Der Faktor Mensch wird zur Achillesferse der Cybersicherheit

Jan-Dirk Kranz 22. November 2023
0 Kommentar

2022 gaben 46 Prozent der befragten Unternehmen an, dass sie schon mindestens einmal Opfer einer Cyberattacke geworden sind. Der größte Risikofaktor für diese Angriff ist oftmals der Mensch. In 80% der Fälle traf dies zu. Deshalb ist es für Unternehmen entscheidend, Wege zu finden, dieses Risiko zu minimieren, ob bei Angestellten im Büro oder jenen, die remote arbeiten. Im Folgenden dazu mehr.

Herausforderung Remote-Arbeit und Homeoffice

Die Pandemie in den letzten Jahren hat zu einem Boom bei flexiblen Arbeitsmodellen geführt. Büro-Mitarbeiter arbeiten schon lange nicht mehr ausschließlich im Büro, sondern viele wünschen sich aus verschiedenen Gründen die Möglichkeit, von zuhause oder remote zu arbeiten, also von theoretisch jedem Ort der Welt aus.

Doch diese Arbeitsmodelle bergen Risiken für die Cybersicherheit der betreffenden Unternehmen oder Institutionen. Mitarbeiter könnten von privaten Geräten aus arbeiten, die nicht den notwendigen Sicherheitsstandards entsprechen; oder aber sie nutzen öffentliche WLAN-Netzwerke, die nicht geschützt sind und damit Unternehmensdaten in Gefahr bringen.

Zudem können die Grenzen von privaten Online-Aktivitäten und jenen beruflicher Natur verwischen. Das alles kann zu Schwachstellen führen, die Cyberkriminelle nur allzu gerne ausnutzen.

Zu den Cybergefahren, die auf die Schwachstelle Mensch setzen, können unter anderem zählen:

● Phishing-Attacken: Hacker versenden gefälschte Nachrichten, um den Empfänger dazu zu verleiten, einen Link oder einen Anhang zu öffnen, um Daten zu stehlen und/oder Schadsoftware auf einem Endgerät zu installieren (z.B. Trojaner oder Keylogger).

● Social Engineering: Hacker manipulieren ihre Opfer dahingehend, Informationen preiszugeben oder Zugriffe zu gewähren. Die Täter könnten sich zum Beispiel als Techniker, Mitarbeiter eines Partnerunternehmens oder als Vorgesetzter ausgeben.

Videos von YouTube werden aus Gründen des Datenschutzes erst angezeigt, wenn die Entsprechenden Cookies akzeptiert wurden. Bitte akzeptiere statistik, Marketing cookies, um das Video zu sehen.

Video 1: Erklärung und Schutztechniken bzgl. Social-Engineering.

Maßnahmen, um die Cybersicherheit zu erhöhen

Gerätesicherheit

Eine erste Maßnahme sollte sein, dass Mitarbeiter sichere Geräte nutzen. Optimal sind PCs, Tablets oder Smartphones, die vom Unternehmen selbst zur Verfügung gestellt werden und von diesem regelmäßig auf aktuelle Sicherheitsstandards geprüft werden. Zudem sollte der Mitarbeiter diese Geräte ausschließlich für berufliche Zwecke nutzen.

Stehen keine Unternehmensgeräte zur Verfügung, ist das Unternehmen in der Verantwortung, die privaten Geräte der Mitarbeiter auf Tauglichkeit hinsichtlich der Cybersicherheit zu überprüfen.

Der Mitarbeiter muss dafür sorgen, dass nur er oder sie selbst Zugriff auf das Gerät hat, beziehungsweise auf jene Daten oder Programme des Unternehmens. Auch Familienmitglieder dürfen Arbeitsgeräte nicht verwenden, um damit online zu gehen.

Regelmäßige Mitarbeiterfortbildungen und Schulungen

Selbst wenn damit Kosten und reduzierte Arbeitszeit der Mitarbeiter verbunden sind, sollte ein Unternehmen dafür sorgen, dass Angestellte für Cyberbedrohungen sensibilisiert werden und auf dem neuesten Stand bleiben, was aktuelle Gefahren angeht.

Die Mitarbeiter sollten unter anderem in der Lage sein, Phishing-Nachrichten zu erkennen, aber ebenso, wie sie auf erfolgreiche Cyberattacken reagieren können, um den Schaden so gut es geht zu begrenzen.

