Die Cybersicherheit am Arbeitsplatz wird immer wichtiger, da immer mehr Unternehmen nach der COVID auf digitale Ressourcen und die Cloud umsteigen. Ransomware steht ganz oben auf der Liste der Bedrohungen, die ein Unternehmen lahmlegen können, und diese Angriffe beginnen oft mit einer bösartigen Phishing-E-Mail, die auf bestimmte Mitarbeiter abzielt. Es genügt ein einziger Mitarbeiter, um Opfer eines ausgeklügelten Angriffs zu werden, und Ihr Unternehmen könnte durch blockierten Dateizugriff, gestohlene Daten und im Netzwerk versteckte fortgeschrittene anhaltende Bedrohungen lahmgelegt werden.
Erst kürzlich wurde die Colonial Pipeline, die Gas und Kerosin von Texas an die Ostküste transportiert, von einem Ransomware-Angriff heimgesucht. Der Angriff stoppte die Produktion und zwang die Energieinfrastruktur zur Abschaltung. Diese Art von Angriffen hat nur zugenommen, und sie beginnen damit, dass ein interner Mitarbeiter nicht erkennt, dass eine Nachricht bösartig ist. Oft liegt es an der mangelnden Aufklärung und Sensibilisierung für Cybersicherheit am Arbeitsplatz.
CryptoLocker, einer der ersten und beliebtesten Ransomware-Angriffe, begann mit einer Phishing-E-Mail. Er betraf fast 500.000 Computer und führte zu einem weit verbreiteten Datenverlust auf der ganzen Welt. Die Malware wurde durch den massenhaften Versand von E-Mail-Nachrichten mit einem ZIP-Dateianhang verbreitet. Sobald dieser geöffnet wurde, durchsuchte die Ransomware die Computer und verschlüsselte die Dateien, so dass sie gesperrt wurden und nur gegen Zahlung eines Lösegelds wieder zugänglich gemacht werden konnten. Benutzer sollten wissen, dass jede E-Mail mit einem ZIP-Dateianhang als verdächtig behandelt werden sollte.
CISO: Der Wert eines Sündenfressers
Die Rolle eines Chief Information Security Officer (CISO) ist vergleichbar mit dem mythischen und mittelalterlichen "Sündenfresser" in der englischen Folklore. Ein Sündenfresser aß eine Mahlzeit und nahm die Sünden der Toten auf. Der Sündenfresser trug dann die Sünden anderer Menschen mit sich herum, um sie von Schuld, Scham und Auswirkungen im Jenseits zu befreien.
Ein CISO spielt eine ähnliche Rolle, wobei die Sünden interner Mitarbeiter den Ruf des CISO, seine Arbeitsleistung und seine Zukunftsaussichten beeinträchtigen. Wenn ein Mitarbeiter Opfer eines internen Cybersicherheitsskandals wird, ruiniert er den Ruf des Unternehmens und bringt die Produktionsdienste zum Erliegen. Um einen bestimmten Mitarbeiter vor den negativen Auswirkungen und Folgen zu schützen, nimmt der CISO die Sünden des unglücklichen Opfers auf sich und steht für dessen Fehler ein.
Auch wenn es nur einen CISO in der Organisation gibt, bedeutet das nicht, dass die Verantwortung allein bei einer Person liegt. Die Organisation als Ganzes übernimmt die Verantwortung. Im Fall der Datenpanne bei Equifax könnten die Serveradministratoren und der für die Überwachung und das Patchen von Software zuständige CISO allein für eine der bisher größten Datenpannen verantwortlich sein, aber die Equifax-Organisation als Ganzes wurde als unverantwortlich angesehen und bekam die Schuld für die Folgen.
Ein CISO ist nicht nur für die interne Cybersicherheit verantwortlich, sondern hat auch eine zunehmende Arbeitsbelastung, da immer mehr Unternehmen auf die Cloud umsteigen und während der Pandemieabschaltung im Jahr 2020 digital arbeiten. Um die Produktivität aufrechtzuerhalten, waren die Unternehmen nach der weltweiten Ausbreitung von COVID gezwungen, ihre Mitarbeiter zu Hause zu beschäftigen. Diese Veränderung der Arbeitsumgebung führte zu einem plötzlichen Vorstoß in Richtung Cloud Computing und digitale Arbeitsabläufe. Das Ergebnis war, dass die Unternehmen nun in der Cloud arbeiteten und dabei kaum Rücksicht auf die Cybersicherheit nahmen. Die Cybersicherheit war ein nachträglicher Gedanke, und die Bedrohungsakteure nutzten diese Nachlässigkeit voll aus. Phishing und Ransomware hatten Hochkonjunktur, da immer mehr Mitarbeiter Opfer von ausgeklügelten Kampagnen wurden, die auf Einzelpersonen abzielten.
Die sieben Todsünden der Cybersicherheit am Arbeitsplatz
DasBewusstsein für Cybersicherheit ist entscheidend für die Risikovermeidung. Wenn Ihre Mitarbeiter die Anatomie eines Phishing-Angriffs nicht kennen, kann man nicht erwarten, dass sie ihn vermeiden. Menschliches Versagen ist ein wichtiger Faktor bei Datenschutzverletzungen, aber hier sind sieben Todsünden und Möglichkeiten, um nicht das nächste Opfer zu werden:
- Schlechte Passwörter. Komplexität und Länge der Passwörter verringern die Wahrscheinlichkeit eines Brute-Force-Angriffs auf die Anmeldedaten der Mitarbeiter. Administratoren können Passwortregeln einrichten, die eine bestimmte Länge und Komplexität vorschreiben und die Wiederverwendung von Benutzern verhindern.
- Öffentliche Wi-Fi-Risiken. Die Benutzer sollten sich der Risiken bewusst sein, die mit öffentlichem Wi-Fi verbunden sind. Alle kritischen Anwendungen sollten über ein virtuelles privates Netzwerk (VPN) genutzt werden, und die Nutzer sollten Daten niemals unverschlüsselt übertragen.
- Installiertes und aktualisiertes Antivirusprogramm. Organisationen, die eine Bring-your-own-device (BYOD)-Richtlinie anbieten, sollten die Nutzer über die Bedeutung von Antiviren-Software und deren Aktualisierung aufklären. Administratoren können Updates auf Arbeitsplätzen erzwingen, sind aber darauf angewiesen, dass die Nutzer ihre eigenen Geräte mit der neuesten Antivirensoftware schützen.
- Öffnen von E-Mail-Anhängen. Administratoren können verdächtige E-Mail-Nachrichten blockieren, aber falsch-negative Meldungen geben Bedrohungsakteuren die Möglichkeit, Empfänger zum Öffnen bösartiger Anhänge zu verleiten. Benutzer sollten wissen, dass sie keine Anhänge öffnen sollten, insbesondere wenn sie von externen Absendern stammen.
- Anklicken von Links in E-Mails. Bösartige Links öffnen von Angreifern kontrollierte Websites, auf denen Benutzer dazu verleitet werden können, ihre Netzwerkanmeldedaten oder andere sensible Informationen preiszugeben. Benutzer sollten wissen, dass sie nach dem Anklicken von Links keine Anmeldedaten eingeben sollten. Stattdessen sollten sie die Domäne in ihren Browser eingeben, um zu überprüfen, ob die Nachricht legitim ist.
- Gemeinsame Nutzung von Anmeldedaten mit anderen Benutzern. Benutzer sollten niemals Passwörter weitergeben. Sollten sie Passwörter weitergeben, könnte ein Mitarbeiter, der nicht mehr im Unternehmen ist, immer noch Zugang zu wichtigen Systemen haben, obwohl sein eigenes Konto deaktiviert wurde.
- Kein Bewusstsein für Cybersicherheit. Ohne Aufklärung haben die Benutzer nicht die Ressourcen, um einen Angriff zu erkennen. Es liegt in der Verantwortung des CISO, ein Umfeld zu schaffen, in dem die Aufklärung über Cybersicherheit eine bessere Risikovermeidung und weniger menschliche Fehler fördert.
Unterstützung der Mitarbeiter bei der Bekämpfung von Cyberangriffen und bei der Stärkung ihres Cyberbewusstseins
Wenn CISOs sich nicht die Zeit nehmen, ihre Mitarbeiter zu schulen, hinterlassen sie eine große Lücke in der Cybersicherheitspanzerung des Unternehmens. Das Bewusstsein für Cybersicherheit ist die erste Abwehrmaßnahme gegen ausgeklügelte Angriffe, die auf menschliche Fehler abzielen, und sollte daher immer eine Pflichtschulung für neue und bereits beschäftigte Mitarbeiter sein.
Die Sensibilisierung kann auf verschiedene Weise erfolgen: eLearning, praktische Schulungen und Richtlinien. Mitarbeiter sind keine Hacker, daher sollten die Informationen leicht verständlich sein. Sie sollten verstehen, welche Folgen es haben kann, Opfer eines Angriffs zu werden, und sie sollten mit Informationen ausgestattet sein, die es ihnen ermöglichen, die Legitimität einer E-Mail, eines Telefonanrufs, einer Website oder jeder anderen Form von Cyberangriff zu hinterfragen. Sie brauchen kein umfassendes technisches Wissen, aber die Mitarbeiter müssen mit den richtigen Informationen ausgestattet sein.
Die größten Bedrohungen für ein Unternehmen sind Phishing und Ransomware, aber Schulungen verringern die Risiken dieser Bedrohungen. Mit dem richtigen Wissen ausgestattete Mitarbeiter erkennen den Angriff, vermeiden es, Opfer zu werden, alarmieren die richtigen Leute und der CISO hat einen viel stressfreieren Job. Ohne Bewusstsein für Cybersicherheit muss der CISO weiterhin reaktiv auf Angriffe reagieren, die den CISO und den Ruf des Unternehmens ruinieren könnten.
