Share
Beitragsbild zu Neue IT-Risiken durch Security Fatigue?

Neue IT-Risiken durch Security Fatigue?

Welche Gegenmaßnahmen Unternehmen jetzt treffen sollten + Unsere Wirtschaft ist vom Funktionieren empfindlicher Informationstechnologien und Kommunikationssysteme abhängig. Mit wachsender Komplexität dieser Systeme sowie der voranschreitenden Vernetzung steigen die Risiken von Störungen und Cyberangriffen. Deshalb müssen Unternehmen aktiv in Informationssicherheitsmaßnahmen investieren – und dazu gehört auch, die eigenen Mitarbeitenden zu schulen, damit sie Warnmeldungen verstehen und Richtlinien sicher anwenden können. Informationssicherheit braucht wachsame Anwender, die nicht sicherheitsmüde werden.

Hardware-Sicherheitslücken und Angriffe mit Ransomware haben der deutschen Wirtschaft in den letzten Jahren Schäden in Millionenhöhe beschert. Besonders problematisch ist dabei die hohe Dynamik bei der Weiterentwicklung von Schadprogrammen und Angriffswegen. Aktuell existieren über 800 Millionen bekannte Schadprogramme, und jeden Tag kommen etwa 390.000 Varianten hinzu. Viele Unternehmen sind nicht ausreichend gegen Angriffe auf ihre Computersysteme gewappnet. Das beweisen nicht zuletzt die wiederkehrenden Attacken mit dem Trojaner Emotet, der Ende 2018 für Schockwellen in den Unternehmen sorgte. Cyberkriminelle sind Experten darin geworden, Schwachstellen auszunutzen und die psychologischen Faktoren der Anwender zu instrumentalisieren. So können durch einen vermeintlich kleinen Fehler schnell Schäden in Millionenhöhe entstehen.

Was macht Emotet so gefährlich?

Bei einer Emotet-Infektion erhalten die Betroffenen gefälschte E-Mails, die aussehen, als wären sie von Freunden, Geschäftspartnern oder dem eigenen Chef. Die Mails sind gut gemacht und wirken aufgrund der legitimen Absenderadressen und des fehlerfreien Deutschs glaubhaft. Emotet arbeitet mit Office-Dokumenten, meistens sind es Rechnungen im .doc-Format von Microsoft Word. Die Infektion erfolgt nicht beim Öffnen des Dokuments, sondern erfordert das Ausführen von Makros, deren Aktivierung der Anwender erst gestatten muss. Dadurch wird die Schadsoftware aus dem Internet nachgeladen. Sie führt zu Datenabflüssen oder ermöglicht den Kriminellen die vollständige Systemkontrolle. 

Warum kommt es zu so vielen Infektionen, obwohl sich die Anwender der Gefahr inzwischen bewusst sein müssten? „Teilweise investieren Verantwortliche aus Kostengründen nicht genügend Geld in Cybersecurity, in anderen Fällen ist es schlicht Unwissenheit“, erklärt Thomas Janovsky, Generalstaatsanwalt und Leiter der Zentralstelle für Cybercrime in Bayern. Um eine funktionierende Verteidigung gegen Cyberangriffe aufzubauen, darf man sich nicht nur auf technische Lösungen konzentrieren, sondern muss auch die psychologische Komponente des Sicherheitssystems beachten, da die Anwender ein integraler Bestandteil von Sicherheitssystemen sind. Für viele Unternehmen ist es zu einer großen Herausforderung geworden, die Beschäftigten im Betriebsalltag erfolgreich für Informationssicherheit zu sensibilisieren – mit fatalen Folgen. „Sicherheitsmüdigkeit“ stellt für die Informationssicherheit inzwischen eine weit größere Bedrohung dar als Viren, Angriffe oder andere Sicherheitsvorfälle. 

