Aktuelles

Wir müssen die Welle brechen. Ein Umdenken für höhere Datensicherheit

DR. ROLF DÖRR

Die Zahl der Corona-Neuinfektionen befindet sich Anfang 2021 noch immer auf einem gefährlichen Höchststand. Unsere Regierung fordert uns mit Recht zum Umdenken auf: Wir müssen unser Verhalten ändern! Sonst droht eine Katastrophe.

Corona-bedingt befindet sich auch die Zahl der Angriffe auf die IT-Strukturen von Unternehmen, Bildungseinrichtungen und privaten Nutzern ebenfalls auf einem Höchststand. Das gilt im geschäftlichen Umfeld gleichermaßen wie im Privatbe-reich. Noch nie gab es so viele Hacker-Angriffe, Phishing-Attacken, Trojaner-Eindringlinge, etc. wie momentan. Kein Wunder: Noch nie gab es so viele Tätigkeiten aus dem Home-Office – einer Struktur, die selten optimal geschützt ist.

Jüngstes Beispiel: Phishing Attacken auf eines der größten Software-Häuser Deutschlands. Dabei wurden keine Daten gestohlen, sondern zahlreiche Betriebsdaten von Unbekannten verschlüsselt, so dass eine Weiterführung des Geschäftsbetriebs ohne Entschlüsselung unmöglich wurde. Nur gegen Zahlung eines Lösegeldes konnten die Daten wieder entschlüsselt werden.

Der Viren-Angriff auf die JL-Universität in Gießen Ende 2019 legte die gesamte IT-Infrastruktur für mehrere Monate lahm und kostete mehr als € 1,7 Millionen an direkten Kosten zur Schadensbeseitigung (Gießener Allgemeine vom 30. Juni 2020). Auch hier gilt: Alle Mitarbeiter sowie private Nutzer müssen umdenken, wir alle müssen unser Verhalten ändern.

02 feb photo


Datensicherheit ist längst kein Thema mehr allein für die IT-Abteiling

Daten-Sicherheit betrifft nahezu jeden Bürger. Jeder Mitarbeiter eines Unternehmens oder einer Organisation ist mit-verantwortlich für die Daten-Sicherheit. Vom Marketing-Spezialisten bis zum CFO, vom Logistiker bis zum Chef der Kantine, alle Mitarbeiter, die einen Rechner mit Zugang zu Netzwerken nutzen, müssen ihre Verantwortung kennen und in der Lage sein, in IT-Sicherheitsfragen sicher handeln zu können.

Wie aber erreicht man das?

Alle Mitarbeiter müssen entsprechend ausgebildet werden! Sie müssen die Bedrohungen erkennen können und lernen, richtig darauf zu reagieren. Dies geschieht in einem fortdauernden Lern-Prozess. Das Thema lässt sich nicht in einem Projekt abhandeln, denn dafür sind die Bedrohungen zu verschieden. Zudem ändern sich die Muster ständig, was ein kontinuierliches Training in IT-Sicherheitsfragen erfordert. Es muss eine dauerhafte Sensibilität in der IT-Anwendung erreicht werden.

Die Lösung

Größere Unternehmen haben häufiger eigene IT-Schulungs-Abteilungen, die sich um die Lerninhalte kümmern und sämtliche Mitarbeiter auf einem hohen Niveau an Sicherheitsbewusstsein in IT-Fragen halten. Für mittlere bis kleinere Unternehmen ist dies betriebswirtschaftlich kaum machbar. Daher haben sich in den letzten Jah-ren eine Reihe von Software-Häusern gebildet, die über cloud-basierte Online-Trainings und Tutorials interessierten Benutzergruppen Module zu praktisch allen Themen der IT-Sicherheit anbieten. Durch das Angebot einer Cloud-Lösung kann sich das auszubildende Personal zu jeder Zeit und von jedem Ort aus in die Schulungen einwählen und diese absolvieren. Dabei werden Lern-Fortschritte gemessen und analysiert und neue Themen im Wechsel vorgeschlagen. Diese um-fassen u.a.:

  • Wie erzeuge ich ein sicheres Passwort?
  • Was ist bei Home-Office Anwendungen zu beachten?
  • Wie erkenne ich sicher eine gefährliche Phishing-Mail?
  • Was beinhaltet die DSGVO und wie befolge ich sie sicher?
  • Was ist die Bedeutung einer sicheren Verbindung (https)?

Die Trainingseinheiten sind didaktisch passend aufbereitet und lassen sich kurzweilig absolvieren. Sie dauern in der Regel 10 bis 15 Minuten und werden meist mit einem Wissenstest abgeschlossen. Oft sind sie in mehreren Sprachen verfügbar, so dass auch global agierende Unternehmen bzw. Organisationen auf diese Ange-bote zugreifen können.

