Mehr denn je hat die Corona-Krise gezeigt, wie Cyberkriminelle bestimmte Situationen ausnutzen. So greifen sie mittels Social Engineering, Phishing und anderer Attacken gerade dann an, wenn Unternehmen am verletzlichsten sind. Erfahren Sie, wie Sie Ihre Human Firewall coachen und mehr Security Awareness schaffen.
Die Agentur der Europäischen Union für Cybersicherheit ENISA hat am Anfang der Krise einen Anstieg der Phishing-Mails um mehr als 600 % festgestellt. Kein Wunder, sind die Angriffspunkte doch vielfältiger und lohnender denn je: Cyberkriminelle nutzen die angespannte Lage aus, die durch emotional belastete Mitarbeiter:innen, das vermehrte Arbeiten im Homeoffice und auch Remote Work geprägt ist.
Im Ergebnis müssen die Unternehmen die Rechnung für die Angriffe zahlen: Längst hat der wirtschaftliche Schaden eine astronomische Größenordnung erreicht. Auf mehrere dutzend Milliarden Euro jährlich werden die durch Cyberangriffe entstandenen Schadenssummen mittlerweile geschätzt – und zwar allein im deutschen Wirtschaftsraum.
Wie laufen die Angriffe üblicherweise ab?
Unter Zuhilfenahme fingierter und präparierter E-Mails oder Webseiten werden Mitarbeiter:innen ausgespäht, analysiert und schließlich manipuliert, um sie zu einer Handlung zu bewegen. Das Ziel der Kriminellen ist es, in Besitz der Zugangsdaten zu gelangen. Diese werden dann genutzt, um in einem zweiten Schritt und – unbemerkt von der Cyber Security – in das Unternehmensnetzwerk einzudringen, Malware zu installieren, Systemeinstellungen zu verändern oder Daten zu entwenden.
Social Engineering: Hier geht es um die zwischenmenschliche Beeinflussung einer Person, bei der Hacker versuchen, das Vertrauen ihrer Opfer zu gewinnen. Häufig werden dabei gesellschaftlich relevante oder in den Medien befeuerte Themen für kriminelle Zwecke missbraucht. So sorgten nicht nur die Corona-Pandemie, sondern z. B. auch die US-Wahlen für eine Flut an Attacken, die ihre Opfer emotional manipulierten.
(Spear)-Phishing: Google entdeckte 2020 mehr als 2 Millionen Phishing-Webseiten– ein Anstieg um etwa 20 % im Vergleich zum Vorjahr. Und da immer mehr Seiten täuschend echt gestaltet und sogar mit SSL-Zertifikaten ausgestattet sind, wird die Erkennung immer schwieriger. Besonders perfide ist das „Spear-Phishing“, bei dem die gefälschten Mails sich gezielt an eine konkrete Person oder Organisation richten. Diesen Angriffen geht eine längere Recherche voraus und meist werden vertrauenswürdige Quellen als Absender genutzt. Bekannt ist z. B. der „CEO Fraud“, bei der die manipulierte Mail angeblich von der Unternehmensführung stammt.
KRITIS immer häufiger im Visier: Besonders gefährlich kann es werden, wenn sich die Angriffe gegen kritische Infrastrukturen richten: So wurden in letzter Zeit verstärkt Einrichtungen wie Krankenhäuser angegriffen, Infrastrukturen lahmgelegt oder Ransomware-Attacken zur Erpressung von Lösegeldern genutzt.
Awareness steigern, Cyberangriffe abwehren
Dass Cyberangriffe sich zu einer solch immensen Bedrohung für Unternehmen entwickeln konnten, hat nicht zuletzt eine Ursache: Nach wie vor besteht bei den Belegschaften eine hohe Anfälligkeit für manipulative Ausspähversuche. Die Folgen sind vielfältig und reichen von:
- Der Entwendung von Betriebsgeheimnissen über
- immense Imageschäden bei Partnern und Kunden
- bis zur Störung oder vollständigen Unterbrechung der Betriebsabläufe.
