23.Februar 2023 | Team Datenschutz | Thema: IT-Sicherheit

Sensibilisierung gegen Cybercrime

Beschäftigte im Unternehmen für das Thema sensibilisieren

Cyber-Kriminalität befindet sich global auf dem Vormarsch. Eine weltweit durchgeführte Umfrage aus dem Jahr 2022 ergab, dass rund 46 Prozent der befragten Unternehmen in Deutschland mindestens einmal Opfer einer Cyber-Attacke geworden waren. Gerade Social Engineering und Phishing trifft Unternehmen hart. Aber wie kann man Cyber-Kriminalität im Unternehmen begegnen und welche Maßnahmen sind sinnvoll zu ergreifen?

Eigentlich ist die Antwort einfach: Awareness, Awareness, Awareness!!

Dazu gehört auch, dass die Beschäftigten für Cybercrime und mögliche Angriffsszenarien sensibilisiert werden, denn sie sind ein wichtiges Glied in der Kette zur Verhinderung von Cyber-Kriminalität und dessen Folgen. Denn die Sicherheit des Unternehmens ist nun mal nur so stark, wie das schwächste Glied in der Kette.

Wo lauern Gefahren für Cyber-kriminelle Angriffe?

Cyber-Kriminalität fängt schon beim Durchsuchen des Abfalls nach wichtigen Informationen an. Es sollte daher strengstens darauf geachtet werden, was im Müll entsorgt wird. Neben einfachen Zettelwirtschaften, die in den Papiermüll geworfen werden, landen auch ganze Notizbücher mit Informationen zu Kundengesprächen, Ansprechpartner*innen und Telefonnummern zusammen mit sensiblen Preis- oder Produktinformationen im Müll. Solche Nachlässigkeiten verschaffen Angreifenden ggf. einen Zugang. Abhilfe kann durch Schreddern oder durch Datentonnen geschaffen werden.

Oftmals sind es aber auch präparierte USB-Sticks, die absichtlich ausgelegt und nur „vorgetäuscht“ verloren gehen, von Beschäftigten „aufgefunden“ und ans Firmenlaufwerk angeschlossen werden. Dadurch kann vom Angreifenden Software aufgespielt werden, die Schäden am Firmenlaufwerk verursachen. Oder es können Daten mitgelesen und diese an den Angreifenden versendet werden. So können z.B. Zugänge und Passwörter ausspioniert oder auch ganze E-Mail-Verkehre mitgelesen werden.

Social Engineering

Beim Social Engineering werden menschliche Eigenschaften wie Vertrauen, Angst, Hilfsbereitschaft oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren. Cyber-Kriminelle versuchen über eine mehr oder weniger persönliche Beziehung zu Beschäftigten, Unternehmensinformationen zu erhalten, die anschließend gegen das Unternehmen zur weiteren Informationsgewinnung genutzt werden. Social Engineering kann durch Anrufe beim Mitarbeiter erfolgen oder auch über private oder berufliche Social-Media-Kanäle. Bei ersterem geben sich Angreifende oftmals als Kunde oder Kollege aus und nutzen dabei bereits vorhandene Informationen, um weitere Informationen zu Beschäftigten oder Sicherheitsmaßnahmen im Unternehmen zu erhalten. Auf diese Weise erhalten die Angreifenden einzelne Informationen, die sie dann zusammentragen können. Diese Art der Informationsgewinnung durch Unbefugte ist für die Betroffenen oftmals nur sehr schwer zu erkennen. Es empfiehlt sich bei solcher Art von Anrufen, nicht auf die Anfrage einzugehen, sondern durch eine selbst initiierte telefonische Rückfrage den Anrufenden zu verifizieren, den Grund für die Abfrage zu klären und erst bei Authentifizierung des Fragenden die Informationen zuzuliefern oder bei Zweifeln die Informationen gänzlich zurück zu halten und Rücksprache mit Vorgesetzten und/oder der IT-Abteilung zu halten.

Aber auch unbeobachtete Einblicke in Unterlagen, sei es analog oder digital, können viele Informationen preisgeben. Genauso wie Informationen durch das Belauschen von Gesprächen genutzt werden können, um mit dem erlangten Wissen weitere Informationen zu generieren.

