Security-Awareness-Trainings: Die menschliche Firewall
Das schwächste Glied in der IT-Sicherheitskette ist der Mensch: Rund neun von zehn erfolgreichen Cyberattacken nehmen ihren Anfang bei unachtsamen Beschäftigten. Mit sogenannten Security-Awareness-Trainings machen Mittelständler ihre Mitarbeiter fit im Kampf gegen Gefahren aus dem Cyberspace.
„Wir hatten den Eindruck, dass die Einschläge immer näher kommen“, sagt Alexander Remplik, Rechtsanwalt und Partner bei Schmidt, von der Osten & Huber Rechtsanwälte Steuerberater Partnerschaft mbB aus Essen. Der Jurist fühlte sich einfach nicht mehr sicher vor der zunehmenden Zahl von Hackerangriffen. Längst sind es nicht mehr nur große und bekannte Unternehmen, die in den Fokus der Cyberkriminellen geraten. Automatisiert verschickte E-Mails an willkürlich ausgesuchte E-Mail-Empfänger können durch Sicherheitslücken in gängigen Systemen den Computer infizieren. Dabei geht es um Masse, nicht um Einzelangriffe.
Rund die Hälfte aller Angreifer setzt dabei auf die Arglosigkeit der Empfänger, wie der Digitalverband Bitkom in einer aktuellen Studie herausfand. Ein beliebtes Mittel sind Phishing-Mails, bei denen der Nutzer oder die Nutzerin ungewollt ein Einfallstor öffnet. „Kriminelle nutzen das menschliche Verhalten, wie Hilfsbereitschaft oder Neugier, konsequent aus“, erklärt Nikolas Schran, Product Owner Cyber Defense Academy bei G DATA CyberDefense. „Typische Beispiele sind gefälschte Bewerbungen oder Rechnungen mit infizierten Dateianhängen. Zusätzlicher Druck, auf den Anhang zu klicken, entsteht auch durch eine vermeintliche Dringlichkeit, etwa angedrohte Bußgelder, die im Rahmen der EU-Datenschutz-Grundverordnung bei schuldhaften Datenschutzverstößen verhängt werden können.“
Auf diese Weise ist es Anfang Juli der Erpressergruppe REvil gelungen, die Computer Hunderter Unternehmen lahmzulegen, für deren Freigabe sie eine Millionensumme in Bitcoin als Lösegeld verlangten. So weit wollten es Remplik und seine 34 Kolleginnen und Kollegen sowie rund 50 weitere Beschäftigte gar nicht kommen lassen und meldeten sich kurz vor Ostern für ein sogenanntes Security-Awareness-Training beim Kölner Spezialanbieter Sosafe an: „Das Training besteht aus einem E-Learning, mit dem wir ein stärkeres Bewusstsein schaffen, und aus simulierten Phishing-Angriffen unseres Anbieters“, erklärt er. „Das Training lässt sich gut in den Arbeitsalltag integrieren und kann flexibel absolviert werden.“ Das Ganze ist zunächst auf ein Jahr angelegt, doch Remplik sieht darin eher einen fortlaufenden Prozess. „Die Cyberkriminellen entwickeln immer neue Methoden, darauf wollen wir vorbereitet sein.“
Regelmäßige Trainings senken Risiko
Allein mit technischen Mitteln wie Firewall und Antivirensoftware die Angreifer abzuwehren, ist allein schon wegen der Masse nicht möglich. Und die Flut nimmt zu: Das unabhängige, deutsche IT-Sicherheitsinstitut AV-Test zählt täglich mehr als 350.000 neue Schadprogramme. Zwar setzt sich im Mittelstand immer mehr die Erkenntnis durch, dass man Personal für die Gefahren sensibilisieren müsse. „Doch viele Unternehmen schulen ihre Mitarbeitenden mit punktuellen Awareness-Kampagnen. Das hat den Nachteil, dass das Gelernte schnell wieder vergessen wird“, stellt Niklas Hellemann fest. „Eine optimale Security-Awareness-Kampagne sollte aus lernpsychologischer – und wirtschaftlicher – Perspektive deshalb kontinuierlich stattfinden. Mithilfe von regelmäßigem und interaktivem Training kann das Risiko nachhaltig gesenkt werden“, erklärt der Mitgründer und Geschäftsführer von Sosafe.