Dadurch, dass die spezifischen Lehr-Inhalte über einen großen Kreis von Usern verteilt werden, können sie auch kostengünstig angeboten werden. Je nach Dauer und Anzahl der Nutzer liegen die Preise bei € 1,50 bis € 5 pro Teilnehmer und Monat. Verglichen mit den Investitionen für Hard- und Software-Systeme (wie Network-Server, Firewalls, VPN-Verbindungen, etc.) sind die Kosten für die Ausbildung der Belegschaft ausgesprochen moderat.

Beispeil: Phishing-Angriffe

In Wikipedia findet man zu dem Begriff Phishing:

„Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‚Angeln‘) versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Ziel des Betrugs ist es an persönliche Daten eines Internet-Benutzers zu gelangen oder ihn z. B. zur Ausführung einer schädlichen Aktion zu bewegen. In der Folge werden dann beispielsweise Kontoplünderung oder Identitätsdiebstahl begangen oder eine Schadsoftware installiert. Es handelt sich dabei um eine Form der Kommunikation, bei der die Gutgläubigkeit des Opfers ausgenutzt wird.“

Beispiel: Ein Mitarbeiter erhält eine Mail, die aussieht, als würde sie von einem Kollegen kommen. Dieser bietet an, den angegebenen Link anzuklicken, um zu einer geheimen Gehaltsliste aller Mitarbeiter zu gelangen. Selbst wenn von vielen Empfängern dieser Mail nur wenige den Link anklicken, ist die Katastrophe perfekt: Der Angreifer leitet mit dem Link auf eine nichtsagende Seite und schmuggelt dabei einen Trojaner auf den Rechner, mit dem er später wertvolle, vertrauliche Daten absaugt.

Schlimmer noch, wenn der Angreifer sich durch den fälschlicherweise getätigten Link den Weg zu wichtigen Firmendaten bahnt und diese verschlüsselt, damit kein Mitarbeiter mehr auf die Unternehmens-Daten zugreifen kann. Damit wird die Existenz der Firma gefährdet. Nur durch eine Zahlung von Lösegeld erhält man die Souveränität über die eigenen Daten zurück. Ein beträchtlicher materieller und Image-Verlust für das Unternehmen!

Lösung: Phishing-Simulationen

Die meisten Anbieter von Online Trainings zu Fragen der Cyber-Sicherheit bieten auch Simulationen von Phishing-Attacken für alle Mitarbeiter an. Dazu haben sie in der Regel eine Reihe von vorgefertigten Phishing-E-Mails, die auf den Einsatz in jeder Organisation zugeschnitten sind. Diese E-Mails enthalten einen sicheren, scheinbar bösartigen Link. Wenn ein Mitarbeiter auf den Link klickt, wird er zu einer sicheren Landing-Page mit direktem Feedback und mehreren Hinweisen zur Erkennung einer Phishing-E-Mail weitergeleitet. Eine Phishing-Simulation ist also gleichzeitig ein Moment der Erkenntnis.

Wiederholte Phishing-Simulationen

Eine einmalige Phishing-Simulation liefert lediglich eine Momentaufnahme der aktuellen Situation. Es wird daher empfohlen, die Simulationen mit steigendem Schwierigkeitsgrad regelmäßig durchzuführen, damit der Fortschritt der Mitarbeiter überwacht werden kann. Als nützliche Frequenz haben sich in der Praxis 6 Simulationen innerhalb von 12 Monaten erwiesen.

Phishing: Cyber-Bedrohung Nummer 1

  • 85% aller Organisationen sind Opfer von Phishing-Angriffen geworden.
  • Phishing ist an 90% aller erfolgreichen Cyber-Sicherheitsangriffe beteiligt.
  • Phishing-E-Mails sind oft kaum von echten E-Mails zu unterscheiden.
  • Kriminelle beschränken sich längst nicht mehr nur auf E-Mails.

Über den Autor

Dr. Rolf Dörr ist seit vielen Jahren im IT- Security Geschäft in Deutschland und Europa tätig. Er hat verschiedene Anbieter von HW-/SW-Systemen zur Erhöhung der Datensicherheit als CEO geleitet. Dörr ist ein gefragter Sprecher auf internationalen Tagungen und Foren. Innerhalb von Awaretrain ist er für das Geschäft in der DACH-Region verantwortlich.

+49-6035-970 151 r.doerr@awaretrain.com

Entdecken Sie DIE Online-Plattform für Sicherheitsbewusstsein

Kostenlose Demo

Aktuelle Entwicklungen

Sehen Sie sich unsere anderen Blogs und News-Artikel an.

logo 03 aug
Case Study | HORNBACH | Security Awareness ist keine einmalige Aktion Lesen Sie mehr
logo 15 jul
Die Phishing-Mail-Checkliste. 9 Tipps zum Erkennen von Phishing. Lesen Sie mehr
logo 01 jun
Es ist an der Zeit, sich gegen CEO-Fraud zu wappnen Lesen Sie mehr
Nachrichtenarchiv