Der Faktor Mensch wird zur Achillesferse der Cybersicherheit
2022 gaben 46 Prozent der befragten Unternehmen an, dass sie schon mindestens einmal Opfer einer Cyberattacke geworden sind. Der größte Risikofaktor für diese Angriff ist oftmals der Mensch. In 80% der Fälle traf dies zu. Deshalb ist es für Unternehmen entscheidend, Wege zu finden, dieses Risiko zu minimieren, ob bei Angestellten im Büro oder jenen, die remote arbeiten. Im Folgenden dazu mehr.
Herausforderung Remote-Arbeit und Homeoffice
Die Pandemie in den letzten Jahren hat zu einem Boom bei flexiblen Arbeitsmodellen geführt. Büro-Mitarbeiter arbeiten schon lange nicht mehr ausschließlich im Büro, sondern viele wünschen sich aus verschiedenen Gründen die Möglichkeit, von zuhause oder remote zu arbeiten, also von theoretisch jedem Ort der Welt aus.
Doch diese Arbeitsmodelle bergen Risiken für die Cybersicherheit der betreffenden Unternehmen oder Institutionen. Mitarbeiter könnten von privaten Geräten aus arbeiten, die nicht den notwendigen Sicherheitsstandards entsprechen; oder aber sie nutzen öffentliche WLAN-Netzwerke, die nicht geschützt sind und damit Unternehmensdaten in Gefahr bringen.
Zudem können die Grenzen von privaten Online-Aktivitäten und jenen beruflicher Natur verwischen. Das alles kann zu Schwachstellen führen, die Cyberkriminelle nur allzu gerne ausnutzen.
Zu den Cybergefahren, die auf die Schwachstelle Mensch setzen, können unter anderem zählen:
● Phishing-Attacken: Hacker versenden gefälschte Nachrichten, um den Empfänger dazu zu verleiten, einen Link oder einen Anhang zu öffnen, um Daten zu stehlen und/oder Schadsoftware auf einem Endgerät zu installieren (z.B. Trojaner oder Keylogger).
● Social Engineering: Hacker manipulieren ihre Opfer dahingehend, Informationen preiszugeben oder Zugriffe zu gewähren. Die Täter könnten sich zum Beispiel als Techniker, Mitarbeiter eines Partnerunternehmens oder als Vorgesetzter ausgeben.
Video 1: Erklärung und Schutztechniken bzgl. Social-Engineering.
Maßnahmen, um die Cybersicherheit zu erhöhen
Gerätesicherheit
Eine erste Maßnahme sollte sein, dass Mitarbeiter sichere Geräte nutzen. Optimal sind PCs, Tablets oder Smartphones, die vom Unternehmen selbst zur Verfügung gestellt werden und von diesem regelmäßig auf aktuelle Sicherheitsstandards geprüft werden. Zudem sollte der Mitarbeiter diese Geräte ausschließlich für berufliche Zwecke nutzen.
Stehen keine Unternehmensgeräte zur Verfügung, ist das Unternehmen in der Verantwortung, die privaten Geräte der Mitarbeiter auf Tauglichkeit hinsichtlich der Cybersicherheit zu überprüfen.
Der Mitarbeiter muss dafür sorgen, dass nur er oder sie selbst Zugriff auf das Gerät hat, beziehungsweise auf jene Daten oder Programme des Unternehmens. Auch Familienmitglieder dürfen Arbeitsgeräte nicht verwenden, um damit online zu gehen.
Regelmäßige Mitarbeiterfortbildungen und Schulungen
Selbst wenn damit Kosten und reduzierte Arbeitszeit der Mitarbeiter verbunden sind, sollte ein Unternehmen dafür sorgen, dass Angestellte für Cyberbedrohungen sensibilisiert werden und auf dem neuesten Stand bleiben, was aktuelle Gefahren angeht.
Die Mitarbeiter sollten unter anderem in der Lage sein, Phishing-Nachrichten zu erkennen, aber ebenso, wie sie auf erfolgreiche Cyberattacken reagieren können, um den Schaden so gut es geht zu begrenzen.
Für jene Angestellte, die vermehrt oder ausschließlich außerhalb des Büros arbeiten, können zusätzliche Informationen bereitgestellt werden.
Die Relevanz von Cybersicherheit und wieso jede Investition in Mitarbeiterschulungen und sichere technische Lösungen ein gutes Investment ist, zeigt z.B. die folgende Statistik:
Mehr Statistiken finden Sie bei Statista
Sichere Zugangsdaten
Zwischen einem Cyberkriminellen und sensiblen Unternehmensdaten stehen die Logindaten der Mitarbeiter. Das Unternehmen sorgt idealerweise dafür, dass Mitarbeiter starke Passwörter für ihre Konten verwenden, die Anmeldedaten für jedes Konto individuell sind und dass Kennwörter in regelmäßigen Abständen geändert werden.
Allein auf Vertrauen zu setzen, reicht zum Schutz der Cybersicherheit nicht aus. Studien zeigen immer wieder, dass Mitarbeiter schwache Passwörter wählen, die Hacker in Sekunden knacken können. Unternehmen sind in der Verantwortung, die Angestellten beim Erstellen und Verwalten ihrer Zugangsdaten zu unterstützen. Zusätzlich kann auf eine Zwei-Faktor-Authentifizierung (2FA) gesetzt werden, so dass für Anmeldungen ein zusätzlicher Code notwendig ist.
Datenverschlüsselung
Sensible Informationen sollten sowohl bei der Übertragung als auch beim Speichern verschlüsselt sein. Das sorgt dafür, dass die Inhalte nicht durch Unbekannte gelesen werden können, selbst wenn sie sie in die Hände bekommen. Dafür ist erst eine Entschlüsselung notwendig.
Für eine Ende-zu-Ende-Verschlüsselung beim Übertragen von Informationen können spezielle E-Mail-Anwendungen genutzt werden. Zudem sollten Mitarbeiter niemals Daten des Unternehmens über Kurznachrichtendienste wie WhatsApp teilen.
Ein VPN (Virtuelles Privates Netzwerk) kann ebenfalls helfen, indem alle Daten verschlüsselt an einen VPN-Server übertragen werden. Durch die hohen Verschlüsselungsstandards, die seriöse VPN-Anbieter wählen, haben Cyberkriminelle keine Chance, die Daten in die Finger zu bekommen, geschweige denn zu lesen.
Öffentliche Hotspots meiden
Mitarbeiter sollten sich für ihre Arbeit von öffentlichen Netzwerken fernhalten, die häufig in Cafés, Hotels oder an Flughäfen zu finden und nur unzureichend gesichert sind. Eine Nutzung ist nur mit dem erwähnten VPN zu empfehlen, da es die Daten vor neugierigen Blicken schützt.
Notfallplan
Jedes Unternehmen sollte einen Reaktionsplan parat haben, was im Falle eines Notfalls zu tun ist. Denn trotz der besten Vorsichtsmaßnahmen, können Verletzungen der Cybersicherheit niemals vollständig ausgeschlossen werden. Dieser Notfallplan muss jedem Mitarbeiter bekannt sein, so dass er oder sie weiß, welche Rolle er bei der Reaktion auf eine geglückten Cyberattacke spielt (siehe „Regelmäßige Mitarbeiterfortbildungen und Schulungen“).
Bildnachweis Headerbild: AdobeStock – von VideoFlow
Rückmeldungen