Phishing

Phishing beschreibt die Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdige Kommunikationspartner*in in einer elektronischen Kommunikation auszugeben. Durch die Phishing Nachrichten wird versucht, Informationen zu erhalten oder Schadsoftware auf die Geräte zu installieren. Die Adressaten sollen verleitet werden

  • zum Anklicken von Links oder Anhängen,
  • durch Weiterleitung auf kompromittierte Webseiten zur Eingabe von Zugangsdaten,
  • durch das Anklicken eines Links Schadsoftware zu laden,
  • Finanztransaktionen zu veranlassen oder umzuleiten,
  • und viele weitere Varianten…

Durch die Nutzung von auf diese Weise erbeuteten Passwörtern kann es zu Identitätsdiebstahl kommen, wenn z.B. durch Zugriff auf den E-Mail Account des Opfers gezielt Nachrichten an dessen Kontakte versendet werden.

Früher waren Phishing-Mails relativ leicht durch Rechtschreibfehler oder unplausible Absender zu erkennen, heute sehen die Mails oft sehr professionell und täuschend echt aus.  Auch die eingesetzten E-Mail-Programme haben sich verändert. Früher wurden E-Mail-Adressen angezeigt, wenn der Cursor auf enthaltenen E-Mails stand – heute kaum noch. Viele Postfach Einstellungen sind mittlerweile derart gestaltet, dass nur noch der Name des Absenders, aber nicht mehr die E-Mail-Adresse angezeigt wird.

Dem können nur äußerst bedingt Programme zur Mail-Header-Analyse abhelfen, mit denen die Absender-Adresse analysiert werden kann. Dafür ist aber Fachwissen gefragt, für Nicht-ITler ist es kaum möglich, die Analyse richtig zu lesen. Manche Phishing-Mails sind mittlerweile derart gut gemacht, dass sie teilweise von den Adressaten nur noch über die Verifizierung von Konto-, Telefonnummer oder der URL als Phishing-Nachricht identifiziert werden können. Daher eine große Empfehlung: Bitte immer genau prüfen und hinschauen, welche E-Mail geöffnet wird und welcher Link angeklickt wird.

Beschäftigte zur Abwehr schulen – daran führt kein Weg vorbei

Zur wirksamen Abwehr müssen Beschäftigte dringend geschult und über aktuelle Vorgehensweisen der Cyber-Kriminellen informiert werden. Ein äußerst wichtiges Mittel zur Verhinderung von Cybercrime sind neben der Awareness der Beschäftigten, das Implementieren von konkreten Meldewegen für eventuelle Vorfälle sowie die Benennung und Bekanntgabe konkreter Ansprechpartner*innen für Rückfragen. Beschäftigte schätzen es, zu entdeckten bzw. vermeintlichen Angriffen Fragen stellen zu können. Das verschafft Sicherheit und ein Gefühl von Rückhalt im Unternehmen.

Ein weiteres Mittel Awareness zu generieren ist, simulierte Angriffe im Unternehmen durchzuführen. Aber hier sollte sensibel darauf geachtet werden, wie solche simulierten Angriffe durchgeführt werden, denn solche Simulationen können auch negative Seiteneffekte mit sich bringen: Die gesamte Vertrauenskultur im Unternehmen könnte darunter leiden und evt. schon vorhandene schwierige kollegiale Beziehungen könnten sich noch weiter verschärfen. Die Sicherheit im Unternehmen kann sogar im Gegenteil massiv beeinträchtigt werden – als Folge der Unsicherheit der Beschäftigten und des entstehenden psychologischen Drucks, vielleicht falsch zu reagieren.

Fazit

Neben einem guten angriffssicheren technischen System müssen auch die Mitarbeitenden gut ausgebildet und geschult für Cyber-Angriffe sein. Deshalb sollte unbedingt darauf geachtet werden, dass Mitarbeitenden die nötigen Informationen in Form von Schulungen und Sensibilisierungsmaßnahmen zur Verfügung stehen und im Unternehmen effiziente und wirksame Meldeketten implementiert werden.

Sprecht uns gerne an, wenn ihr abklären möchtet, welche Maßnahmen für euer Unternehmen sinnvoll sind:

Team Datenschutz & Informationssicherheit

Telefon: +49 (0)30 293 98 320
Mail: akademie@procado.de

 


procado bietet auch entsprechende E-Learnings und Schulungen an.

E-Learning zum Thema Informationssicherheit: https://www.procado.de/akademie/e-learning/informationssicherheit/

Informationssicherheitsschulungen: https://www.procado.de/akademie/informationssicherheits-schulungen/