Anzeige

Hacker Stadt

Nach Angaben des Deutschen Instituts für Wirtschaftsforschung (DIW) möchte jeder Deutsche zumindest ab und an von zu Hause aus arbeiten. Und obwohl viele ein Recht auf Homeoffice begrüßen würden, so stellt es IT-Abteilungen in Unternehmen doch vor große Herausforderungen.

Schon heute verschwimmen die Grenzen zwischen privater und geschäftlicher Nutzung der Unternehmens-PCs, wenn Mitarbeiter beispielsweise private E-Mails am Firmenrechner lesen oder den Firmenlaptop abends und am Wochenende mit nach Hause nehmen, um auch noch Feierabend noch die eine oder andere Aufgabe erledigen zu können. Laut einer aktuellen Umfrage von Proofpoint unter 6000 Erwerbstätigen aus Deutschland sowie den USA, Großbritannien, Frankreich, Italien und Australien ist die moderne Arbeitswelt – mit oder ohne offizieller Genehmigung des Arbeitgebers und mit oder ohne Segen der Gesetzgebung – heute schon Realität: Im Rahmen der Befragung, deren Ergebnisse im aktuellen Proofpoint Bericht zu Benutzerrisiken nachzulesen sind, gaben 17 Prozent der deutschen Mitarbeiter im Querschnitt aller Branchen und Firmengrößen an, ihr vom Arbeitgeber überlassenes Gerät „regelmäßig“ zu Hause zu nutzen, wobei 38 Prozent dieser Personen kein Passwort für ihr WLAN eingerichtet haben. Neben der rein beruflichen Tätigkeiten wird der Firmen-PC auch verwendet, um private E-Mails abzurufen und zu beantworten (66 Prozent), für Social Media Aktivitäten (28 Prozent), um Medien zu streamen (23 Prozent), online einzukaufen (27 Prozent) oder zu spielen (9 Prozent).

Die erwähnte Studie deckte zudem auf, dass 71 Prozent der deutschen Teilnehmer fälschlicherweise annehmen, dass der Einsatz von Antivirensoftware einen Cyberangriff auf den Computer verhindern kann. Die Kombination privater Nutzung der Firmen-IT gepaart mit diesem eklatanten Mangel an Cybersecurity-Know-how unter den Mitarbeitern, kreiert ein Schlaraffenland für Cyberkriminelle.

Die Antwort muss lauten: Im Kampf gegen Cyberkriminalität hat der Mensch – und nicht die Technologie - im Zentrum der Cybersecurity zu stehen. Es gilt die Technik, Prozesse und Kontrollen so zu kombinieren, dass der Mitarbeiter nicht mehr länger ganz einfach als Trojanisches Pferd missbraucht werden kann.

Der Mitarbeiter im Visier

Doch wieso nehmen Cyberkriminelle bei ihren Angriffen vermehrt einzelne Mitarbeiter ins Visier? Hier spielen zwei primäre Gründe zusammen. Zum ersten liegt es in der menschlichen Natur, den Weg des geringsten Widerstandes zu wählen. Und auch wenn die Cybersecurity Richtlinien eines Unternehmens absolut hieb und stichfest sind, so ist die Wahrscheinlichkeit, dass sich alle Mitarbeiter zu jedem Zeitpunkt zu 100 % daran halten, doch eher gering.

Zum zweiten schlagen natürlich auch Internetbetrüger bevorzugt den einfachen Weg ein. Warum sollte ein Hacker beispielsweise viel Zeit darauf verwenden, ein Programm oder einen Algorithmus zu ersinnen, der ein ausgeklügeltes und fast unüberwindbares Sicherheitssystem bezwingen kann – wenn er über einen relativ einfach umzusetzenden Phishingangriff die Zugangsdaten von einem Anwender quasi frei Haus geliefert bekommt? Cyberkriminelle sind mittlerweile extrem gut darin geworden, die menschlichen Schwachstellen innerhalb eines Unternehmens für sich zu nutzen – was im Umkehrschluss bedeutet, dass der Mitarbeiter häufig das größte Cybersecurity Risiko darstellt.

