Das nächste Jahr wird sicherlich nicht viel anders aussehen wie 2020, doch gibt es Nuancen, die auf den zweiten Blick enorme Auswirkungen für Unternehmen haben werden. Einer dieser Aspekte ist die Sicherheitskultur. Die Arbeit aus dem Home-Office ist in vielen Unternehmen bereits etabliert und es gibt zahlreiche Berichte über Unternehmen, die auch über das Ende der COVID-19 Pandemie über eine Beibehaltung von Home-Office-Arbeit nachdenken. Vielfach blieb die IT- und Informationssicherheit jedoch auf der Strecke und muss nun nachträglich etabliert werden. Es reicht jedoch nicht aus einfach nur technisch nachzuziehen und den Zugriff auf Daten und Anwendungen abzusichern oder aber die Geräte zu schützen.
Die Zahlen des Data-Breach-Investigations-Report 2020 von Verizon zeigen, dass eine Phishing-E-Mail bei 22 Prozent der Cyber-Attacken auf Unternehmen der Auslöser war. Deshalb ist Security-Awareness und speziell die Wissens-Vermittlung wie man solche E-Mails erkennt und wie und wohin man diese meldet, ein wichtiges Thema. Security-Awareness-Schulungen für Home-Office-Mitarbeiter durchzuführen und einen Effekt zu erzielen, ist mit reinem Frontalunterricht kaum möglich. Deshalb ist es wichtig Gamification-Elemente und abwechslungsreiche Inhalte für jeden Mitarbeiter individuell zur Verfügung zu stellen und den Lernfortschritt jedes Einzelnen auch zu messen und zu bewerten. Hierfür braucht es die Etablierung einer echten Sicherheitskultur, damit die Maßnahmen auch greifen und dies muss von der Leitungsebene gefördert und unterstützt werden.
Darüber hinaus sind die folgenden Trends für die Cybersicherheit 2021 vorhersehbar:
- Datenschutzverletzungen: Da die meisten Menschen aufgrund von COVID-19 nun von zu Hause aus arbeiten, wird die Anzahl der gemeldeten Datenschutzverletzungen in der EU eher zu als abnehmen. Diese Mitarbeiter sind stärker gefährdet Opfer einer Phishing-E-Mail zu werden, weil einige weniger stark konzentriert sind wie im Büro und die Betreffzeilen stärker auf einen privaten Kontext eingehen als zuvor.
- Mobile Angriffe: Die Verbraucher werden eine Zunahme von Whatsapp- und SMS-Betrug feststellen. Nicht nur die Anzahl der Betrugsfälle wird zunehmen. Cyberkriminelle werden auch dreister und selbstbewusster, indem sie höhere Geldbeträge verlangen und gewaltsamere und hinterhältigere Techniken anwenden, um die gewünschten Reaktionen herbei zu manipulieren.
- Einhaltung von Sicherheitsvorschriften: Für Unternehmen ist es bereits jetzt schwierig datenschutzrechtliche Rahmenbedingungen wie die DSGVO einhalten zu können. Mit jedem Unternehmen, das aufgrund von COVID-19 seine Mitarbeiter von zu Hause aus arbeiten lässt, wird die Einhaltung dieser Gesetze und Regelwerke herausfordernder. Diese Situation wird eher zu mehr Vorfällen und Verstößen führen.
- Home-Office wird die Anzahl der von Insidern verursachten Datenschutzverletzungen erhöhen. Mit der reduzierten Kontrolle, die Unternehmen über ihre Belegschaft ausüben, können leicht Fehler von Insidern gemacht werden, die zu unbeabsichtigten oder mutwilligen Datenschutzverstößen führen. Unternehmen müssen das Bewusstsein unter den Mitarbeitern für dieses Thema schärfen und auch Eigenverantwortung einfordern. Deshalb ist es umso wichtiger, dass Unternehmen diese Verstöße monitoren und ihre Daten besser schützen. Sie sollten vermeiden Opfer eines Sicherheitsvorfalls mit Datenschutzverletzung zu werden, der aus den eigenen Reihen stammt.
- Die Sicherheitskultur wird zunehmend in den Fokus des Managements rücken. Wie bereits angeführt, werden CISOs und andere Führungskräfte eine positive Sicherheitskultur fördern und aufbauen müssen, um die Sicherheitsrisiken für ihr Unternehmen aktiv zu verringern. Die Sicherheitskultur wird dann zu einem festen Bestandteil der übergreifenden Unternehmenskultur werden.
Von Jelle Wieringa, Security Awareness Advocate bei Knowbe4
