Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Hacker Stadt

Nach Angaben des Deutschen Instituts für Wirtschaftsforschung (DIW) möchte jeder Deutsche zumindest ab und an von zu Hause aus arbeiten. Und obwohl viele ein Recht auf Homeoffice begrüßen würden, so stellt es IT-Abteilungen in Unternehmen doch vor große Herausforderungen.

Schon heute verschwimmen die Grenzen zwischen privater und geschäftlicher Nutzung der Unternehmens-PCs, wenn Mitarbeiter beispielsweise private E-Mails am Firmenrechner lesen oder den Firmenlaptop abends und am Wochenende mit nach Hause nehmen, um auch noch Feierabend noch die eine oder andere Aufgabe erledigen zu können. Laut einer aktuellen Umfrage von Proofpoint unter 6000 Erwerbstätigen aus Deutschland sowie den USA, Großbritannien, Frankreich, Italien und Australien ist die moderne Arbeitswelt – mit oder ohne offizieller Genehmigung des Arbeitgebers und mit oder ohne Segen der Gesetzgebung – heute schon Realität: Im Rahmen der Befragung, deren Ergebnisse im aktuellen Proofpoint Bericht zu Benutzerrisiken nachzulesen sind, gaben 17 Prozent der deutschen Mitarbeiter im Querschnitt aller Branchen und Firmengrößen an, ihr vom Arbeitgeber überlassenes Gerät „regelmäßig“ zu Hause zu nutzen, wobei 38 Prozent dieser Personen kein Passwort für ihr WLAN eingerichtet haben. Neben der rein beruflichen Tätigkeiten wird der Firmen-PC auch verwendet, um private E-Mails abzurufen und zu beantworten (66 Prozent), für Social Media Aktivitäten (28 Prozent), um Medien zu streamen (23 Prozent), online einzukaufen (27 Prozent) oder zu spielen (9 Prozent).

Die erwähnte Studie deckte zudem auf, dass 71 Prozent der deutschen Teilnehmer fälschlicherweise annehmen, dass der Einsatz von Antivirensoftware einen Cyberangriff auf den Computer verhindern kann. Die Kombination privater Nutzung der Firmen-IT gepaart mit diesem eklatanten Mangel an Cybersecurity-Know-how unter den Mitarbeitern, kreiert ein Schlaraffenland für Cyberkriminelle.

Die Antwort muss lauten: Im Kampf gegen Cyberkriminalität hat der Mensch – und nicht die Technologie - im Zentrum der Cybersecurity zu stehen. Es gilt die Technik, Prozesse und Kontrollen so zu kombinieren, dass der Mitarbeiter nicht mehr länger ganz einfach als Trojanisches Pferd missbraucht werden kann.

Der Mitarbeiter im Visier

Doch wieso nehmen Cyberkriminelle bei ihren Angriffen vermehrt einzelne Mitarbeiter ins Visier? Hier spielen zwei primäre Gründe zusammen. Zum ersten liegt es in der menschlichen Natur, den Weg des geringsten Widerstandes zu wählen. Und auch wenn die Cybersecurity Richtlinien eines Unternehmens absolut hieb und stichfest sind, so ist die Wahrscheinlichkeit, dass sich alle Mitarbeiter zu jedem Zeitpunkt zu 100 % daran halten, doch eher gering.

Zum zweiten schlagen natürlich auch Internetbetrüger bevorzugt den einfachen Weg ein. Warum sollte ein Hacker beispielsweise viel Zeit darauf verwenden, ein Programm oder einen Algorithmus zu ersinnen, der ein ausgeklügeltes und fast unüberwindbares Sicherheitssystem bezwingen kann – wenn er über einen relativ einfach umzusetzenden Phishingangriff die Zugangsdaten von einem Anwender quasi frei Haus geliefert bekommt? Cyberkriminelle sind mittlerweile extrem gut darin geworden, die menschlichen Schwachstellen innerhalb eines Unternehmens für sich zu nutzen – was im Umkehrschluss bedeutet, dass der Mitarbeiter häufig das größte Cybersecurity Risiko darstellt.

So kann es sein, dass der Mitarbeiter unwissentlich ein schadhaftes Makro aktiviert, ein Passwort auf einer Phishing-Seite eingibt oder einem so genannten CEO-Betrug (auch Business Email Compromise oder BEC genannt) auf den Leim geht und Daten an einen Cyberbetrüger sendet oder eine Zahlung autorisiert. Neben dem finanziellen Schaden müssen Unternehmen immer auch den Image- und Vertrauensverlust in ihre Risikokalkulation mit aufnehmen, der mit erfolgreichen Angriffen immer einher geht.

