Die größte Schwachstelle bei der IT-Sicherheit ist der Mensch

Immer wieder berichten die Medien von Cyber-Angriffen in großem Format auf Unternehmen und Institutionen – und ein Ende ist nicht in Sicht. Viele Unternehmen ergreifen daher technische Maßnahmen gegen die wachsende Bedrohung. Dabei wird eins oft unterschätzt: der menschliche Faktor. Immer öfter kalkulieren Hacker damit, dass die Menschen vor den Rechnern Fehler machen und durch unbedachte Klicks unter anderem Phishing- oder Ransomware-Attacken erst ermöglichen. BlackBerry, ein führender Anbieter von Sicherheitssoftware und -dienstleistungen für das IoT, erklärt, wie wichtig es deshalb ist, das Bewusstsein der Mitarbeiter für IT-Bedrohungen zu stärken und wie es gelingen kann, dass Mensch und Technik in Sachen IT-Sicherheit ein Dream-Team abgeben.  

Phishing-Mails sind keine neue Erfindung und doch führen sie immer noch viel zu oft zum Ziel. Die Cyber-Kriminellen geben sich dabei als vertrauenswürdige Kommunikationspartner aus und verleiten die Adressaten dazu, sensible Daten preiszugeben oder im Falle von Ransomware schädliche Prozesse in Gang zu setzen. Phishing-Mails werden in der Regel an einen sehr breiten Adressatenkreis verschickt, doch die Angreifer verfeinern ihre Methoden. Bei Spear-Phishing- oder CEO-Fraud-Attacken, die immer mehr zunehmen, gehen die Betrüger gezielter vor. Beim Spear-Phishing wird nur ein bestimmter Mail-Adressen-Pool ins Visier genommen, etwa die Belegschaft eines Unternehmens und beim CEO-Fraud geben die Täter sich als CEO oder Manager aus und fordern Mitarbeiter dazu auf, hohe Geldbeträge auf fremde Konten zu überweisen. Klickt ein Mitarbeiter dann ohne nachzudenken weiter, kann das für Unternehmen und Institutionen gravierende Folgen sowohl auf wirtschaftlicher Ebene als auch fürs Image haben. Phishing, Spam oder auch gezielte Attacken in sozialen Medien nehmen weiterhin zu, allen gemeinsam ist, dass die Angreifer oft nur eine Hürde überwinden müssen, um Erfolg zu haben: den Menschen.

Bewusstsein schaffen, schulen, testen

Bereits 2019 gab fast ein Viertel der Unternehmen in Deutschland an, dass sie allein durch Phishing-Attacken wirtschaftliche Schäden erlitten hatten. Dies zeigt, wie wichtig es ist, dass Unternehmen das Bewusstsein ihrer Mitarbeiter für die konkreten Cyber-Gefahren, denen sie im operativen Geschäft begegnen, wie etwa Phishing deutlich erhöhen müssen. Um dies zu erreichen und die Menschen in die Lage zu versetzen, solche Bedrohungen zu erkennen, sind regelmäßige Schulungen ein erster wichtiger Schritt. Sowohl um Gelerntes zu überprüfen als auch, um Mitarbeiter mit ins Boot zu holen, die durch Schulungen nicht erreicht werden können, sind Fake-Attacken, die ebenfalls regelmäßig durchgeführt werden, ein probates Mittel. Dabei initiiert die eigene Unternehmens-IT eine Phishing-Attacke. Der Lerneffekt solcher Maßnahmen ist hoch. Bei ihren Bemühungen in puncto Cyber-Security mehr Awareness für den menschlichen Faktor zu schaffen, sollten Unternehmen zudem eins berücksichtigen: Es geht nicht darum, die Mitarbeiter zu erziehen, sondern darum, sie mit ins Boot zu holen. Schließlich haben sie selbst ein Interesse daran, die Sicherheit ihres Arbeitgebers zu stärken und zu gewährleisten.

Zero Trust-Ansatz unterstützt

Da Fehler aber zur menschlichen Natur gehören und Cyber-Kriminelle immer ausgefeiltere Angriffstechnologien nutzen, sind effektive Schutzmechanismen für alle Endpunkte in IT-Systemen essenziell. Der sicherste Weg ist, keinerlei Zugriffe von außen zuzulassen. Nach diesem Prinzip funktioniert der Zero Trust-Ansatz moderner Systeme für die Sicherung von Unternehmensendpunkten. Jedes Gerät beziehungsweiser jeder User wird zunächst standardmäßig als nicht vertrauenswürdig eingestuft, sodass nur minimale Rechte gewährt werden. Mehr Vertrauen kann durch eine Reihe von schnellen, nicht-intrusiven, aber gängigen Maßnahmen wie der Zwei-Faktor-Authentifizierung aufgebaut werden, die eine KI überwacht. So hilft Zero Trust, indem die jüngsten Fortschritte auf dem Gebiet der KI zum Zuge kommen, in Kombination mit User-Awareness die IT-Systeme von Unternehmen gegen Cyber-Attacken zu schützen.

Dream-Team Mensch und Technik

Dennoch gilt: Um sich umfassend abzusichern, sollten eben nicht nur technische Sicherheitsvorkehrungen getroffen werden. Durch umfassende Aufklärungskampagnen, Schulungen und Fake-Attacken, können Unternehmen ihre Mitarbeiter mit ins Boot holen und so den Risikofaktor Mensch erheblich verringern. Mit der nötigen Awareness für Bedrohungen und dem Wissen zu Angriffsmöglichkeiten bei der gesamten Belegschaft, kann das Dream-Team Mensch und Technik nachhaltig für mehr Sicherheit sorgen.

Von Ulf Baltin, Managing Director DACH, BlackBerry