Warum Mitarbeiter zum größten Cyberrisiko werden können

Zeit für ein grundlegendes Umdenken in der IT-Sicherheit.

Ein Beitrag von unserer Gastautorin Georgeta Toth, Senior Regional Director CEEMEA bei Proofpoint
[datensicherheit.de, 19.06.2019] Unternehmen investieren heutzutage mehr denn je in Cybersicherheit. Dennoch können Angriffe nicht gänzlich verhindert werden und sensible Informationen gelangen somit immer wieder in die falschen Hände. Es ist daher höchste Zeit für ein grundlegendes Umdenken in puncto IT-Sicherheit. Denn klassische Cybersecurity-Modelle wurden entwickelt als das vorherrschende Sicherheitsmodell darin bestand, am Perimeter zu blockieren. Dieser Ansatz hat früher nur schwerlich funktioniert und hat sich nun vollends überlebt.

Heute ist der Mensch das bevorzugte Angriffsziel von Cyberkriminellen und nicht die technologische Infrastruktur. Auf diese Weise werden Mitarbeiter zum größten Sicherheitsrisiko für Unternehmen. Der Wandel, den die Bedrohungslandschaft in den letzten Jahren vollzogen hat, erfordert eine neue Denkweise und neue strategische Ansätze, die sich auf den Schutz des Menschen konzentrieren und nicht auf den des Perimeter.

Sicherheit beginnt beim Menschen

Mehr als zwei Drittel der in einer aktuellen Ponemon-Studie befragten IT-Sicherheitsexperten erwarten, dass erfolgreiche Cyberangriffe „den Shareholder Value ihrer Organisation ernsthaft mindern“. Und mehr als die Hälfte glaubt, dass ihre eigene IT-Sicherheit bestenfalls auf bestehendem Niveau verharrt oder das Niveau gar abnimmt.

Der Grund, warum die Abwehr am Perimeter nicht mehr funktioniert ist einfach: In der heute oftmals Cloud-zentrierten mobilen Wirtschaft gibt es faktisch keinen Perimeter mehr, den man überhaupt absichern könnte. Denn häufig wird auf Geräten gearbeitet, die von der eigenen Organisation nicht unterstützt werden; über Netze – wie öffentliche WLANs – die sie nicht selbst verwaltet.

Schwachstelle Mitarbeiter

Wenn sich das Geschäft in die Cloud verlagert, folgen diesem Trend auch die Angreifer. Und obgleich Cloud-Infrastrukturen meist technisch ein hohes Maß an Sicherheitsfeatures aufweisen, sind die Menschen, die sie nutzen, in vielen Fällen nicht sorgsam genug. Deshalb setzen moderne Angriffe zumeist auf das menschliches Verhalten anstatt technische Schwachstellen auszunutzen. Mehr als 99 Prozent aller derzeitigen Cyberangriffe werden erst durch eine Aktion des Nutzers aktiviert. Es wird also darauf vertraut, dass eine Person im Unternehmen ein Dokument mit Schadsoftware öffnet, auf einen unsicheren Link klickt, Anmeldeinformationen preisgibt oder sogar Anweisungen des Angreifers direkt ausführt (z.B. Geld zu überweisen oder sensible Dateien zu senden).

Laut dem quartalsweise erscheinenden Threat Report für das dritte Quartal 2018 von Proofpoint vervierfachten sich beispielsweise die Phishing-Versuche bei Unternehmen im Vergleich zum Vorjahresquartal und die Häufigkeit von E-Mail-Betrug wuchs im gleichen Zeitraum um 77 Prozent an.

Gefahr durch einzelne Angestellte

So einzigartig wie der Mensch ist auch sein Wert für Cyberkriminelle und folglich das Risiko für den Arbeitgeber. Jeder hat unterschiedliche digitale Gewohnheiten und Schwachstellen. Diese machen sich Angreifer auf unterschiedliche Weise und mit unterschiedlicher Intensität zunutze. Zusammengefasst bilden diese Faktoren das Gesamtrisiko eines Angestellten im so genannten VAP-Index (Vulnerability, Attacks, and Privileges).

