GlobalSign Blog

Faktor Mensch: Das schwächste Glied der Cybersicherheit

Faktor Mensch: Das schwächste Glied der Cybersicherheit

Mit der stetigen Weiterentwicklung von Technologie wird unser Leben einfacher und unsere Geschäfte effizienter. Die schlechte Nachricht ist jedoch, dass mit der zunehmenden Abhängigkeit von der Technologie auch die Chancen für Cyberkriminalität steigen.

Glücklicherweise haben die Experten für Cybersicherheit weltweit viele bewährte Lösungen entwickelt, um den Bemühungen von Hackern Einhalt zu gebieten, von Antiviren-Software bis hin zur Zwei-Faktor-Authentifizierung. Doch obwohl diese Tools existieren, sind sie auf Menschen angewiesen, die sie in Gang setzen und dafür sorgen, dass sie nach Anweisung funktionieren. Sicherheit ist also nur so gut wie die Menschen, die sie einsetzen, und aus diesem Grund sind Fehler und Schwachstellen nur natürlich.

Unnötig zu sagen, dass es Raum für Verbesserungen gibt, wenn es um Menschen geht und darum, wie effektiv wir mit Cybersicherheit umgehen. Schauen wir uns ein paar Probleme und einige Lösungen an.

Was ist der Faktor Mensch?

Als Menschen neigen wir dazu, Fehler zu machen. Aber wenn es um Sicherheit geht, kann ein kleiner Fehler zu einer schwerwiegenden Datenschutzverletzung führen - und das passiert leider oft. Studien zeigen, dass 46 % der Cybersicherheits-Hacks und -Vorfälle das Ergebnis von Unachtsamkeit oder mangelnder Schulung waren. Dies ist eine erstaunliche Zahl, aber es könnte nur die Spitze des Eisbergs sein, da auch berichtet wird, dass in 40 % der Unternehmen weltweit Mitarbeiter zugegeben haben, einen Sicherheitsvorfall nicht gemeldet zu haben

Warum sind also Mitarbeiter für so viele Sicherheitsverletzungen verantwortlich? Sind sie faul? Ist es ihnen einfach egal? Auch wenn es vielleicht nicht so eindeutig ist, können diese Faktoren unbewusst das Nichtmelden von Sicherheitsverletzungen beeinflussen. 

Es ist wahrscheinlich, dass die Mitarbeiter einfach nicht verstehen, wie ernst eine Cyberbedrohung ist und wie schwerwiegend sie sich auf das Unternehmen und möglicherweise auch auf ihre Arbeitsplätze auswirken könnte. Setzen Sie sich mit Ihrer Belegschaft zusammen und besprechen Sie, wie wichtig es ist, wachsam zu sein und erklären Sie die möglichen Auswirkungen. Jüngste Berichte besagen, dass sich die durchschnittlichen Kosten einer Sicherheitsverletzung 2020 auf 3,86 Millionen $ belaufen, wobei der Schaden für Ihren Ruf noch nicht eingerechnet ist. Einige Unternehmen werden sich eventuell nie davon erholen. Zeigen Sie daher Ihren Arbeitnehmern die Fakten auf.

Was den Aspekt der Faulheit betrifft, so liegt es vielleicht nicht daran, dass die Mitarbeiter Vorfälle nicht melden wollen, sondern daran, dass sie nicht wissen, wie sie dies tun sollen. Richten Sie eine allgemeine E-Mail oder eine Telefonleitung ein, über die Kunden verdächtige Aktivitäten leicht melden und Screenshots bereitstellen können, damit das IT-Team sofort Maßnahmen ergreifen kann.

Schulung ist der Schlüssel

Was viele als mangelnde Fürsorge empfinden, kann in Wirklichkeit ein Mangel an Schulung in Bezug auf aktuelle Betrügereien und die Warnzeichen sein. Eine Mitarbeiterschulung ist unerlässlich, damit die Mitarbeiter wachsam sein können, während sie ihrem Tagewerk nachgehen. Mit zunehmender Technologieabhängigkeit entwickeln sich auch Cyberangriffe immer weiter, so dass die Mitarbeiter, wenn sie die Grundlagen kennen, auch die neueste Bedrohung erkennen können.

In einigen Fällen wissen die Mitarbeiter vielleicht, was sie tun müssen, aber nicht, wie sie es angemessen tun sollen. Unterweisen Sie sie also in der Verwendung von Passwörtern. Verwenden Sie anstelle eines einfachen Passworts ein Passwort, das einen Mix aus Buchstaben, Zahlen und Sonderzeichen enthält. Schulen Sie sie auch in Zwei-Faktor-Authentifizierung, damit sie nicht nur auf ihren Arbeitscomputern, sondern auch auf ihren privaten Geräten einen zusätzlichen Schutz haben, insbesondere wenn diese Geräte bei der Arbeit verwendet werden. 

