Home » Fachbeiträge » Security Management » Mensch – Angriffspunkt und Abwehrschirm in Sachen Cyberangriffe

Mensch – Angriffspunkt und Abwehrschirm in Sachen Cyberangriffe

Die Cyber-Bedrohungslandschaft wächst durch immer ausgefeiltere, zunehmend KI-gestützte (künstliche Intelligenz) Angriffsmethoden. Hinzu kommt: Durch Ransomware-as-a-Service, also „Schadsoftware zum Mieten“, nutzen Cyberkriminelle heute hochprofessionelle Geschäftsmodelle mit mehrstufigen Wertschöpfungsketten. Demgegenüber steht auf Unternehmensseite oft ein unterbesetztes und überfordertes Security-Team.

3 Min. Lesezeit
Foto: ©AdobeStock/sdecoret

Insbesondere kleinere und mittlere Unternehmen stoßen bei der Verteidigung schnell an ihre Grenzen. Sie sind gut beraten, eine nach wie vor oft vernachlässigte Ressource in ihre Verteidigungsstrategie einzubinden: ihre Mitarbeitenden.

Warum Security-Kultur fester Bestandteil einer Unternehmensstrategie sein sollte

Während also die technischen Hürden für Cyberangriffe immer kleiner werden, steigt die Wahrscheinlichkeit, dass auch kleine und mittlere Unternehmen (KMU) angegriffen werden, kontinuierlich an. Gleichzeitig suchen Unternehmen händeringend auf dem Arbeitsmarkt nach Cybersecurity-Fachkräften, wobei es vor allem KMU im Wettbewerb mit größeren Arbeitgebern hier oft deutlich schwerer haben. Ein Ausweg aus dieser Cybersicherheits-Falle liegt darin, Cybersecurity in der Unternehmenskultur zu verankern und die Weiterbildung zu diesem Thema auf eine breite Basis zu stellen. Dabei gilt es, die Cyber Awareness und Abwehrfähigkeit in der gesamten Belegschaft durch Schulungen und Trainings zu stärken. Der Fokus sollte aber auch auf Berufsfelder gelenkt werden, die an die IT angrenzen, wie Ingenieurinnen und Ingenieure. Denn durch das Industrial Internet of Things (IIoT) nimmt nicht nur der Vernetzungsgrad der Maschinen in der Produktion immer weiter zu. Auch bisher „getrennte Welten“, nämlich die OT (operative Technologie) und die IT (Informationstechnologie) müssen jetzt besser miteinander kommunizieren, gerade weil dort „verschiedene Sprachen“ gesprochen werden.

Vorsicht, Mail vom Chef!

Phishing-Mails, CEO-Fraud oder Social Engineering – Cyberkriminelle nutzen immer vielfältigere Methoden, um an sensible Daten zu gelangen. Durch zunehmende Vernetzung und mobiles Arbeiten wächst gleichzeitig die Angriffsfläche. Ein großer Risikofaktor dabei ist nach wie vor der Mensch: 90 Prozent aller Cyberangriffe sind auf Phishing-Angriffe zurückzuführen, bei denen persönliche Daten wie Passwort, Kreditkartennummer mit gefälschten E-Mails oder Websites erbeutet werden.

Angreifer können solche hochindividualisierte Angriffe heute mit geringem Aufwand durchführen. Gleichzeitig hinkt die IT-Sicherheit im Unternehmen im technischen Wettlauf oft hinterher. Umso wichtiger wird die „menschliche Firewall“: Schulungen und Trainings können sie stärken. Aber erst wenn die Mitarbeitenden tatsächlich ihr Verhalten ändern, bewirkt das eine messbare Verbesserung der Informationssicherheit. Regelmäßige Weiterbildungs- und Sensibilisierungsmaßnahmen zur Informationssicherheit sind fester Bestandteil bei anerkannten Standards wie dem BSI-Grundschutz oder der ISO/IEC 27001. Viele KMU schulen ihre Belegschaft regelmäßig. Aber wenden die Mitarbeitenden im Ernstfall das Erlernte auch an?

