Best Practice Proofpoint 18.11.2019, 07:20 Uhr

Hier wird gephished!

Wer punkto Cybersicherheit kriminellen Akteuren einen Schritt voraus bleiben möchte, muss agil sein. Ständig kommen neue Bedrohungen hinzu, während andere sich stetig weiterentwickeln. Eine Verteidigungslinie wird jedoch häufig übersehen: der Mensch!
Wer jeden Mitarbeitenden für das Thema ITSecurity sensibilisiert, kann aus dem Team quasi eine «lebendige Firewall» formen
(Quelle: Shutterstock/Alexandru Chiriac )
Die Kenntnisse der Mitarbeitenden im Bereich Cybersicherheit sind als ebenso wichtig einzuschätzen wie andere Sicherheitsrichtlinien und -kontrollen, die in einem Unternehmen verankert wurden. Denn in den allermeisten Fällen richten sich Cyberattacken im ersten Schritt gegen Einzelne im Team. In der Tat benötigen 99 Prozent aller Cyberangriffe die Interaktion mit einer Person, um Schaden anzurichten. Insofern gilt die Regel: Je mehr die Endnutzer verstehen, welche Auswirkungen ihre Aktionen auf die Sicherheit des Unternehmens – Daten, Systeme, Finanzen – haben können, desto besser ist die allgemeine Sicherheitslage zu bewerten.
Leider ist es um das Verständnis vieler Mitarbeitenden hinsichtlich Cybersicherheit aber schlechter bestellt, als IT-Sicherheitsverantwortliche dies oft wahrhaben wollen. Zu diesem Ergebnis kamen unsere Analysten im Rahmen der aktuellen «Beyond the Phish»-Studie, für die 130 Millionen Antworten von Mitarbeitern aus 16 Branchen auf Fragen rund um Phishing, Datenschutz, Ransomware und Social-Media-Sicherheit ausgewertet wurden.
Über alle Themengebiete und Branchen hinweg wurden insgesamt 22 Prozent der Fragen falsch beantwortet, was darauf hinweist, dass jeder fünfte Mitarbeiter Wissenslücken im Bereich Cybersicherheit hat. Manche dieser Lücken sind jedoch grösser beziehungsweise schwerwiegender als andere. So konnte ein Viertel (25 Prozent) aller Studienteilnehmer Phishing-Angriffe nicht korrekt als solche identifizieren. Wenn man bedenkt, dass Phishing bei 32 Prozent der bestätigten Datenpannen und sage und schreibe 78 Prozent der Vorfälle von Cyberspionage als Angriffsvektor diente, ist dieser hohe Prozentsatz zu gleichen Teilen erstaunlich und beunruhigend.

Phishing ist hier, um zu bleiben

Phishing ist eine allgegenwärtige Gefahr, der sich Unternehmen aller Branchen und Grössen gegenübersehen. Laut dem «2019 State of the Phish»-Report von Proofpoint gaben 83 Prozent der teilnehmenden Infosecurity-Experten aus aller Welt an, im Jahr 2018 mittels Phishing angegriffen worden zu sein. Dennoch wiesen Mitarbeiter verschiedenster Branchen bei diesem Thema grosse Wissenslücken auf. Die Branchen Verteidigung und Versicherungen schnitten mit «nur» 23 Prozent falschen Antworten noch am besten ab. Schlusslichter im Branchenvergleich waren das produzierende Gewerbe und der Transportsektor mit 27 Prozent inkorrekt beantworteter Fragen.
Es wäre jedoch falsch, sich nur auf die Ergebnisse dieser Umfrage zu stützen, um das Sicherheitsbewusstsein der Anwenderinnen und Anwender abschliessend zu bewerten. Auch sollten Themen wie die Verwendung sicherer Passwörter, Datenschutz und nicht zuletzt die Ergebnisse simulierter Angriffe, wie sie im Rahmen von Security Awareness Trainings durchgeführt werden, miteinbezogen werden.
Zu hoffen, Phishing wäre nur ein vorübergehendes Phänomen, wäre an dieser Stelle absolut verkehrt. «Einer klickt immer», heisst es. Und solange sich Cyberkriminelle darauf verlassen können, dass dies auch stimmt, solange stellen Phishing-Angriffe ein äusserst lukratives Geschäft für sie dar und werden aller Voraussicht nach in ihrer Intensität und Raffinesse noch zunehmen.

