natali_mis - stock.adobe.com

Anwender im Unternehmen als Sicherheitsfaktor nutzen

Viele Sicherheitsvorfälle begannen mit dem Öffnen einer E-Mail. Entsprechend wichtig ist es, die Anwender im Unternehmen als wichtigen aktiven Sicherheitsfaktor zu berücksichtigen.

Zu den Aufgaben der IT-Abteilung gehört es auch, die Endanwender vor Fehlverhalten zu bewahren und so die Daten des Unternehmens zu schützen. Anti-Malware-Software, E-Mail- und Spam-Filter sowie Firewalls sind wichtige Faktoren in Sachen Endanwendersicherheit, aber viele Risiken werden durch den Nutzer selbst verursacht.

Für durch Benutzer verursachte Sicherheitsprobleme existiert kein einfacher Software-Fix, den die IT mal eben installieren könnte. Wenn Anwender einem Phishing-Angriff zum Opfer fallen, oder Angreifer an die Zugangsdaten gelangen, weil Nutzer diese in unsicheren Umgebungen einsetzen, bekommen Standardsicherheits-Tools wenig davon mit.

Für viele Sicherheitsbedrohungen ist die Schulung von Anwender im Hinblick auf riskantes Verhalten eine sehr wirksame Abwehrmethode. Die IT-Abteilung muss für die eigene Organisation die richtigen Themen und Vorgehensweisen für Sicherheitsschulungen von Anwendern finden.

Angriffe per Phishing und Social Engineering

Bei Angriffen per Social Engineering helfen technischer Sicherheitslösungen allein herzlich wenig. Die IT-Abteilung muss sich darauf verlassen, dass die Anwender sich an die Sicherheitsrichtlinien halten. Angreifer sammeln über soziale Netzwerke beziehungsweise Medien und andere Kanäle Informationen über Nutzer. Dies ermöglicht unter anderem sehr gezielte Phishing-Angriffe, die Anwender wiederum dazu verleiten sollen, Login-Informationen preis zu geben oder präparierte Anhänge auf ihr System zu laden.

Längst fokussieren sich Angreifer auf ganz bestimmte Anwender in Unternehmen und gehen diese gezielt an. Manche Anwender mögen für Cyberkriminelle als leichte Beute erscheinen und potentiell empfänglich für Phishing-Versuche. Ist der Angreifer dann erst mal mit den Zugangsdaten des Opfers ins Firmennetzwerk eingedrungen, sammelt er dort weitere Informationen und versucht sich in Seitwärtsbewegungen. Andere Mitarbeiter des Unternehmens werden gezielt angegriffen, weil sie offensichtlich Zugang zu wichtigen Daten oder Ressourcen haben. Die Angriffe werden auch als Whaling oder Walfang bezeichnet. Daher sind Führungskräfte sehr begehrte Ziele in Sachen Social Engineering.

Um das Bewusstsein und die Wachsamkeit der Anwender gegenüber solchen Angriffsversuchen zu schärfen, haben sich interne Phishing-Tests als durchaus probates Mittel erwiesen. Und dies schult nicht nur die Anwender, die Sicherheitsteams erhalten darüber hinaus Erkenntnisse, wie die Anwender im Unternehmen mit Mails umgehen. Bei der Konzeption und Durchführung dieser Tests ist es wichtig, die Geschäftsführung und die Personalabteilung miteinzubeziehen, damit der Test die entsprechende Unterstützung erfährt. Zudem müssen auch diese beiden Gruppen ganz besonders getestet werden, da sie begehrte Angriffsziele sind. In die Tests sind ausnahmslos alle Abteilungen einzubeziehen, selbstredend auch die IT selbst. Die Geschäftsführung muss zudem sicherstellen, dass aus den Erkenntnissen auch Maßnahmen abgeleitet werden können und entsprechende Ressourcen zur Verfügung stehen.

Bei der Konzeption der Test-Phishing-Mails ist es wichtig, die Vorgehensweisen der Cyberkriminellen nachzuahmen, wie sie für Angriffe auf das eigene Unternehmen typisch wären. Dies beinhaltet Mails, die augenscheinlich von Kollegen stammen oder von bekannten Kunden und Lieferanten. Dazu gehören präparierte Nachrichten oder Statusmeldungen von Diensten, die im Unternehmen tatsächlich genutzt werden, wie etwa Dropbox oder Office 365. Zudem sollten die Tests versuchen, dem potentiellen Opfer so viele Informationen wie möglich zu entlocken, um diejenigen Anwender zu identifizieren, die eher empfänglich für entsprechende Angriffe sind.

Entsprechend sorgfältig muss die Auswertung der Ergebnisse erfolgen. Bei solchen Tests ist es wichtig, sehr transparent vorzugehen. Die Themen und die Methoden des Tests müssen bekannt und klar sein. Nach Abschluss des Tests sollten auch die Ergebnisse bekannt gemacht werden. Und zwar so, dass die Anwender auch Nutzen daraus ziehen können. Zudem sollte mit denjenigen, die den Test nicht bestanden haben, auch persönlich gesprochen werden.

Andere Sicherheitsrisiken

Auch wenn der Angriffsvektor E-Mail einer der meist genutzten ist, stehen die Anwender auch bei anderen Sicherheitsrisiken im Zentrum. Trotz aller Bemühungen erfolgt in den meisten Unternehmen der Zugang zum Firmennetz nach wie vor mit Benutzername und Passwort. Und gerade diese Passwörter sind häufig ein Problem. Oftmals setzten Anwender dasselbe Passwort für unterschiedliche Dienste ein und mischen hier auch private und berufliche Zugangsdaten. Möglichst komplizierte, lange Passwörter, die auch noch regelmäßig geändert werden müssen, erhöhen dabei keineswegs immer die Sicherheit. Dann neigen Anwender dazu, die Passwörter nur noch in dem technisch möglichen Rahmen geringfügig zu variieren.

In vielen Unternehmen nutzen Anwender Mail-Accounts und Anwendungen auch auf privaten mobilen Geräten und anderen Systemen. Hier ist die Gefahr ungleich höher, dass sich die Nutzer auf irgendeine Art und Weise Schadsoftware einfangen, die dann wiederum Zugangsdaten ausspähen kann oder gar direkten Zugang zum Firmennetz erlangt. Hier muss ein sicherer Zugang zum Netzwerk gewährleistet sein.

Durch interne Phishing-Tests lässt sich das Sicherheitsbewusstsein der Anwender schärfen. Allgemeine Schulungen und Informationen zum Thema IT-Sicherheit können dies sinnvoll ergänzen. Welches hier die beste Darreichungsform für das eigene Unternehmen oder bestimmte Abteilung ist, kann ganz individuell vom Unternehmen abhängen. Manchmal mag eine E-Mail mit Best Practices genügen, andernorts ist eine Besprechung mit der Möglichkeit, Fragen zu stellen, der bessere Ansatz. Unabhängig davon, für welchen Weg man sich entscheidet, die Kommunikation zwischen IT-Abteilung und Anwender sollten kontinuierlich sein. Das IT-Team sollte die Anwender über die neuesten Malware-Trends und Vorgehensweise der Angreifer informieren und die Nutzer so miteinbeziehen.

Nächste Schritte

Was Unternehmen bei internen Phishing-Tests beachten sollten

Die eigenen Passwortregeln auf den Prüfstand stellen

Das sollte man Security-Awareness-Schulungen beachten

Erfahren Sie mehr über IT-Sicherheits-Management