Wenn Arbeitnehmer zu müde sind, sich um Sicherheit zu bemühen

Laut einer Studie von Aruba Networks, einer Tochterfirma von Hewlett Packard, haben europäische Arbeitnehmer weltweit die geringste Disziplin, wenn es um Cybersicherheit geht. Fast 20 Prozent denken überhaupt nicht an IT-Sicherheit, und rund 36 Prozent sehen Sicherheits-bedrohungen nicht als ihr Problem an. Diese Haltung kann auf „Sicherheitsmüdigkeit“ zurückgeführt werden, hervorgerufen durch einen Überfluss an neuen Sicherheitsvorschriften, durch unzählige Warnmeldungen und häufigen Passwortwechsel bei gleichzeitig geringer technischer Unterstützung.

Sowohl Unternehmen als auch Medien bombardieren Arbeitnehmer mit Sicherheitsmeldungen, sodass die Warnungen und Hinweise nicht mehr die gewünschte Wirkung erzielen.

Viele Mitarbeiter fühlen sich von dem Sicherheits-Wirrwarr überfordert und enden in einem Zustand der Resignation. Diese „Sicherheitsmüdigkeit“ spiegelt ein bekanntes Phänomen in der Psychologie wider, das als Entscheidungsmüdigkeit bekannt ist. Arbeitnehmer sind sich der Sicherheitsrisiken und ihrer Folgen zwar bewusst, versuchen aber, Entscheidungen zu vermeiden oder auf Gewohnheiten zurückzugreifen. Viele Entscheidungen werden aus reinem Impuls und mangelnder Vorsicht getroffen. So kommt es dazu, dass Anwender beim Schutz ihrer sensiblen Unternehmensdaten auf leicht zu merkende Kennwörter wie „1234“ oder das eigene Geburtsdatum zurückgreifen, die Internetkriminelle einfach ermitteln können. Oder dass sie, wie im Fall Emotet, gefährliche Anhänge öffnen – ungeachtet möglicher Konsequenzen. Dadurch wird der Mensch zu einer der größten Schwachstellen für die Informationssicherheit. Laut dem Annual Report von Cisco aus 2018, leiden bereits 40 Prozent aller deutschen Unternehmen unter „Cybermüdigkeit“. Welche Maßnahmen können Unternehmen jetzt treffen, um diesem Phänomen entgegenzuwirken?

Fünf Maßnahmen gegen Security Fatigue

Um die wachsenden Herausforderungen in der Informationssicherheit zu stemmen, ist es wichtig, Security Awareness statt Security-Müdigkeit zu schaffen. Eingeführte Sicherheitsmaßnahmen sollten das korrekte Verhalten als einfach zu befolgenden Standardprozess implementieren und gleichzeitig Sicherheitsverstöße möglichst anstrengend machen. Adacor setzt zum Beispiel auf eine Kombination von Awareness bei den Mitarbeitenden und technischen Maßnahmen. Daraus resultiert ein hohes Sicherheitsniveau mit fest etablierten Prozessen für die Sicherheitsbewertung, das Schwachstellenmanagement sowie die Erkennung von Sicherheitsvorfällen. Für eine funktionierende Unternehmenssicherheit bedarf es, neben Technik und Vorschriften, des Aufbaus einer Unternehmenskultur, in der Sicherheit wertgeschätzt und geachtet wird. Bei Adacor ist die Security Awareness fest in der Unternehmenskultur verankert. Mit geeigneten Maßnahmen sensibilisieren wir unsere Kolleginnen und Kollegen regelmäßig für die Informationssicherheit und gehen nachhaltig gegen Security Fatigue vor. 

1. Wirksame IT-Sicherheit braucht wachsame Anwender

Regelmäßige Schulungen zur Informationssicherheit informieren über potenzielle Gefährdungen und entsprechende Schutzmaßnahmen. So entwickeln die Beschäftigten ein intensives Verständnis für Informationssicherheit und die damit verbundenen Vorschriften und Maßnahmen. Jeder neue Mitarbeiter und jede neue Mitarbeiterin muss an einer Grundschulung teilnehmen, danach findet einmal jährlich die Informationssicherheits- und Compliance-Schulung zur Auffrischung statt. Um einen Informationsüberfluss zu vermeiden, gibt es neben den bereichsübergreifenden Schulungen auch individuelle Lehrgänge, die nur für einzelne Teams stattfinden. Indem jeder Mitarbeitende in der Firma gleichermaßen in das Thema einbezogen wird, ist jedem klar, welche wichtige Rolle wachsame Anwender im Gesamtgefüge der Informationssicherheit spielen.

