Eine effektive „Human Firewall“ schützt Existenzen

Viele Unternehmen sehen in der Cyber-Security ein reines IT-Thema. Ein einheitliches Sicherheitskonzept, das alle Risiken adressiert, bezieht jedoch das komplette Unternehmen mit ein – und schafft Awareness bei den Mitarbeitenden. 

Im Netz herrscht der Wilde Westen: Zumindest, wenn es um das Thema Cyber-Security geht. Hacker haben verstanden, dass sie Unmengen an Geld verdienen können. Mehrere Hundert Milliarden Euro Schaden sind weltweit im vergangenen Jahr durch erfolgreiche Cyber-Angriffe entstanden: Dazu gehören Betriebs- und Produktionsausfälle, zerstörte IT-Infrastrukturen – und auch Lösegelder für verschlüsselte Daten. Zwar gab es Betrug schon immer, jedoch ist diese Größenordnung Ausdruck einer völlig neuen Dimension des organisierten Verbrechens. Die Aussicht auf schnellen Reichtum scheint verlockend. Kriminelle versuchen deshalb jeden Tag, mittels Cyber-Attacken illegal an Geld zu kommen. 

Anzeige

Dabei machen sie keinen Unterschied zwischen Großkonzernen, kleinen und mittelständischen Unternehmen oder Privatpersonen. Sie alle sind potenziell zahlende „Kunden“. Nicht alle Unternehmen überleben einen solchen Angriff: Dabei geht es nicht um das „ob“, sondern darum, “wann” ein Angriff erfolgreich sein wird. Von der COGITANDA Risk Prevention GmbH durchgeführte Audits zeigen: Ein Großteil der Unternehmen hat enormen Nachholbedarf bei ihrer Cyber-Security – sowohl auf technologischer als auch organisatorischer Ebene. Für Entscheider ist Cyber-Security oftmals ein reines IT-Thema. Erforderliche Investitionen in organisatorische Präventionsmaßnahmen, insbesondere in die systematische Ausbildung der Mitarbeitenden in Sachen Cyber Security, bleiben aus. Das zeigt: Viele Unternehmen sind sich der allgegenwärtigen und existenziellen Bedrohung nur unzureichend bewusst. 

Es kann jeden treffen – immer und überall

Die IT ist zwar ein wichtiges Zahnrad im Gewerk „Cyber-Sicherheit“, jedoch muss die Verantwortlichkeit beim Management liegen. Um ein einheitliches Sicherheitskonzept erstellen zu können, muss das Management eindeutige Vorgaben definieren und evaluieren. Das betrifft vor allem den „Risikoappetit“ eines Unternehmens: Welche Risiken können eingegangen, welche sollten unbedingt vermieden werden? Die Grundvoraussetzung für ein zielführendes Ergebnis: Transparenz. Denn nur wer seine Cyber Risiken kennt, kann geeignete Präventionsmaßnahmen zur Reduzierung der Risiken umsetzen. 

Die große Mehrheit der Cyber-Attacken nutzt menschliche Schwächen aus, wie Neugier, Naivität und das Verhalten in Drucksituationen. Hierfür braucht es oftmals nicht einmal tiefgreifendes Hacking-Know-how: Oft reichen Telefonanrufe unter falschem Namen und einem cleveren Vorwand, um an sensible Daten und Passwörter zu kommen. Ein aktuelles Beispiel: Im Zuge des Zensus 2022 geben sich Betrüger erfolgreich als Interviewer des Statistischen Bundesamtes aus, um von ihren Opfern Sozialversicherungsnummern, Personalausweisdaten, Passwörter oder E-Mail-Adressen zu erfragen.

Verfügen die Betrüger über technisches Fachwissen und infizieren oder manipulieren Dateien, können sie sich dieselben menschlichen Unzulänglichkeiten zunutze machen: Oft reicht schon eine Excel-Tabelle, beispielsweise mit dem Dateinamen „Gehaltsplanung_2022.xls“, die unter dem Namen des HR-Verantwortlichen versendet wird, um Neugier zu wecken. Denn: Die Täter wissen, dass mit größter Wahrscheinlichkeit mindestens ein Mitarbeiter anbeißt. Das zeigt auch eine Untersuchung der COGITANDA Risk Prevention GmbH: In einem Unternehmen, das mit den Mitarbeitenden kaum oder nicht über die Risiken von Phishing Emails spricht, fallen rund 30 Prozent der Belegschaft auf vergleichsweise simple betrügerische Emails herein. Die zunehmende Verlagerung zum Home-Office oder Remote Work machen es den Betrügern noch einfacher: Es reicht schon in einem Café auszuharren und gelegentlich in fremde Bildschirme zu schauen. 

Aufmerksamkeit schafft Vorsicht – und Sicherheit 

Unternehmen sollten daher bei ihren Angestellten unbedingt Awareness für Cyber-Security schaffen: Ein erfolgreicher Angriff kann für Firmen existenzielle Folgen haben. Sie sollten ihren Mitarbeitenden deshalb unbedingt klar machen, dass es bei Cyber-Security nicht um eine Gefälligkeit dem Unternehmen gegenüber geht, sondern um das eigene Einkommen: Aufmerksamkeit für das Thema zu schaffen, ist deshalb sowohl für Arbeitgeber als auch Arbeitnehmer von größter Bedeutung. Das können sie nur durch regelmäßige sowie umfassende Schulungen, eine stetige Kommunikation aktueller Angriffsformate und ständige Angriffssimulationen gewährleisten. Denn: Sowohl die Technologien, mit denen die Angestellten arbeiten, als auch das Verhalten der Angreifer entwickeln sich stetig weiter. 

Abhilfe kann hier ein Schulungstool wie die die E-Learning-Plattform COGITANDA Academy schaffen, das all diese Felder abdeckt und die Bedarfe der Unternehmen gezielt adressiert. Auf diese Weise entsteht eine effektive „Human Firewall“. Mitarbeitende können on-demand lernen, wie sie sich im virtuellen Raum und auch auf Social Media bewegen, ohne Betrügern ins Netz zu gehen. Um das zu erreichen, braucht es kontinuierliche Cyber-Security-Schulungen mit möglichst realitätsnahen Inhalten. Mitarbeitenden muss das Wissen nicht nur punktuell vermittelt werden, sie müssen es auch tiefgreifend verankern, sodass sie über aktuelle Bedrohungsszenarien gleichermaßen im Bilde sind wie über Lektionen zu Passwortsicherheit, Phishing, Social Engineering sowie Man-in-the-Middle-Angriffen. Auch unmittelbar anwendbare Handlungsempfehlungen, die wenig technisches Wissen voraussetzen, sind für den Ernstfall von Vorteil. 

Ein gut abgestimmtes Zusammenspiel aus Präventionsmaßnahmen, wie E-Mail-Gateways und Filter, einer ständigen Kommunikation sowie umfassenden Mitarbeiter-Schulungen bieten für Unternehmen den größtmöglichen Schutz – jedoch werden niemals alle Risiken beseitigt werden können. Deshalb sollten Unternehmen die finanziellen Risiken einer Cyber-Attacke an einen Partner auslagern, der die potenziellen Schäden seriös absichern und bei der Schadenbehebung schnell Hilfe leisten kann. Auf diesem Wege können sie ihre Existenz langfristig sichern – die eigene und die der Mitarbeitenden. 

Dr. Florian Wrobel

COGITANDA Group -

Geschäftsführer der COGITANDA Risk Prevention GmbH

(Bildquelle © COGITANDA)
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.