Markus Mainka - Fotolia
Herausforderung für CISOs: Kenntnisse der Anwender stärken
IT- Teams tun gut daran, dass Sicherheitsbewusstsein der Mitarbeiter zu schärfen, um die Angriffsfläche der Unternehmen zu reduzieren. Und das gilt für Anwender auf allen Ebenen.
Es wird immer schlimmer: Cyberkriminelle verstärken in der Coronakrise ihre Angriffe auf Unternehmen und Verbraucher. Eine von Proofpoint in der DACH-Region durchgeführte Studie unter mehr als 200 CSOs (Chief Security Officer) und CISOs (Chief Information Security Officer) belegt, dass bereits 67 Prozent aller Organisationen in Deutschland, Österreich und der Schweiz Opfer von Cyberangriffen wurden – 33 Prozent sogar mehrfach.
Mehr als ein Drittel der Befragten (34 Prozent) gab ferner an, dass sich die aktuelle Bedrohungslage im Zuge der Pandemie weiter verschärft habe.
Auch weitere Angaben der Studienteilnehmer lassen angesichts des wachsenden Risikos tief blicken: So äußerten lediglich rund ein Viertel der befragten CSOs und CISOs (24 Prozent), dass sie sich sicher seien, auf Cyberangriffe gut vorbereitet zu sein.
Und bei 31 Prozent der befragten Unternehmensverantwortlichen sei das Thema IT-Sicherheit keines, das auf Vorstandsebene diskutiert wird. Hier zeigt sich ein eklatanter Widerspruch zwischen der tatsächlichen Gefahrenlage und der Reaktion der Unternehmen darauf.
Dies wird auch an anderer Stelle deutlich: Es ist hinlänglich bekannt, dass sich ein Großteil aller Cyberbedrohungen durch wachsame und in dieser Hinsicht gut geschulte Mitarbeiter verhindern ließe. Doch lediglich 22 Prozent der Unternehmen offerieren ihren Angestellten mehr als zwei Mal im Jahr Trainings zu diesem Thema. Ein Zustand, der langfristig verheerende Folgen für die Organisationen nach sich ziehen kann.
Die Unternehmen sowie deren CIOs und CISOs müssen einen Weg finden, die Unkenntnis ihrer Mitarbeiter und somit die Angriffsfläche ihrer Organisation zu minimieren. Denn Cyberkriminellen ist es im Prinzip egal, wer aus einem Unternehmen ihren illegalen Taktiken anheimfällt. Für sie ist nur wichtig, sprichwörtlich zunächst den Fuß in der Tür zu haben. Fällt auch nur ein Angestellter auf eine Phishing-Mail herein oder infiziert seine Workstation mit Malware, reicht das oft schon aus, damit sich die Angreifer in den IT-Systemen des Unternehmens ausbreiten können.
Aus diesem Grund ist es wichtig, Mitarbeiter unabhängig von ihrer jeweiligen hierarchischen Position im Unternehmen gleichermaßen intensiv zu schulen und zu schützen. Nicht nur die VIPs einer Organisation bedürfen der Aufmerksamkeit der Security-Verantwortlichen, sondern alle Angestellten mit Zugang zu den IT-Systemen müssen berücksichtigt werden, um den Schutz der Unternehmens-IT sicherzustellen.
Interaktive Trainings liefern bessere Ergebnisse
In Sachen Schulung müssen die Security-Teams jedoch neue Wege beschreiten, um den Trainingserfolg nachhaltig zu gewährleisten. Klassische Fortbildungen und Trainings, bei denen die Teilnehmer in einer Art Frontalunterricht mit Informationen bombardiert werden, erfüllen diesen Zweck nur unzureichend.
Vielmehr müssen die Schulungen in den Arbeitsalltag der Mitarbeiter integriert werden. Kurze, aber dafür häufiger und regelmäßig durchgeführte Trainings verstärken den Trainingseffekt nachweislich.
„Im Gegensatz zu klassischen Schulungen, die für mehrere Mitarbeiter zentral organisiert werden müssen, können sich Security Awareness Trainings an den zeitlichen Bedürfnissen der Nutzer orientieren.“
Michael Heuer, Proofpoint
Im Gegensatz zu klassischen Schulungen, die für mehrere Mitarbeiter zentral organisiert werden müssen, können sich Security Awareness Trainings an den zeitlichen Bedürfnissen der Nutzer orientieren.
Darüber hinaus lässt sich der individuelle Lernerfolg der Teilnehmer messen und es kann gezielt nachgeschult werden, wenn ein Mitarbeiter in einem bestimmten Bereich Schwächen beziehungsweise Wissenslücken offenbart.
Umfassende Awareness Trainings sind interaktiv und beinhalten vorgetäuschte Cyberattacken auf Basis realer Angriffsszenarien, anhand derer fehlerhafte Reaktionen der Angestellten erkannt und behoben werden können. Die Fake-Angriffe haben ferner den Vorteil, dass die Mitarbeiter um deren Vorkommen wissen und sie somit wachsamer für potenzielle Bedrohungen werden und dauerhaft bleiben.
Schäden durch Insider sind teuer
Die von Insider-Vorfällen betroffenen Unternehmen mussten pro Jahr im Schnitt 11,45 Millionen US-Dollar zur Beseitigung der Schäden aufbringen. Dieser Wert lag 2018 noch bei 8,76 Millionen US-Dollar.
Auch wenn derartige Vorfälle immer mit finanziellen Kosten in Verbindung stehen, ist nicht jeder Schaden in gleichem Maße kostspielig. So reichen die Schäden von im Schnitt 307.111 US-Dollar für durch Fahrlässigkeit hervorgerufene Fälle bis hin zu durchschnittlich 871.686 US-Dollar für Fälle, in denen Zugangsdaten in die Hände dritter gelangen.
Ein Faktor, der das Aufkommen von Insider-Bedrohungen abermals befeuern dürfte, ist der aktuell durch die Coronapandemie verstärkte Trend zur Arbeit im Home-Office. Viele Angestellte arbeiten in der Folge abseits der für sie gewohnten Arbeitsumgebung, und noch immer haben sich viele nicht daran gewöhnt. Die Verunsicherung hinsichtlich der Arbeitsplatzsituation und der fehlende Kontakt zu Kollegen und Vorgesetzten tragen ihr Übriges zu dieser Lage bei.
Darüber hinaus gibt es im Home-Office eine Vielzahl von Ablenkungen, angefangen mit der eigenen Familie beziehungsweise den Mitbewohnern bis hin zu Haustieren. All das hat einen Einfluss darauf, wie aufmerksam Mitarbeiter in puncto Cybersicherheit sind und schlimmstenfalls zu einer fahrlässigen Gefährdung des Unternehmens führt, bei dem sie beschäftigt sind.
IT-Sicherheitsverantwortliche tun daher gut daran, all das in ihre Überlegungen miteinfließen zu lassen, um den Schutz der Organisation zu gewährleisten. Security Awareness Trainings sind deshalb gerade in der aktuellen Situation ein wichtiges Element einer Verteidigungsstrategie.
Denn schon seit langem zeigt sich, dass Angreifer nur in den seltensten Fällen tatsächlich technische Schwachstellen der IT-Infrastruktur von Unternehmen attackieren. Der Mensch ist ihr bevorzugtes Angriffsziel und diesen mit dem nötigen Rüstzeug auszustatten, um Gefahr von der Organisation abzuwenden, sollte folglich das vordringliche Ziel eines jeden CISOs sein.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.