Um wettbewerbsfähig zu bleiben, sind Unternehmen gefragt, ihren Mitarbeitern schnellen und einfachen Zugang zu Daten zu gewähren – und alle 5 Minuten mittels Zweifaktorauthentifizierung abzufragen, ob der Mitarbeiter wirklich noch selbst am Rechner sitzt, wäre sicherlich kontraproduktiv und mit Sicherheit nicht das adäquate Mittel. Die Antwort liegt in der besseren Schulung – und erhöhter Wachsamkeit jedes einzelnen. Denn trotz hoher medialer Aufmerksamkeit für Malware- und Ransomware-Attacken, können um nochmals die oben erwähnte Studie zu bemühen, 31 Prozent der Arbeitnehmer Malware nicht korrekt erklären; bei Ransomware steigt der Prozentsatz der deutschen Studienteilnehmer, die diese Frage nicht oder falsch beantwortet haben, auf 74 Prozent. Wenn Mitarbeiter also die Risiken nicht erkennen und das Bewusstsein für die Einhaltung von Sicherheitsrichtlinien fehlt, werden sie über kurz oder lang auf die arglistige Täuschung von Internetbetrügern hereinfallen.

Bei einer People-Centric Cybersecurity Strategie wird modernste Technologie mit ausgeklügelten Trainingsmethoden – die u.a. auch unregelmäßige und unangekündigte Fake-Attacken beinhalten sollten – kombiniert. Neben Netzwerk-, Web- und Endpoint-Sicherheit sollte dabei die E-Mail-Sicherheit, der anfälligste Kommunikationskanal und Angriffsvektor Nummer 1 für Cyberkriminelle, in den Fokus rücken.

Letztlich müssen Unternehmen ihren IT-Abteilungen zugestehen, dass das Projekt „Cybersecurity“ niemals abgeschlossen sein wird. Nur wenn sowohl die Software auf dem jeweils neuesten Stand ist und Mitarbeiter informiert und kontinuierlich wachsam bleiben, lässt sich das Risiko effektiv minimieren. Die Vorteile aus modernen Arbeitsmethoden und -regelungen zu ziehen, sollte nicht zulasten der Sicherheit gehen. Mit einem durchdachten und umfassenden Ansatz in puncto Cybersecurity lässt sich eine Win-Win-Situation erreichen.

Georgeta Toth
Georgeta Toth, Senior Regional Director Zentral- und Osteuropa, Proofpoint GmbH

In ihrer Funktion als Senior Regional Director für Mittel- und Osteuropa ist Georgeta Toth für den Ausbau des Neukundengeschäfts in einer für das Unternehmen strategisch wichtigen Region verantwortlich. Frau Toth verfügt über jahrzehntelange Erfahrung in der Netzwerk- und Cybersicherheitsbranche und war in leitenden Positionen bei Organisationen wie Tufin, Optenet und Arrow ECS tätig. Vor ihrem Wechsel zu Proofpoint war sie Regional Director CE bei Radware, wo sie dem Unternehmen in Zentraleuropa zu einem exponentiellen Wachstum verhalf.  

www.proofpoint.com
 

Georgeta Toth
Mai 13, 2019

Cloud Security stellt CISOs vor eine Herkulesaufgabe

CISOs wünschen sich in erster Linie absolute Transparenz. Sie möchten verstehen, welche…
Social Engineering
Mai 13, 2019

Social Engineering und die Cybersicherheit

Wenn man Wikipedia befragt, so handelt es sich bei Social Engineering im Rahmen der…
GRID LIST
Notfall Knopf

Die Zeit läuft: Worauf es bei der Notfallreaktion ankommt

Wie bei jedem Notfall – Feuer, Herzinfarkt oder Verkehrsunfall – spielt auch bei…
Torhüter FCA

Torhüter der IT – der FC Augsburg setzt auf „Made in Augsburg"

Der 1907 gegründete Traditionsverein FC Augsburg (FCA) nutzt zur Verwaltung seiner…
Tb W190 H80 Crop Int A03eb03b6c06e9e89dbea9d04fe772e2

IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

Moderne IT-Security muss einerseits die Herausforderungen der digitalen Transformation…
Hand hält Wolke mit Schloss

Forcepoint Next Generation Firewall

Evasion-Techniken bilden eine besondere Gefahr für die IT-Sicherheit in Unternehmen.…
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…