«Es muss schnellstens ein Umdenken stattfinden»

Adenike Cosgrove: Die Bedrohungen richten sich immer weniger gegen die Infrastruktur, dafür gewinnen Social-Engineering-Angriffe mehr und mehr an Bedeutung. Während in der jüngeren Vergangenheit Server, Endgeräte und Netzwerke Ziele von Cyberattacken waren, so richten sich Cyberbedrohungen heute primär gegen den Menschen, die Mitarbeiter. Und vielfach sind es nicht die traditionell als VIP angesehenen Personen eines Unternehmens, die ins Visier der kriminellen Akteure geraten. Wir verwenden vielmehr den Begriff Very Attacked Persons (VAP), um diese Personengruppe zu beschreiben. Wer dazu zählt, kann für jedes Unternehmen unterschiedlich sein und muss ganz individuell bestimmt werden. Häufig sind es aber Personen, die Zugang zu unternehmenskritischen Systemen haben oder Überweisungen anweisen oder vornehmen können.

Cosgrove: Diese Veränderungen im Angriffsverhalten müssen von den IT-Sicherheitsverantwortlichen und der Unternehmensleitung zum Anlass genommen werden, ihre eigene Security-Strategie auf den Prüfstand zu stellen. Vielfach werden noch 60 Prozent oder mehr des IT-Sicherheitsbudgets in die Netzwerksicherheit investiert. Doch wenn mehr als 90 Prozent aller zielgerichteten Angriffe von einer E-Mail ausgehen, wird schnell deutlich, dass hier ein Ungleichgewicht vorliegt. Hier muss schnellstens ein Umdenken stattfinden, um diese Sicherheitslücke zu schliessen.

Cosgrove: Schulungen sind äusserst effektiv. Denn letztlich reicht schon ein unbedachter Klick auf den falschen Anhang aus, um Cyberkriminellen die virtuellen Türen zu öffnen. Dies belegt etwa ein Beispiel der Royal Bank of Scotland (RBS). Die Royal Bank of Scotland entschied sich, ihre 80 000 Mitarbeiter simulierten Phishing-Attacken auszusetzen, um so herauszufinden, wie hoch die Gefahr tatsächlich war. Man entschied sich dann, die Mitarbeiter, die mehrfach auf fingierte E-Mails hereingefallen waren, intensiven Trainings zu unterziehen. Durch Kombination dieser Aktivitäten konnte die Wahrscheinlichkeit, dass Nutzer auf eine echte Phishing-E-Mail klicken, um 78 Prozent gesenkt werden. Auch ein Trainingsfokus auf die VAP-Gruppe ist sinnvoll, sodass limitierte Ressourcen auf diejenigen konzentriert werden, die sie am dringendsten benötigen.

Cosgrove: Misstrauen zu schulen, ist wichtig. Doch neben umfassenden Security Awareness Trainings können Unternehmen auch auf technischer Ebene einiges tun. Zu erwähnen ist hier einmal die Nutzung des DMARC-Authentifizierungsstandards, mit dem eine ganze Phishing-Kategorie – das Domain-Spoofing – quasi auf einmal ad acta gelegt werden könnte. Doch bis heute haben nur 32 Prozent der Global-2000-Unternehmen DMARC eingeführt. In der Schweiz stellt sich die Situation etwas besser dar. So nutzen heute schon 17 der 20 im SMI notierten Unternehmen DMARC. Grossen Nachholbedarf gibt es noch im öffentlichen Sektor; dort veröffentlichen erst zwei von insgesamt 26 Kantons-Domains diesen Eintrag.

Cosgrove: Neben der Einhaltung der DMARC-Standards sollten Unternehmen auch auf Software-Lösungen setzen, um die Flut bösartiger E-Mails im Posteingang zu reduzieren. Wählen Sie eine Lösung, die sowohl E-Mails mit schädlichen Anhängen als auch URLs blockieren bzw. isolieren kann. Wenn diese Nachrichten die Posteingänge der Nutzer nicht erreichen, können Malware-infizierte Anhänge nicht geöffnet und unbedachte Klicks auf bösartige URLs vermieden werden.