Bild: Proofpoint

Georgeta Toth, Senior Regional Director CEEMEA bei Proofpoint

Um herauszufinden, an welcher Stelle – also bei welchem Mitarbeiter – eine Organisation am verwundbarsten ist und wie man bestmöglich Abhilfe schafft, gilt es neue Wege zu gehen. Simulierte Attacken, besonders solche, die reale Angriffstechniken nachahmen, können dabei ein Hilfsmittel sein. So lässt sich feststellen, wer grundsätzlich anfällig ist und mit welchen Taktiken er oder sie hinters Licht geführt werden kann.

Die Risiken variieren

Aber nicht nur von den eigenen Mitarbeitern geht ein unterschiedlich hohes Risiko aus. Auch Angriffstaktiken und die angewendeten Methoden unterscheiden sich hinsichtlich ihres Risikos für ein Unternehmen. Umfangreiche Bedrohungsinformationen, sogenannte Threat Intelligence, und zeitnahe Erkennung sind dabei die Schlüssel. Zu den Faktoren, die bei der Beurteilung des Risikos für den Nutzer am stärksten berücksichtigt werden sollten, gehören: die Raffinesse des Angreifers, die Verbreitung und der Fokus der Angriffe, die Angriffsart und das Gesamtvolumen aller Angriffe.

Diese Faktoren sollten auch im Zusammenhang damit abgewogen werden, zu welchen Abteilungen oder Gruppen der attackierte Benutzer gehört. Beispielsweise scheinen einige Angestellte aufgrund des Volumens oder der Art der an sie gesendeten Schadmails, nicht besonders gefährdet zu sein. Aber sie könnten tatsächlich ein erhöhtes Risiko darstellen, wenn sie in einer Abteilung arbeiten, die häufig von Cyberattacken betroffen ist. Potenziell sind sie daher in Zukunft ein Hauptziel von Angriffen.

Sicherheitskonzept mit dem Menschen im Mittelpunkt

Der Schutz vor allen Faktoren, die das Mitarbeiterrisiko beeinflussen, erfordert einen mehrstufigen Ansatz.

Um die Anfälligkeit der eigenen Mitarbeiter zu verringern, sind Sicherheitsverantwortliche gut beraten, die Angestellten zunächst für aktuelle Cybergefahren zu sensibilisieren. Darüber hinaus gilt es, die Mitarbeiter mit Hilfe effektiver, praktischer Cybersicherheitstrainings auf Grundlage vorgetäuschter Attacken mittels realer Angriffstechniken zu schulen. Ziel ist es, das gesamte Angriffsspektrum zu eliminieren – idealerweise, bevor eine Bedrohung den Posteingang eines Angestellten erreicht. Hierzu müssen jedoch auch alle Netzwerkberechtigungen überwacht und verwaltet werden, um einen unberechtigten Zugriff auf sensible Informationen zu verhindern.

Heutige Cyberangriffe kommen in vielen Formen vor und verändern sich ständig. Es ist von entscheidender Bedeutung, dass Unternehmen bei Ihrer IT-Sicherheit einen Ansatz verfolgen, der den Menschen in den Mittelpunkt stellt, um so die Angriffsfläche zu reduzieren. Durch die Cloud, mobile Endgeräte und Arbeitsplätze, die zunehmend digitalisiert sind, haben klassische Cybersicherheitsstrategien keine Chance mehr die Sicherheit des Unternehmens zu gewährleisten.

Weitere Informationen zum Thema:

datensicherheit.de, 01.05.2019
eco Verband: Mitarbeiter mit Qualifizierungen ins digitale Zeitalter mitnehmen

datensicherheit.de, 20.11.2018
Unternehmen: Menschen größte Stärke und Schwäche zugleich

datensicherheit.de, 14.09.2018
Lernkultur – Richtige Reaktion auf Datenschutzverletzungen durch Mitarbeiter

datensicherheit.de, 31.08.2016
Mangelndes IT-Sicherheitsverhalten von Mitarbeitern bleibt wesentliches Risiko

datensicherheit.de, 20.03.2014
Cyberbedrohungen – Faktor Mensch