Wie sollte man das Risiko von menschlichem Versagen bei der IT-Sicherheit, gerade jetzt in Zeiten von Home-Office und Corona einschätzen?
Das mangelnde Sicherheitsbewusstsein bzw. die Unkenntnis eines einzelnen Mitarbeiters können die IT-Sicherheit eines ganzen Unternehmens gefährden. Gerade jetzt in Zeiten von Corona und dem damit verbundenen Home-Office stehen die IT-Fachleute vor neuen Herausforderungen in punkto Netzwerksicherheit. Neue Investitionen in Hard- und Software sind ebenfalls notwendig, um die IT-Sicherheit aufrecht zu erhalten. Dabei übersehen viele Unternehmen den größten Unsicherheitsfaktor: die Mitarbeiter. Verschiedene Studien haben gezeigt, dass das IT-Sicherheitswissen mancher Mitarbeiter stark zu wünschen übrig lässt. So fällt laut einer Studie von Knowbe4 aus den USA jeder vierte Angestellte auf eine Phishing-Mail herein. Die Studie hat auch gezeigt, dass eine dringende Mail zur sofortigen Passwortüberprüfung für ein Phishing am effektivsten ist. Erfolgsversprechend sind auch gefälschte E-Mails von LinkedIn und Facebook.
Cyberkriminelle nutzen aus, dass sich die meisten Angestellten sicherheitsbewusst verhalten, daher wird in den versendeten Mails vielmehr die Neugierde oder der Zugzwang ausgenutzt. Hier einige E-Mail-Themen, die jeden Mitarbeiter ins Grübeln bringen würden:
- SharePoint: Ihr Speicherlimit ist bald erreicht
- Microsoft: Frau Müller hat ein Whiteboard mit Ihnen geteilt
- Office 365: Sicherheitswarnung: ungewöhnlich viele Datenlöschungen
- BPOST: Ihr Paket konnte nicht zugestellt werden, Nachzahlung erforderlich
- UPS: Ihre digitale Quittung ist fertig
- Twitter: Ihr Twitter-Account wurde gesperrt
- Google: bitte führen Sie die erforderlichen Schritte aus
- Würden Sie sich bitte die Rechnung ansehen.
Eine Studie des amerikanischen Unternehmens Proofpoint stellt fest, dass die wenigsten Cyberkriminellen Schwachstellen von Systemen ausnutzen, sondern vielmehr gefälschte Mails unmittelbar an einzelne Mitarbeiter verschicken.
Unternehmen sollten daher das Sicherheitsrisiko "Mensch" nicht unterschätzen. In drei von vier Organisationen bzw. Unternehmen aus DACH (Deutschland, Österreich und Schweiz) wird höchstens zwei Mal im Jahr eine Fortbildung in Cybersicherheit angeboten. Obwohl 53% der Verantwortlichen der Meinung sind, dass ihre Mitarbeiter anfällig für Cyberangriffe sind, sparen nicht weniger als 77% genau an Schulungen in diesem Bereich.
Links
https://blog.wiwo.de/look-at-it/2020/01/30/phishing-ein-viertel-aller-nutzer-faellt-auf-mail-zur-sofortigen-passwort-ueberpruefung-herein/
https://blog.wiwo.de/look-at-it/files/2020/10/PeopleCybersecurityIG.jpg
Infos: Danny Loos, RCCU