Ein großer Teil dieser Schulung sollte sich mit Social Engineering-Angriffen befassen, die etwa 98 % aller Cybersicherheits-Penetrationen ausmachen. Diese Hacker-Tricks sollen die Emotionen oder die Neugier von Menschen ausnutzen, um eine Tür zu unseren Systemen zu öffnen. Mitarbeiter müssen vor diesen verbreiteten Bedrohungen gewarnt werden, da sie sonst leicht dazu verleitet werden können, auf sie hereinzufallen. Erinnern Sie die Mitarbeiter daran, sich davor zu hüten, auf Social-Engineering-Angriffe wie Baiting hereinzufallen oder einfach einen USB-Stick zu verwenden, selbst wenn sie ihn im Büro finden, und ihn stattdessen zur Personalabteilung zu bringen.

Eine weitere häufige Bedrohung ist der Phishing-Betrug, bei dem Hacker betrügerische E-Mails versenden, die scheinbar von einer Autoritätsperson wie dem Finanzamt oder sogar von jemandem aus der Personalabteilung oder dem CEO stammen. Viele Büroangestellte erhalten täglich Hunderte von E-Mails, sodass jemandem, der es eilig hat, leicht passieren kann, versehentlich auf einen böswilligen Link oder Anhang in der Nachricht zu klicken. Dieser simple Klick kann Hackern einen Zugangsweg eröffnen, über den sie dann Unternehmensdaten stehlen können.

Wenn die Schulung abgeschlossen ist und alle Mitarbeiter die Anzeichen erkennen, lassen Sie sie ein Memo unterschreiben, das sie dazu verpflichtet, alle Cyberbedrohungen, die sie bemerken, an die zuständige Instanz zu melden.

Hinweise zur Verwendung privater Geräte

Wenn 2020 und COVID-19 uns etwas gezeigt haben, dann, dass der Wechsel von der Arbeit im Büro zur Arbeit aus der Ferne einfacher ist als bisher angenommen. Inzwischen lassen viele Unternehmen ihre gesamte Belegschaft zu Hause oder öffentlich arbeiten. In vielen Fällen verwenden diese ihre privaten Geräte, wodurch eine Reihe neuer potenzieller menschlicher Fehler entstehen. Zusätzlich zu den in Ihren Schulungen besprochenen Bedrohungen können auch private Handys und Tablets leicht verloren gehen oder verlegt werden, und wenn dies zu einer Sicherheitsverletzung führt, ist die jeweilige Person daran schuld.

Das erste, was Ihr Unternehmen tun muss, ist, eine Regel für die Nutzung privater Geräte für geschäftliche Zwecke aufzustellen. Falls dies nicht erlaubt ist, dann legen Sie diese Regel verbindlich fest und lassen Sie die Mitarbeiter die Dokumente unterschreiben. Hinterlegen Sie diese Unterlagen für den Fall, dass die Vereinbarung jemals gebrochen wird. Wenn private oder mobile Geräte erlaubt sind, müssen sie mit den erforderlichen Sicherheitsmaßnahmen ausgestattet sein, wie z. B. Passwortschutz und Datenverschlüsselung, und sie sollten von der IT-Abteilung überwacht werden.

Mobile Geräte können nicht nur verloren gehen, sondern auch leicht durch Fake WLAN-Netzwerke kompromittiert werden, die von Hackern in öffentlichen Einrichtungen eingerichtet wurden und wie das authentische Netzwerk aussehen. Nachdem der Mitarbeiter eine Verbindung zum Fake Netzwerk hergestellt hat, kann problemlos auf sensible Daten zugegriffen werden. Wenn Mitarbeiter öffentlich arbeiten müssen, stellen Sie strenge und eindeutige Regeln auf, wie etwa, dass sie nur offline oder über ein virtuelles privates Netzwerk (VPN) arbeiten dürfen.

Es ist kein Geheimnis. Hacker sind eine gerissene Bande, und sie lassen sich immer wieder neue Wege einfallen, um sich in unsere Systeme einzuschleichen. Durch die Verringerung menschlicher Fehler durch Schulung kann Ihr Unternehmen die potenziellen Sicherheitsverletzungen begrenzen und erfolgreich bleiben.

Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors und geben nicht unbedingt die von GlobalSign wieder.

Share this Post

Recent Blogs