. Die meisten Pay-Dienste, die behaupten, dass sie das Dark-Web scannen würden, untersuchen auf ähnliche Weise die Datenspeicher.

Entdeckt man eine E-Mail-Adresse, die mit einem oder mehreren externen Datenschutzverletzungen in Verbindung gebracht werden kann, sollten unverzüglich Maßnahmen ergriffen werden, das Risiko zu minimieren. Es müssen alle mit diesen Konten verbundenen Passwörter geändert und unbedingt stärkere Passwörter genutzt werden.

Werden im Unternehmen keine Mitarbeiter-Schwachstellenanalysen durchführen, fehlt der IT einer der besten Präventivmaßnahmen. Mithilfe simulierter Phishing-Techniken lässt sich beurteilen, was Benutzer tun würden, wenn diese echte Phishing-E-Mails erhalten würden. Damit lassen sich gefährliche Verhaltensweisen und Schwachstellen aufdecken.

 

Was sollten die Benutzer trainieren?

Sobald eine Schwachstellenanalyse durchgeführt wurde, lässt sich die Sicherheit durch Schulungen und Trainings verbessern. Das Training sollte folgende Inhalte berücksichtigen:

  • Wie Phishing und Telefonbetrug erkannt werden kann.
  • Welche Gefahren bei der Nutzung von Social-Media entstehen und wie der Nutzer eventuelle Betrugsversuche erkennen kann.
  • Benutzern sollten eine Übersicht über die aktuellen Unternehmensrichtlinien für die Verwendung von E-Mail-Adressen des Unternehmens haben zur Registrierung, Veröffentlichung oder zum Empfang von Social-Media-Inhalten.
  • Der Benutzer sollte Informationen darüber erhalten, wie man sichere, eindeutige Passwörter für jedes Konto erstellt.
  • Es muss dem Benutzer klar gemacht werden, warum Geschäfts-E-Mails nicht für persönliche Aktivitäten genutzt werden dürfen.
  • Wie vom Anwender mobile Geräte wie Smartphones, Laptops, Tablets und USB-Laufwerke zu schützen sind.
  • Und der Nutzer verstehen lernt, dass der einzige wirksame Schutz in der Starategie der immer verriegelten Türen besteht.

Wie viele Studien zeigen, ist in der Regel etwa die Hälfte aller Datenschutzverletzungen auf menschliche Fehler zurückzuführen. In den meisten Fällen haben diese die Ursache in einer schlechten bzw. mangelhaften Ausbildung.

Die Benutzer sollten jedoch als menschliche Firewall fungieren und somit ihr Unternehmen schützen.

Ich habe viele Sicherheitskurse besucht. Viele dieser Kurse waren extrem langweilig und haben mich nicht gut motiviert. Daher muss sichergestellt werden, dass die durchgeführte Sicherheitstrainings positiv bei den Benutzern ankommen, diese motiviert und über die Risiken informiert, die eintreten können, wenn die gelernten Inhalte nicht umgesetzt werden.

Auch sollte im Rahmen des Trainings den Teilnehmern ein aussagekräftiges Feedback zur Bewertung geboten werden. Eine Kultur, in der es sicher ist, Bedenken zu äußern, wenn der Benutzer etwas Unerklärliches vermutet, kann manche Katastrophe verhindern. Zur Verpflichtung zur kontinuierlichen Weiterbildung gehört auch, dass die Benutzer akzeptieren, dass die Cybersicherheit am Arbeitsplatz in der Verantwortung aller liegt.

Manager gehören inzwischen zu den primären Angriffszielen, weil deren Zugangsdaten gegenüber anderen Mitarbeitern im Unternehmen eine breitere Angriffsfläche bieten. In einer kürzlich veröffentlichten Studie unter dem Titel „2019 Data Breach Investigations Report“ (https://enterprise.verizon.com/resources/reports/dbir/) stellt Verizon fest, dass die Führungskräfte und Manager in den Unternehmen 12-mal häufiger im Umfeld der sozialen Netze angegriffen werden. Die meisten Angriffe (12 Prozent) zielen auf finanzielle Bedrohungen (Erpressung) ab.

Zudem verlassen sich Unternehmen heute immer häufiger auf freie Mitarbeiter, Entwickler, Berater und Zulieferer. Externe Mitarbeiter sind ähnlich wie Leiharbeiter einzustufen und stellen potenzielle Cyberangriffsopfer dar. Diese externen Mitarbeiter benötigen ebenfalls eine ihrer Arbeit angemessenen Ausbildung und diese sollte nicht hinter denen von den eigenen Mitarbeitern im Unternehmen nachstehen. Denn viele externe Arbeitnehmer verfügen häufig ebenfalls über zentrale Zugriffsrechte auf wichtige Unternehmensdaten.

Fazit

Die richtigen Trainings, umfassende Tests und dir ständige Kontrolle sind die besten Maßnahmen, um die im Unternehmen tätigen Benutzer vor erfolgreichen Hacker-Angriffen zu schützen. Und für die Unternehmen selber, sind die Mitarbeiter als „Human Firewall“ die letzte Verteidigungslinie gegen kriminelle Elemente.