Der größte Hebel für die Kriminellen ist, dass sich immer noch zu wenige Mitarbeiter:innen der tatsächlichen Risiken bewusst sind. Auch erkennen sie es häufig nicht, wenn jemand versucht, an ihre Nutzerdaten zu gelangen. Und wenn sie es doch tun, ist es oft schon zu spät.
Allein mit technischen Lösungen lässt sich das menschliche „Problem“ nicht vollständig lösen. Stattdessen müssen Unternehmen das Risiko- und Sicherheitsbewusstsein ihrer Mitarbeitenden steigern, um besser gegen aktuelle und kommende Cybergefahren gewappnet zu sein.
Stärken fördern, Schwächen neutralisieren
Was aber können Unternehmen tun, wenn die Mitarbeitenden als erstes Angriffsziel ausgemacht werden? Die sichere Antwort lautet: Es bedarf eines nachhaltigen Cyber Security Awareness Trainings für die gesamte Belegschaft. Damit dieses Training auch die gewünschten Erfolge erzielt, sollten alle Interessenvertreter umfassend in die Konzeption und Umsetzung eingebunden sein – von der Unternehmensführung über die Cyber-Security-Abteilung bis hin zu den Betriebs- und Personalräten.
Gerade Letztere werden oft außenvorgelassen, wenn es um die Cyber Security geht – kommen beim Schutz der IT doch meist allein technische Lösungen zum Tragen. Wenn es jedoch darum geht, die Belegschaft durch Schulungsprogramme zu stabilen Gliedern der unternehmensinternen Abwehrkette zu formen, ist solch ein Vorgehen eher kontraproduktiv.
Gerade bei langandauernden Trainingsprogrammen ist es somit unabdingbar, Betriebs- und Personalräte umfassend miteinzubeziehen. Es gilt, die Schwächen jedes einzelnen Mitarbeiters nachhaltig zu neutralisieren und Stärken zu fördern.
Wie sieht effektives Security Awareness Training aus?
Statt auf ein einfaches Training allein, sollte man auf einen Dreiklang
aus sich ständig wiederholenden Trainings-, Test- und Analyseeinheiten setzen. So durchläuft der / die Mitarbeiter:in einen stetigen Kreislauf, an dem sein Sicherheits- und Risikobewusstsein langsam und nachhaltig wächst.
- Das Training sollte Mitarbeiter:innen aktiv in Lernprozesse einbinden,
- auf die Kultur der Organisation, die Funktionen, Sicherheitsfreigaben, Stärken, Schwächen und Lerntyppräferenzen der Mitarbeiter:innen zugeschnitten sein
- und gut portionierte Themenblöcke beinhalten, die konsequent in regelmäßigen Abständen und über längere Zeiträume vermittelt werden.
Diese Vorgehensweise sorgt im Ergebnis für einen deutlich höheren Lern- und länger anhaltenden Anwendungserfolg. Denn kontinuierliches Training ist der Schlüssel: Eine Studie von Verhaltensforschern des Londoner University College ergab, dass das menschliche Gehirn im Schnitt 66 Tage ständiger Wiederholung benötigt, um eine bestimmte Handlung endgültig in den Alltag zu integrieren.
Coachen Sie Ihre Human Firewall
Sie merken: Nur bei ausreichender Dauerbelastung, kontinuierlichem Training und regelmäßigen Phishing-Simulationen gräbt sich das Wissen um die Risiken des Cyberspace tief ins Bewusstsein der eigenen Mitarbeiter:innen ein. Bis es zu einem natürlichen Reflex wird, der in verdächtigen Situationen automatisch und richtig reagiert. So haben Social-Engineering-Attacken keine Chance mehr. Und auch eine wie echt anmutende (Spear)-Phishing-Mail verliert schnell ihre Täuschungskraft.
Coachen Sie Ihre Human Firewall und erschaffen Sie mit Security Awareness Trainings mehr Sicherheits- und Risikobewusstsein im Unternehmen. Wenn Sie mehr über das Thema erfahren möchten oder Fragen haben, können Sie uns gerne und jederzeit kontaktieren.