Wissenslücken schliessen

Wissenslücken zu erkennen, ist eine Sache. Eine ganz andere ist es, diese zu schliessen. Um den Kenntnisstand der Mitarbeitenden hinsichtlich komplexer Themenbereiche zu verbessern und ihr Verhalten nachhaltig zu ändern, ist nur eine Vorgehensweise wirklich effektiv: Umfassende und kontinuierliche Schulungen, die immer die aktuelle Bedrohungslage thematisieren, der sich ein Unternehmen gegenübersieht. Diese Trainings sollten regelmässige Bewertungen ebenso beinhalten wie die ergänzende Vermittlung von Fachwissen und Aktivitäten der Lernverstärkung wie die oben erwähnten simulierten Angriffe.
“Phishing trifft Unternehmen aller Branchen und Grössen„
Werner Thalmeier
Um die Hypothese «Trainings machen einen deutlichen Unterschied» mit Zahlen zu untermauern, wurden zwei Gruppen der Studienteilnehmer miteinander verglichen. Zum einen die Gesamtheit der Endnutzer und zum anderen eine Gruppe all jener Endnutzer, die an den oben beschriebenen, umfangreichen Trainingsmassnahmen teilgenommen hatten. Die Ergebnisse fielen noch deutlicher aus, als wir dies erwartet hätten. Nicht nur lagen die Resultate der Endnutzer, die umfangreiche Trainings erhielten, über dem Durchschnitt; zum Teil waren die Verbesserungen signifikant! Positiv zu bewerten sind im Themenkomplex Phishing insbesondere die Ergebnisse der Trainingsgruppe in den Bereichen Account-Authentifizierung und Sicherheit beim Umgang mit mobilen Endgeräten. Je mehr Menschen in Unternehmen mit Phishing-Angriffen konfrontiert werden, bei denen versucht wird, Passwörter abzugreifen – zum Beispiel für Cloud-Konten (das sogenannte Credential Phishing), desto mehr müssen Unternehmen ihre Mitarbeitenden mit allen Kenntnissen ausstatten, sodass jeder Einzelne jederzeit die richtige Entscheidung treffen kann. Alles andere könnte fatale Folgen für das Unternehmen haben und weitaus höhere Kosten nach sich ziehen.

Sicherheitsbewusstsein verankern

Unternehmen, denen es nicht gelingt, eine Kultur des gesunden Misstrauens sowie der individuellen Verantwortlichkeit im Spannungsfeld Cyberkriminalität zu etablieren, werden Angriffen fast hilflos ausgeliefert sein. Der Mensch muss zu einer tragenden Säule bei der Abwehr von Angriffen aus dem Internet werden.
Um die Mitarbeitenden quasi zur «lebenden» Firewall zu machen, sollten IT-Security-Verantwortliche folgende Massnahmen umsetzen:
  • Unternehmen sollten umfassende und kontinuierlich stattfindende Cybersicherheitstrainings für alle Mitarbeiterinnen und Mitarbeiter auf allen Hierarchieebenen durchführen. Hierzu zählt nicht nur, die Endanwender dahingehend zu informieren, wie sie einen Phishing-Angriff korrekt identifizieren. Man muss ihnen auch die richtige Vorgehensweise an die Hand geben, damit sie korrekt reagieren, wenn sie eine Phishing-E-Mail erhalten. Nicht zuletzt gilt es, nachhaltig zu einer Verhaltensänderung der Anwender beizutragen.
  • Man muss sicherstellen, dass Mitarbeitende die empfohlenen Vorgehensweisen rund um die Cybersicherheit auch verinnerlicht haben. Hierzu gehört unter anderem das richtige Verhalten bezüglich des Umgangs mit Passwörtern. Nicht alle Sicherheitsvorfälle gehen aus einem Angriff Dritter hervor. Die Mitarbeiterinnen und Mitarbeiter hinsichtlich Datensicherheit zu sensibilisieren, ist deshalb von höchster Wichtigkeit.
  • Man sollte die Mitglieder im Team nicht nur dahingehend informieren, «wie» sie auf Phishing-E-Mails zu reagieren haben. Darüber hinaus sollten Schulungen zudem aufzeigen, welche Zielsetzungen Cyberkriminelle mit ihren Attacken verfolgen, weshalb sie dafür Phishing als Angriffsmethode verwenden und weshalb das Verhalten jedes einzelnen Mitarbeitenden elementar für die IT-Sicherheit des Unternehmens ist.

Fazit

Wenn sich dieses Bewusstsein in den Köpfen der Mitarbeitenden verankert hat und ihr Kenntnisstand deutlich verbessert werden konnte, wird sich ihr Verhalten nachhaltig ändern. Und genau hier wird der Unterschied zwischen einem erfolgten Angriff und einer (für den Cyberkriminellen) erfolgreichen Attacke zu finden sein.
Der Autor
Werner Thalmeier
Proofpoint
Werner Thalmeier ist Director Sales Engineering EMEA bei Proofpoint. www.proofpoint.com/de

Das könnte Sie auch interessieren