2. Was man sieht, prägt sich ein

Plakate und Schreibtischunterlagen, die sich in jedem Büro befinden, erinnern alle Kolleginnen und Kollegen durchgängig an relevante Sicherheitshinweise. Abgebildet sind, neben wichtigen Hinweisen und Leitlinien, Tipps zum Umgang mit Viren und Schadsoftware. Die grafische Darstellung erleichtert die Einprägung, sodass Informationssicherheit zu einem stets präsenten Thema wird. Daneben können alle Beschäftigten jederzeit auf Sicherheitsrichtlinien, Prozessbeschreibungen und Checklisten im Intranet zurückgreifen. Bei Adacor gibt es Hilfe zur Selbsthilfe, und dieses Vorgehen reduziert Unsicherheit. Dabei bleiben wir up to date, indem wir regelmäßig Reviews sowie Anpassungen an den Prozessen und Richtlinien durchführen.

3. Richtiges Verhältnis von Kontrolle und Vertrauen

Mithilfe interaktiver Onlinetests und Unterweisungen, deren Lesen bestätigt werden muss, stellen wir sicher, dass alle Kolleginnen und Kollegen die aktuellen Richtlinien sowie eventuelle Neuerungen kennen. Zusätzlich werden sie regelmäßig aufgefordert, ihr Wissen in einem Quiz oder mit einer Checkliste zu überprüfen. Mit diesen Maßnahmen wollen wir die Richtlinien „spielerisch“ vertiefen. Zum Beispiel erhält nach Bestehen des Quiz jeder ein digitales Zertifikat. Infolgedessen sind unsere Mitarbeitenden für das Thema sensibilisiert, handeln eigenverantwortlich und setzen sich freiwillig mit der Informationssicherheit an ihrem Arbeitsplatz auseinander. 

4. Persönliche Vorteile der Informationssicherheit sind groß

Die Abteilung Information Security Management & Compliance (ISM) informiert alle Beschäftigten regelmäßig per Newsletter über die aktuelle Sicherheitslage, Gefährdungen und deren Gegenmaßnahmen. Neben Neuigkeiten aus der Abteilung und Meldungen aus den Bereichen Informationssicherheit und Compliance behandeln wir auch Themen, die den privaten Alltag der Mitarbeiter betreffen – von Nachrichten zur Emotet Malware oder neuen Sicherheitslücken bis hin zu Tipps zum Schutz vor Hackerangriffen. Dadurch fördern wir das allgemeine Interesse an den Themen und eine positive Grundeinstellung gegenüber der Informationssicherheit. 

5. Fehler sind „gut“ – man lernt daraus

Alle Mitarbeiter des Informationssicherheitsteams stehen den Kolleginnen und Kollegen bei Fragen oder Problemen jederzeit als Ansprechpartner zur Verfügung. Bei Adacor leben wir ein offenes und vertrauensvolles Krisenmanagement nach dem Motto: „Fehler sind gut – man lernt daraus.“ Damit wird den Mitarbeitenden die Hemmung vor Feedback genommen, und sie geben ein Fehlverhalten bei Sicherheitsrisiken oder Gefährdungen offen zu. 

Fazit

Unternehmen müssen sich bewusst sein, dass man einen Angriff nicht verhindern, sondern sich nur schützen und so das Risiko minimieren kann. Regelmäßig über Informationssicherheit zu informieren, sollte daher in jedem Unternehmen ein absolutes Muss sein. Wichtig ist jedoch die richtige Balance, das heißt, die Beschäftigten zu sensibilisieren, ohne sie zu überfordern. Hilfreich ist dabei die Schaffung guter Cybersecurity-Gewohnheiten, indem das Thema Informationssicherheit sinnvoll in die täglichen Prozesse integriert wird. Das ist eine Investition in eine sichere Zukunft.

www.adacor.com 

Autor: Michael Seefried

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden