Sponsored by

Security Awareness auf allen Ebenen

Sagen Sie kriminellen Hackern den Kampf an – und zwar auf jeder Ebene Ihres Unternehmens.

Hier erfahren Sie, wie nicht nur Sie selbst, sondern auch Ihre Mitarbeiter zu wehrhaften Cybersecurity Warriors werden.

  • 1

    Gute Unternehmen, schlechte Unternehmen

    IT-Sicherheit findet ihren Ursprung nicht in Technologien oder IT-Systemen, sondern in den Köpfen der Menschen, die mit der Technik umgehen sollen. Da 80 Prozent aller Security-Vorfälle auf menschliches Fehlverhalten zurückzuführen sind, gibt es hier offensichtlich noch jede Menge zu tun. Das Twitter-Datenleak, das zahlreiche deutsche Politiker und Prominente Ende 2018 brüskierte, ist nur eines zahlreicher Beispiele aus der jüngeren Vergangenheit, die eindrucksvoll demonstrieren, wie spärlich es um das Sicherheitsbewusstsein in allen Teilen der Gesellschaft bestellt ist. Glauben Sie, dass die Systeme Ihres Unternehmens bestmöglich geschützt sind? Sehen Sie sich durch die Implementierung neuester Security-Lösungen mit „Fancy-Faktor“ auf der sicheren Seite? Das könnte sich als gefährlicher Trugschluss erweisen: Auch Ihr Unternehmen kann sich im Handumdrehen von einem „Guten“ in ein „Schlechtes“ verwandeln. Schon ein unbedachter Klick kann massive Auswirkungen haben, die womöglich wiederum zu finanziellen Verlusten sowie Reputations- und Imageschäden hervorrufen können. Das kann Ihren unternehmerischen Bestrebungen unter Umständen ein ziemlich jähes Ende bereiten. Hier ein exemplarisches Beispiel unter Einbeziehung klassischer Stereotypen:
  • 2

    Wovor Sie sich 2019 hüten sollten

    Was im Jahr 1986 relativ harmlos mit dem ersten PC-Virus namens „Brain“ begann, hat sich über die Jahrzehnte zu einem existenzbedrohenden Problem für Privatpersonen und Unternehmen ausgewachsen. Die großen Hackerangriffe der vergangenen Jahre – allen voran die weltumspannende „WannaCry“-Ransomware-Epidemie Mitte 2017 – haben gezeigt, wie verwundbar die IT-Systeme im Unternehmensumfeld sind.

    Andererseits haben sie bewiesen, dass die Bedrohungen von heute weitaus vielfältiger, raffinierter und gefährlicher sind als zuvor. Das wird sich auch in den kommenden Jahren nicht ändern. Ganz im Gegenteil - wie ein Blick in die Bedrohungszukunft zeigt. Prädiktive Analysen über künftige Ereignisse liegen ja bereits seit einiger Zeit voll im Business-IT-Trend. Ob es dabei nun um die Erfassung zukünftigen Kundenverhaltens geht oder um Bedrohungen für die IT-Sicherheit - ein Blick in die Kristallkugel ist in beiden Fällen wenig zielführend. Besser ist es, an dieser Stelle auf Daten und die damit verknüpften Erfahrungswerte zu setzen. Davon hat man bei Kaspersky Labs mehr als genug - und nutzt diese, um im Rahmen des "Security Bulletin" einen vorausschauenden Blick auf die Sicherheitslage des Jahres 2019 zu werfen.

    Die verheißt leider wenig Gutes: Zwar gehen die Experten davon aus, dass die Zahl der neu entdeckten Advanced Persistent Threats zurückgehen wird - allerdings nur, weil die wirklich raffinierten Cyberkriminellen künftig vor allem, ihre Angriffsmethoden variieren werden. Dazu kommt: Die Einstiegsbarriere zur Cyberkriminalität ist inzwischen so niedrig wie nie zuvor. Hunderte hocheffektiver Tools, geleakter Exploits und Hacking Frameworks warten nur darauf, von emsigen Cyber-Unholden missbraucht zu werden.

    Besorgniserregend ist in diesem Zusammenhang auch, dass kriminelle Hacker inzwischen verstärkt dazu übergehen, nicht mehr einzelne Unternehmen ins Visier zu nehmen. Stattdessen steigen sie lieber gleich eine Ebene höher ein und greifen die zugrundeliegende Netzwerk-Infrastruktur an. Diese Vorgehensweise eröffnet weitere, verbrecherische Möglichkeiten. Etwa eine massive Botnet-Attacke (wenn das Netz weiter ausgeworfen werden soll) oder spezifizierte Angriffe auf ausgewählte Ziele - etwa mit Hilfe von Fileless Malware. Ist die Netzwerk-Infrastruktur auch in das Internet of Things integriert, sind die Folgen potenziell verheerend.

    Ein weiteres Security-Problem, vor dem die Kaspersky-Labs-Experten warnen, ist eines, das schon lange existiert, aber immer noch eine der erfolgreichsten Angriffsmethoden krimineller Hacker ist und nun vor einer erneuten Renaissance steht: Spear Phishing. Der Schlüssel zum Erfolg liegt hierbei darin, die Empfänger infizierter Nachrichten mit psychologischen Tricks zu einem verhängnisvollen Klick zu bewegen.

    Das funktioniert im Regelfall sehr gut, wenn der Angreifer ausreichend persönliche Informationen über sein Opfer oder deren Umfeld zur Verfügung hat - oder sich mit Hilfe gestohlener Identitäten als deren "Freunde" tarnt. Die hierfür nötigen Daten entstammen beispielsweise Datendiebstählen bei Social-Media-Giganten und werden in dunklen Kanälen feilgeboten. Kaspersky Labs rechnet damit, dass die Zahl der Phishing-Angriffe im Jahr 2019 - insbesondere über Social-Media-Plattformen - massiv ansteigen wird.

    Erfahren Sie mehr darüber, welche Risiken Ihr Unternehmen in diesem Jahr bedrohen:

    Das kommt auf Sie zu!

  • 3

    Security Awareness fängt ganz oben an

    „Der Fisch stinkt vom Kopf“ heißt es ja so schön. Das gilt insbesondere, wenn es um Security Awareness in Unternehmen geht. Die Management-Ebene sollte dabei idealerweise mit gutem Beispiel vorangehen und IT-Sicherheitsbewusstsein in jeder Alltagssituation vorleben. Erst wenn das der Fall ist, kann es gelingen, die Belegschaft mit an Bord zu nehmen.

    Erstaunlicherweise besteht die größte Herausforderung für IT-Sicherheitsverantwortliche in Unternehmen allerdings laut Kaspersky Labs regelmäßig darin, die Führungskräfte zu motivieren, sich in Sachen IT Security einzubringen. Dabei ist es in erster Linie Aufgabe des Managements, für die Verankerung eines Sicherheitsbewusstseins unter den Mitarbeitern zu sorgen.

    Sorgen Sie für ein entsprechendes Sicherheitsbewusstsein bei Ihren Mitarbeitern!
    Sorgen Sie für ein entsprechendes Sicherheitsbewusstsein bei Ihren Mitarbeitern!
    Foto: alphaspirit - shutterstock.com

    Die Bedeutung des Themas Security Awareness auf Management-Ebene zu verdeutlichen und die Führungskräfte in der Folge dazu zu bringen, zu Security-Treibern zu werden, ist also keine leichte Aufgabe. Erst wenn die Führungskräfte verstehen und verinnerlicht haben, dass IT-Sicherheitsmaßnahmen unverzichtbar sind und um die Ziele und Methoden krimineller Hacker wissen, können sie die täglichen Workflows der Mitarbeiter - und ihre eigenen Geschäftsentscheidungen - auch aus Security-Perspektive fachgerecht beurteilen und entsprechende Maßnahmen treffen.

    Vermitteln lassen sich diese Dinge beispielsweise im Rahmen eines durchdachten Schulungsprogramms. Idealerweise macht sich dieses den Gamification-Ansatz zu Nutze, denn auf spielerische Art und Weise lernt es sich nun mal leichter - insbesondere dann, wenn es um besonders komplexe Themenbereiche geht. Wichtig ist zudem, dass das gewählte Schulungsformat spezifisch auf die jeweilige Zielgruppe zugeschnitten ist - nur so können "glaubwürdige" Situationen simuliert werden, mit denen sich die Teilnehmer auch identifizieren können. Awareness-Schulungen für Führungskräfte, die ein solches Sophistication-Level aufweisen kennen Sie bislang nicht? Werfen Sie doch mal einen Blick auf Kasperskys "Cybersafety Management Games".

    Management Onboarding

  • 4

    Die Probe aufs Exempel

    Sie sind sich nicht sicher, wie es um Ihre Security-Skills bestellt ist? Eventuell sind Sie sich auch etwas zu sicher, ein absoluter IT-Sicherheits-Crack zu sein? Stellen Sie Ihre Skills doch einfach in unserem Security-Quiz unter Beweis!

  • 5

    Top of the Risks

    Ist die Management-Etage in Sachen Security Awareness an Bord, ist es an der Zeit, die Mitarbeiter mit IT-Sicherheitsbewusstsein auszustatten. Schließlich sehen einer aktuellen Studie zufolge 52 Prozent aller Unternehmen die Belegschaft als größte Security-Schwachstelle. Die durchschnittlichen jährlichen Kosten pro Mitarbeiter belaufen sich auf 400 Dollar – allein durch Phishing-Attacken.

    Der Schaden durch unvorsichtiges Verhalten von Mitarbeitern in kleinen und mittleren Unternehmen liegt bei durchschnittlich 83.000 Dollar, während die Folgekosten, durch Phishing- und Social-Engineering-Angriffe, im Schnitt bei 101.000 Dollar liegen.

    Um solche (und weitere) unnötigen Kosten zu vermeiden, ist es von essenzieller Bedeutung, über die gängigsten IT-Risiken für die Belegschaft informiert zu sein. Dazu zählen neben Phishing, Ransomware und mobiler Malware auch zwei besonders raffinierte Angriffsmethoden:

    Krypto-Miner:

    Der große Krypto-Boom ist vorbei – dennoch bleiben sogenannte Krypto-Miner eine ernstzunehmende Bedrohung für Unternehmen. Das liegt auch daran, dass diese Art von Schadprogrammen nahezu unbemerkt ihr Werk verrichten. Einmal auf dem Opferrechner eingeschleust, schürfen die kleinen Schädlinge heimlich Kryptowährung – dabei entsteht im schlimmsten Fall ein unternehmensweites Botnetz, denn die Erzeugung virtueller Währungen erfordert jede Menge Rechenpower. Folglich können auch immense Energiekosten anfallen.

    CEO-Fraud:

    Im Rahmen dieser Methode geben sich kriminelle Hacker ganz gezielt als Geschäftsführer oder Vorgesetzter aus. Ziel solcher Attacken sind in der Regel Mitarbeiter aus dem Controlling und Rechnungswesen, die per Mail eine Überweisungsanforderung ihres vermeintlichen Chefs erhalten – selbstverständlich mit der Bitte um Vertraulichkeit und dem Hinweis auf unbedingte Dringlichkeit. Ist der Betrag überwiesen, ist das Geld weg und die Panik kommt.

    Lesen Sie alles, was Sie über die größten Security-Bedrohungen für Mitarbeiter wissen müssen – und natürlich darüber, wie Sie diese wirkungsvoll und nachhaltig umschiffen.

    Öffnen Sie die Augen

  • 6

    Warum Phishing funktioniert

    (Spear) Phishing nimmt im „Portfolio“ krimineller Hacker eine Sonderstellung ein. Die E-Mail ist laut dem aktuellen Verizon Data Breach Report* nach wie vor mit großem Abstand der gängigste Angriffsvektor im Unternehmensumfeld: 92 Prozent aller Malware-haltigen Vorfälle (die im Rahmen der Studie analysiert wurden) waren auf schadhafte, elektronische Post zurückzuführen. Wichtig zu wissen ist an dieser Stelle, dass eine Phishing E-Mail oft nur als „Türöffner“ für eine tiefergehende Kompromittierung des Unternehmensnetzwerks dient.

    Cyberkriminelle, die ein wenig Aufwand nicht scheuen, können solche E-Mails täuschend echt aussehen lassen und sie zudem gezielt auf einzelne Personen ausrichten. Um Letzteres zu bewerkstelligen, machen sich die Angreifer Social-Engineering-Techniken zu Nutze, die wiederum auf Erkenntnissen aus Psychologie und Soziologie fußen und dementsprechend auf menschliche Emotionen wie Angst, Neugier, Mitleid oder auch die gute alte Gier fokussieren.

    Übersetzt auf den beruflichen E-Mail-Verkehr ergeben sich einige, gängige Versuche, die IT-Sicherheit per E-Mail aus den Angeln zu heben:

    E-Mail vom Chef: Wenn der Vorgesetzte per E-Mail darum bittet, die Powerpoint-Präsentation oder das PDF-Sheet einem gewissenhaften Check zu unterziehen, fragen viele Mitarbeiter nicht lange. Stammt die Mail allerdings von einem findigen Hacker, der Zeit und Mühe in den E-Post-Fake investiert hat, kann sich der zugetragene Task schnell in ein riesiges Einfallstor verwandeln.

    Bitte ASAP: Unter Zeitdruck passieren Fehler. Das wissen auch Cyberkriminelle und machen sich diesen Umstand nur zu gerne zu Nutze. Das Ergebnis sind Phishing-Mails, die atemberaubende aber selbstverständlich zeitlich stark begrenzte Rabatte in Aussicht stellen oder über Online-Konten informieren, die angeblich in den nächsten fünf Minuten gesperrt werden.

    Auto-Klick: Menschliche Handlungen, die ohne Beteiligung des Bewusstseins vonstattengehen, sind Automatismen. Wenn kriminelle Hacker solche Handlungen auslösen wollen, tun sie das, indem sie beispielsweise Nachrichten „faken“, die ihrerseits über scheinbar unzustellbare Nachrichten informieren. Die vermeintliche Lösung: Ein Klick auf den eher auffällig gestalteten „Call-To-Action Button“.

    Nostra Culpa: Schuldeingeständnisse in Schriftform liest jeder gerne – solange es ihn selbst nicht betrifft. Allerdings kann die Information über ein mutmaßliches Datenleck auch nur ein raffinierter Trick Cyberkrimineller sein – insbesondere, wenn diese mit der Aufforderung einhergeht, auf einen Link zu klicken, um zu prüfen ob man selbst betroffen ist.

    Professionelle, kriminelle Hacker sind mit vielen Wassern gewaschen und werden nicht müde, sich mit raffinierten psychologischen Tricks in Unternehmens-, aber auch Privat-Netzwerke zu schleichen. Um sich zuverlässig vor solchen (und anderen) Security-Katastrophen zu schützen, brauchen Sie das richtige Knowhow.

    Sonst könnte es Ihnen am Ende wie Andreas L. ergehen:

    *Zum Verizon Data Breach Report

  • 7

    Gib Digitalerpressung keine Chance

    Keine Angst, Sie werden an dieser Stelle nicht mit dem nächsten Ransomware-Roman konfrontiert. Schließlich wurde das Thema in den vergangenen zwei Jahren wie die sprichwörtliche Sau durchs Dorf getrieben. Nichtsdestotrotz sollten Sie wissen, was Ransomware ist, wie sie funktioniert, sich verbreitet und vor allem, was Sie tun, wenn es bereits zu spät ist.

    Diese Infografik klärt Sie nachhaltig über Erpressung 2.0 im Digitalisierungs-Zeitalter auf:

    »

    Infografik: Ransomware (Bitte klicken)

     

    Zur Infografik in voller Länge

  • 8

    Mobile Hack first?

    Seit dem Beginn des Mobile-Zeitalters steigt die Zahl mobiler Endgeräte unaufhörlich an – auch im Unternehmensumfeld gehört das (Firmen-)Smartphone mittlerweile zum guten Ton. Das bringt für die Mitarbeiter zahlreiche Vorteile wie ortsunabhängiges Arbeiten mit sich – spielt aber auch Cyberkriminellen in die Karten.

    Nicht umsonst steigt die Zahl der Attacken mit mobiler Malware kontinuierlich an, wie ein Blick in eine Studie von IDC verrät: Im Vergleich zu 2015 stieg die Zahl der Angriffe auf mobile Endgeräte im Jahr 2017 um acht Prozent.

    Kommt es zum Datenleck mit Beteiligung vertraulicher Unternehmensdaten, können die Folgen dank der EU-Datenschutzgrundverordnung finanziell verheerend ausfallen: Laut vorgenannter IDC-Studie erlitten 26 Prozent der von Mobile-Sicherheitsvorfällen betroffenen Unternehmen dabei einen Schaden jenseits der 100.000-Euro-Marke.

    Vom Image- und Reputationsverlust ganz zu schweigen. Ransomware, Datendiebstahl, Adware - die Unglücks-Szenarien sind im Bereich der mobilen Endgeräte ebenfalls äußerst vielfältig, wie Kaspersky-Experte Christian Funk erklärt:

  • 9

    Security to go

    Beim Blick auf all die komplexen, vielfältigen Bedrohungsszenarien ist die Panik meist nicht weit. Die hat zwar durchaus ihre Berechtigung, führt aber in den seltensten Fällen zu einer Verbesserung. Die ist wiederum dringend nötig, wenn man sich die nackten Zahlen vergegenwärtigt, die eine Studie von Kaspersky Lab und B2B International „in den Ring wirft“.

    Der durchschnittliche Schaden, der bei Hackerangriffen auf kleine und mittelständische Unternehmen unter dem Strich steht, liegt bei knapp 88.000 Dollar. Betrachtet man das gesamte Unternehmensumfeld, kratzt der Wert mit durchschnittlich 992.000 Dollar bereits an der Millionenmarke - Tendenz steigend.

    Mit 46 Prozent sind nahezu die Hälfte der analysierten Sicherheitsvorfälle auf schlecht informierte oder gedankenlose Mitarbeiter zurückzuführen. Deswegen wollen laut der Studie auch 35 Prozent der betroffenen Unternehmen ihre Security mithilfe weitergehender Awareness-Programme für die Mitarbeiter härten.

    Darüber hinaus sollten Sie folgende Tipps verinnerlichen, um ihre Belegschaft bestmöglich auf bestehende und kommende Cyberrisiken einzustellen:

    Die Mitarbeiter sind die „First Line of Defense“: Je mehr Mitarbeiter darüber wissen, wie man sich vor den Machenschaften krimineller Hacker schützt, desto sicherer ist das Unternehmen. Deswegen sollten die IT-Security-Richtlinien auch auf allen Ebenen der Firma gelebt werden.

    Security-Weiterbildung für Mitarbeiter ist wertvoll: Wenn die Qualität stimmt, sind Awareness-Trainings erwiesenermaßen die effektivste Methode, um das Risiko einer Kompromittierung des Unternehmensnetzwerks zu minimieren. Dabei kommt es nicht nur auf die Inhalte selbst, sondern auch auf deren Präsentation an.

    Zuerst das Management, dann die Belegschaft: Dass Security Chefsache ist, hat sich mittlerweile herumgesprochen. Wie bedeutsam die Vorbildfunktion von Vorgesetzten in diesem Zusammenhang ist, nicht unbedingt. Erst wenn der Belegschaft eine Sicherheitskultur vorgelebt wird, klappt es auch mit dem abteilungsübergreifenden Sicherheitsbewusstsein.

    Sie wollen mehr Tipps, wie Mitarbeiter zur IT-Sicherheit des Unternehmens beitragen können und das auch noch im praktischen PDF-Format? Kein Problem - laden Sie sich jetzt die Top-Ten-Tipps für mehr Mitarbeiter-Sicherheit auf Ihre Festplatte. Nein, das ist kein Phishing-Test!

    Security? Check!

  • 10

    Unterschätzte Rachsucht

    Informationsmangel oder Gedankenlosigkeit unter Mitarbeitern lässt sich, wie Sie inzwischen wissen, mit verschiedenen Maßnahmen entgegenwirken. Was aber tun, wenn die Angestellten selbst zum Täter mit bösen Absichten werden?

    So unwahrscheinlich wie Sie jetzt eventuell denken, ist das übrigens nicht. Die Motivation, zum Innentäter zu werden kann dabei in vielerlei Umständen wurzeln. Insbesondere wenn Arbeitgeber und Arbeitnehmer im Zwist auseinandergehen (oder ein solcher bereits länger schwelt), kann es zu ungewollten Datenabflüssen, Manipulationen und ähnlich verheerenden Taten kommen. Die Gefahr die von solchen Innentätern im Unternehmensumfeld ausgeht, ist potenziell riesig:

    Laut dem Internet Security Forum sind die eigenen Angestellten für 54 Prozent aller Sicherheitsvorfälle verantwortlich. Im Folgenden einige ausgewählte Beispiele der vergangenen Jahre:

    Brian Johnson arbeitet einige Jahre als System-Administrator für das US-Industrieunternehmen Georgia-Pacific, bis er schließlich Anfang 2014 offensichtlich unerwartet die fristlose Kündigung erhält. Das versetzt den IT-Spezialisten in einen kontinuierlichen Zustand der Rachsucht: Er hackt die Systeme, über die er zuvor gewacht hat, manipuliert Produktionsanlagen und sabotiert so nachhaltig die Geschäftsprozesse seines Ex-Arbeitgebers. Das in der Folge eingeschaltete FBI kommt dem Cyberrevenge-Anhänger schnell auf die Spur. Das Ende vom Lied für den Cyber-Saboteur: knapp drei Jahre Gefängnisaufenthalt und eine Geldstrafe von mehr als einer Million Dollar.

    Christopher Gruppe ist bis Ende 2015 System-Admin bei der Eisenbahngesellschaft Canadian Pacific Railway. Dort tut er sich insbesondere durch einen erheblichen Mangel an Teamfähigkeit hervor, weswegen das Arbeitsverhältnis beendet wird. Bevor der geschasste IT’ler sein Arbeitsgerät zurückgibt, löscht er – von Rachegefühlen getrieben – wichtige Unternehmensdaten, ändert Passwörter und manipuliert Administratorrechte. Ein Totalausfall der IT-Systeme ist die Folge. Die Untersuchung durch einen externen Dienstleister bringt die Geschehnisse ans Tageslicht – und den Cyberrevenge-Anhänger für ein Jahr in den Knast.

    Lennon Ray Brown ist im Jahr 2013 Mitarbeiter beim Finanzdienstleister Citibank. Leider lässt seine Leistung offenbar zu wünschen übrig, weswegen er von seinem Vorgesetzten einen Rüffel einstecken muss. Seine Reaktion: Er löscht kurzerhand die Konfigurationsdateien auf verschiedenen Routern, was zu IT-Problemen in 110 Citibank-Filialen quer durch die Vereinigten Staaten führt. Auch dieser „Cyberrächer“ wird in der Folge enttarnt, muss für knapp zwei Jahre hinter Gittern und wird zu einer Schadensersatzzahlung in Höhe von 77.000 Dollar verurteilt.

    Sie dürsten nach weiteren Cyberrevenge-Beispielen, vermissen darüber hinaus aber auch nützliche Tipps, wie Sie der Cyberrache von (Ex-) Mitarbeitern entgegentreten können?

    Zur Cyberrevenge-Prophylaxe

  • 11

    ASAP zur Awareness

    Viele Security-Awareness-Initiativen scheitern vor allem am „How to“. Besonders kleine und mittelständische Unternehmen, die oft nicht auf eigene, dedizierte IT Security Teams zurückgreifen können, sind mit ihren IT-Sicherheitsinitiativen nicht zufrieden, weil sie nicht wissen, wie man Ziele setzt und Schulungen plant, die Verwaltung der Schulungen zeitintensiv ist oder die Mitarbeiter das Programm nicht annehmen. Diese Probleme können Sie allerdings ziemlich leicht umschiffen, wenn Sie bei der Planung Ihrer Security-Awareness-Kampagne alles richtig machen. Ist das der Fall, können Sie die Vorteile eines effizienten und einfachen Security-Bewusstseinsmanagements voll ausschöpfen – egal wie groß Ihr Unternehmen ist. Alles was Sie dazu brauchen, ist die richtige Lösung vom richtigen Partner.

    Jetzt registrieren und Whitepaper herunterladen!

     
  • 12

    Die Firewall-Werdung

    Wie Sie sehen, ist es nicht gerade trivial, nachhaltiges Sicherheitsbewusstsein auf allen Ebenen Ihres Unternehmens zu verankern. Damit jeder einzelne Ihrer Mitarbeiter, aber auch Sie selbst zur menschlichen Firewall transformieren können, brauchen Sie eine durchdachte Strategie. Wie Sie zu dieser kommen, erfahren Sie in komprimierter, aber leicht zu konsumierender Form im Computerwoche-Webinar mit Kaspersky Labs.