Cybersecurity messbar machen

Inzwischen gibt es auf dem Markt IT-Security-Awareness-Plattformen, die Schulungs- und Trainingsmaßnahmen gezielt nach individuellem Bedarf steuern und durch Erfolgskennzahlen (KPIs) messbar machen, um Fortschritte zu dokumentieren. Ein Anti-Phishing-Training simuliert dazu realitätsnahe Spear-Phishing-Mails und sorgt so für ein effektives Lernen. Mitarbeitende erhalten dazu digitale Micro-Learning-Einheiten zur Vertiefung der Lerninhalte. Auf diese Weise lässt sich eine gelebte Cybersecurity-
Kultur etablieren, die auch messbar ist.

In drei Schritten zur Human Firewall

Security Awareness und sicherheitskonformes Verhalten entstehen in drei Stufen, die aufeinander aufbauen:

1. Perception: Mitarbeitende können die Bedrohungslage und Phishing erkennen.

2. Protection: Mitarbeitende wissen, wie sie sich vor Phishing schützen können. In diesen ersten beiden Stufen wird durch Schulungen Wissen aufgebaut und vertieft.

3. Behaviour: Die Mitarbeitenden verhalten sich im entscheidenden Moment sicherheitskonform. In dieser dritten Stufe wird das Gelernte trainiert und angewendet – zum Beispiel mit simulierten Phishing-Angriffen – und so im Verhalten verankert.

In jedem Fall sollten Mitarbeitende Teil der Lösung „Human Firewall“ sein und nicht das Problem. Das Sensibilisierungsprogramm muss unternehmensintern breit kommuniziert sein und nicht zuletzt von den Führungskräften selbst vorgelebt werden. Um das Gelernte tatsächlich im Verhalten zu verankern, ist die richtige Vorbereitung, Durchführung und Erfolgskontrolle der Maßnahme essenziell. Das beinhaltet auch Erfolgskennzahlen (KPIs) und deren Analyse im Rahmen von Management-Reviews.

Chancen für Quereinsteiger 

Neben einer gut geschulten Belegschaft braucht es natürlich weiterhin dediziert zuständige IT-Sicherheitsbeauftragte, um geeignete Abwehrmaßnahmen aufzubauen und im Ernstfall schnell zu reagieren. Durch die angespannte Situation auf dem Arbeitsmarkt sind diese Fachkräfte allerdings nicht nur schwer zu finden, sondern oft auch sehr teuer. Auch hier kann Weiterbildung eine Lösung sein: Die Hürde, die es für Quereinsteiger zu überwinden gilt, um in dem Bereich Cybersecurity Fuß zu fassen, kann durch umfängliches Training in Sachen der technisch und organisatorischen Informationssicherheit, IT-Risikomanagement und Security-Awareness-Kampagnen signifikant gesenkt werden.

 

Rainer Seidlitz, Leiter Produktmanagement Safety
& Security, TÜV SÜD Akademie

Andere interessante Fachbeiträge

Wo Stift und Papier nicht mehr gebraucht werden

Während der Umgang mit E-Signaturen in manchen Ländern schon zum Geschäftsalltag gehört, liegt Deutschland hinsichtlich einer allgemeinen Akzeptanz noch vergleichsweise weit zurück. Auch grundlegendes Wissen über die Materie kann nicht flächendeckend vorausgesetzt werden. Dabei spricht vieles für einen Abschied vom Kugelschreiber.

Raus aus dem Bermuda-Dreieck der Cyberbedrohungen

Mit der Einführung flexibler Arbeitsformen haben die Gefahren für die Unternehmenssicherheit deutlich zugenommen. Die Herausforderung: Die IT muss die Kontrolle behalten und es den Anwendern gleichzeitig möglichst einfach machen, sich sicher zu verhalten. In fünf Schritten können Unternehmen diesen Spagat meistern. Anders als oft missverstandene Botschaften anklingen lassen, sind starke Passwörter hier keineswegs out, sondern elementarer Bestandteil einer Mehrfaktor-Authentifizierung.

Was Biometrie heute leistet

Biometrische Zutrittsverfahren liegen im Trend. Sie sind benutzerfreundlich und als alternativer Authentifizierungsbestandteil bieten sie die Chance zur Kostenreduktion ohne Sicherheitseinbußen. Die wichtigsten Ziele beim Einsatz biometrischer Verfahren sind die Identifikation und die Verifikation – sie werden aber auch zur Wiedererkennung von Personen eingesetzt.