Diese Seminare bieten spezialisierte Dienstleister an – etwa Sosafe, Lucy Technology, G DATA oder Kaspersky. Auch einige Telekommunikationsanbieter wie EWE oder die Telekom-Tochter T-Systems Verfügungen über entsprechende Angebote. „Die Mitarbeiter werden damit mehr und mehr Teil der IT-Security-Verteidigungslinie. Allerdings stehen wir in Deutschland noch ganz am Anfang“, sagt Schran. Die Schulungen folgen einem didaktischen Ansatz, der das Thema IT-Security ganzheitlich betrachtet. Angefangen bei der Frage, worauf Mitarbeitende beim Arbeiten außerhalb des Büros und an öffentlichen Orten achten sollten, wie sie für sichere Passwörter sorgen können und wie sie im Homeoffice mit geschäftlichen Zugangsdaten umgehen sollten. Bis hin zu Grundsätzen, wie sie Angriffe beispielsweise in Form von Phishing erkennen, wie Cyberkriminelle sie für ihre Angriffe manipulieren oder was bei IT-Security-Vorfällen zu tun ist. „Am Ende geht es um Sensibilisierung und nachhaltige Aufmerksamkeit der Mitarbeiter“, erklärt Palo Stacho, Mitgründer und Head of Operations bei Lucy Security. „E-Learnings und Schulungen vermitteln das Grundwissen zu IT-Sicherheit. Das Gelernte konsolidiert und testet man mit Phishing-Simulationen und anderen Social-Engineering-Maßnahmen wie Smishings (Phishing per SMS) oder Bad-Media-Attacken“, sagt er. Seiner Erfahrung nach tun sich aber viele Mittelständler schwer mit solchen Methoden. „Dabei haben gerade solche Maßnahmen den größten Lerneffekt, vor allem, wenn realitätsnahe und auf die Firma individuell abgestimmte Simulationen durchgeführt werden“, sagt Stacho. Verdächtige Phishing-Mails melden die Mitarbeitenden, so kann das Sicherheitsteam sofort reagieren – und die Mitarbeitenden erhalten Feedback auf ihre Einschätzungen. Das erhöht ihr Engagement.
Keine Regeln fürs Homeoffice
Gerade der Umzug ins Homeoffice beim ersten Lockdown stellte viele Mittelständler vor Herausforderungen: „Unseren Umfragen zufolge hatten acht von zehn Mitarbeitern beispielsweise keine Regeln oder Schulungen hinsichtlich Datenschutz und IT-Sicherheit für das Arbeiten von zu Hause bekommen“, erklärt Waldemar Bergstreiser, Head of Channel Germany bei Kaspersky. „Hinzu kommt, dass Mitarbeiter oftmals ihr Wissen bezüglich IT-Sicherheit überschätzen. Die Auswertung anonymisierter Lernergebnisse unseres Kaspersky Adaptive Online Trainings zeigt, dass Lernende in 90 Prozent der Fälle, in denen sie eine falsche Antwort wählten, überzeugt waren, richtigzuliegen. Unternehmen und Mitarbeiter haben demnach noch großen Nachholbedarf in Sachen Cybersicherheits-Awareness“, stellt er fest.
Gerade was simulierte Phishing-Kampagnen als Schulungsmethode betrifft, fürchten viele Unternehmen einen negativen Einfluss auf das Betriebsklima und auf die Vertrauens- und Fehlerkultur. Mit diesem Vorurteil räumt Stacho von Lucy Security mit seiner weltweiten Onlinestudie „Nutzen und Herausforderungen von Cybersecurity-Awareness 2020“ auf: „Unsere Studie zeigt, dass die Maßnahmen bei 95 Prozent der Unternehmen bei den Mitarbeitern gut ankamen.“ So war es auch in der Kanzlei von Alexander Remplik. „Die Kolleginnen und Kollegen sind mit sportlichem Eifer dabei“, sagt er. „Der spielerische Ansatz erhöht auf jeden Fall ihre Wachsamkeit.“
Phishing & Co.
- Phishing: Angelehnt an das englische Wort „fishing“, beschreibt der Begriff den Versuch, mit fingierten E-Mails an Passwörter oder Kontodaten des Adressaten zu gelangen oder ihn dazu zu bringen, einen Link anzuklicken oder ein Dokument herunterzuladen. Dabei lädt er sich unbemerkt ein Schadprogramm auf seinen Computer.
- Smishing: Erfolgt die Attacke via SMS, nennt sich die Methode Smishing (SMS und Phishing).
- Vishing: Hier erfolgt der Angriff über das Telefon (Voice Phishing).
- Whaling: Beim Whaling – auch als CEO-Fraud (CEO-Betrug) bekannt – gibt sich der Angreifer als hochrangige Führungskraft aus und will den Angerufenen aufgrund seiner vermeintlichen Autorität dazu bringen, Geld zu überweisen oder Firmeninformationen preiszugeben.
- Spear-Phishing: Hierbei hat der Angreifer gezielt eine Führungskraft im Visier und bereitet sich akribisch vor, damit er glaubwürdig wirkt. Neben dem Abgreifen von Bankdaten ist Industriespionage typische Angriffsszenarien.
Quelle: Magazin "Creditreform"
Text: Iris Quirin