Für jene Angestellte, die vermehrt oder ausschließlich außerhalb des Büros arbeiten, können zusätzliche Informationen bereitgestellt werden.

Die Relevanz von Cybersicherheit und wieso jede Investition in Mitarbeiterschulungen und sichere technische Lösungen ein gutes Investment ist, zeigt z.B. die folgende Statistik:

Statistik: Ausgaben für Cybersicherheit weltweit in den Jahren 2017 bis 2022 und eine Prognose für das Jahr 2023 (in Milliarden US-Dollar) | Statista
Mehr Statistiken finden Sie bei Statista

Sichere Zugangsdaten

Zwischen einem Cyberkriminellen und sensiblen Unternehmensdaten stehen die Logindaten der Mitarbeiter. Das Unternehmen sorgt idealerweise dafür, dass Mitarbeiter starke Passwörter für ihre Konten verwenden, die Anmeldedaten für jedes Konto individuell sind und dass Kennwörter in regelmäßigen Abständen geändert werden.

Allein auf Vertrauen zu setzen, reicht zum Schutz der Cybersicherheit nicht aus. Studien zeigen immer wieder, dass Mitarbeiter schwache Passwörter wählen, die Hacker in Sekunden knacken können. Unternehmen sind in der Verantwortung, die Angestellten beim Erstellen und Verwalten ihrer Zugangsdaten zu unterstützen. Zusätzlich kann auf eine Zwei-Faktor-Authentifizierung (2FA) gesetzt werden, so dass für Anmeldungen ein zusätzlicher Code notwendig ist.

Datenverschlüsselung

Sensible Informationen sollten sowohl bei der Übertragung als auch beim Speichern verschlüsselt sein. Das sorgt dafür, dass die Inhalte nicht durch Unbekannte gelesen werden können, selbst wenn sie sie in die Hände bekommen. Dafür ist erst eine Entschlüsselung notwendig.

Für eine Ende-zu-Ende-Verschlüsselung beim Übertragen von Informationen können spezielle E-Mail-Anwendungen genutzt werden. Zudem sollten Mitarbeiter niemals Daten des Unternehmens über Kurznachrichtendienste wie WhatsApp teilen.

Ein VPN (Virtuelles Privates Netzwerk) kann ebenfalls helfen, indem alle Daten verschlüsselt an einen VPN-Server übertragen werden. Durch die hohen Verschlüsselungsstandards, die seriöse VPN-Anbieter wählen, haben Cyberkriminelle keine Chance, die Daten in die Finger zu bekommen, geschweige denn zu lesen.

Öffentliche Hotspots meiden

Mitarbeiter sollten sich für ihre Arbeit von öffentlichen Netzwerken fernhalten, die häufig in Cafés, Hotels oder an Flughäfen zu finden und nur unzureichend gesichert sind. Eine Nutzung ist nur mit dem erwähnten VPN zu empfehlen, da es die Daten vor neugierigen Blicken schützt.

Notfallplan

Jedes Unternehmen sollte einen Reaktionsplan parat haben, was im Falle eines Notfalls zu tun ist. Denn trotz der besten Vorsichtsmaßnahmen, können Verletzungen der Cybersicherheit niemals vollständig ausgeschlossen werden. Dieser Notfallplan muss jedem Mitarbeiter bekannt sein, so dass er oder sie weiß, welche Rolle er bei der Reaktion auf eine geglückten Cyberattacke spielt (siehe „Regelmäßige Mitarbeiterfortbildungen und Schulungen“).

Bildnachweis Headerbild: AdobeStock – von VideoFlow

Kategorien: IT-Sicherheit und Cybersecurity
Tags: , , , , , , , , , , , , , , , , , , ,
Jan-Dirk Kranz
IT-Enthusiast und Code-Bezwinger. Jan-Dirk hat an der Universität Bielefeld Politikwissenschaft und Informatik studiert. Seit 2015 widmet er sich mit Leidenschaft der IT- und SEO-Welt im Rahmen von IT-Talents.de und eigenen Code-Projekten. Sein Steckenpferd ist die IT und das Web. Diese Technologien haben unsere Welt bereits heute massiv verändert und bieten disruptives Innovationspotential, das es auszuschöpfen gilt. Auch zu finden auf Xing, LinkedIn und addictedtocode.de

Rückmeldungen