So kann es sein, dass der Mitarbeiter unwissentlich ein schadhaftes Makro aktiviert, ein Passwort auf einer Phishing-Seite eingibt oder einem so genannten CEO-Betrug (auch Business Email Compromise oder BEC genannt) auf den Leim geht und Daten an einen Cyberbetrüger sendet oder eine Zahlung autorisiert. Neben dem finanziellen Schaden müssen Unternehmen immer auch den Image- und Vertrauensverlust in ihre Risikokalkulation mit aufnehmen, der mit erfolgreichen Angriffen immer einher geht.

Um wettbewerbsfähig zu bleiben, sind Unternehmen gefragt, ihren Mitarbeitern schnellen und einfachen Zugang zu Daten zu gewähren – und alle 5 Minuten mittels Zweifaktorauthentifizierung abzufragen, ob der Mitarbeiter wirklich noch selbst am Rechner sitzt, wäre sicherlich kontraproduktiv und mit Sicherheit nicht das adäquate Mittel. Die Antwort liegt in der besseren Schulung – und erhöhter Wachsamkeit jedes einzelnen. Denn trotz hoher medialer Aufmerksamkeit für Malware- und Ransomware-Attacken, können um nochmals die oben erwähnte Studie zu bemühen, 31 Prozent der Arbeitnehmer Malware nicht korrekt erklären; bei Ransomware steigt der Prozentsatz der deutschen Studienteilnehmer, die diese Frage nicht oder falsch beantwortet haben, auf 74 Prozent. Wenn Mitarbeiter also die Risiken nicht erkennen und das Bewusstsein für die Einhaltung von Sicherheitsrichtlinien fehlt, werden sie über kurz oder lang auf die arglistige Täuschung von Internetbetrügern hereinfallen.

Bei einer People-Centric Cybersecurity Strategie wird modernste Technologie mit ausgeklügelten Trainingsmethoden – die u.a. auch unregelmäßige und unangekündigte Fake-Attacken beinhalten sollten – kombiniert. Neben Netzwerk-, Web- und Endpoint-Sicherheit sollte dabei die E-Mail-Sicherheit, der anfälligste Kommunikationskanal und Angriffsvektor Nummer 1 für Cyberkriminelle, in den Fokus rücken.

Letztlich müssen Unternehmen ihren IT-Abteilungen zugestehen, dass das Projekt „Cybersecurity“ niemals abgeschlossen sein wird. Nur wenn sowohl die Software auf dem jeweils neuesten Stand ist und Mitarbeiter informiert und kontinuierlich wachsam bleiben, lässt sich das Risiko effektiv minimieren. Die Vorteile aus modernen Arbeitsmethoden und -regelungen zu ziehen, sollte nicht zulasten der Sicherheit gehen. Mit einem durchdachten und umfassenden Ansatz in puncto Cybersecurity lässt sich eine Win-Win-Situation erreichen.

Georgeta Toth
Georgeta Toth, Senior Regional Director Zentral- und Osteuropa, Proofpoint GmbH

In ihrer Funktion als Senior Regional Director für Mittel- und Osteuropa ist Georgeta Toth für den Ausbau des Neukundengeschäfts in einer für das Unternehmen strategisch wichtigen Region verantwortlich. Frau Toth verfügt über jahrzehntelange Erfahrung in der Netzwerk- und Cybersicherheitsbranche und war in leitenden Positionen bei Organisationen wie Tufin, Optenet und Arrow ECS tätig. Vor ihrem Wechsel zu Proofpoint war sie Regional Director CE bei Radware, wo sie dem Unternehmen in Zentraleuropa zu einem exponentiellen Wachstum verhalf.  

www.proofpoint.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cloud Security Concept
Mai 13, 2019

Cloud Security stellt CISOs vor eine Herkulesaufgabe

CISOs wünschen sich in erster Linie absolute Transparenz. Sie möchten verstehen, welche…
Social Engineering
Mai 13, 2019

Social Engineering und die Cybersicherheit

Wenn man Wikipedia befragt, so handelt es sich bei Social Engineering im Rahmen der…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!