Die Cybersicherheit am Arbeitsplatz wird immer wichtiger, da immer mehr Unternehmen auf digitale Ressourcen und die Cloud umsteigen. Ransomware steht ganz oben auf der Liste der Bedrohungen, die ein Unternehmen lahmlegen können, und diese Angriffe beginnen oft mit einer bösartigen Phishing-E-Mail, die auf bestimmte Mitarbeiter abzielt. Es genügt ein einziger Mitarbeiter, um Opfer eines ausgeklügelten Angriffs zu werden, und Ihr Unternehmen könnte durch blockierten Dateizugriff, gestohlene Daten und im Netzwerk versteckte fortschrittliche persistente Bedrohungen lahmgelegt werden.

Die Colonial Pipeline, die Gas und Kerosin von Texas an die Ostküste transportiert, wurde von einem Ransomware-Angriff getroffen. Der Angriff stoppte die Produktion und zwang die Energieinfrastruktur zur Abschaltung. Diese Art von Angriffen hat immer mehr zugenommen. Sie beginnen damit, dass ein interner Mitarbeiter nicht erkennt, dass eine Nachricht bösartig ist. Dies ist oft ein Versäumnis bei der Aufklärung und Sensibilisierung für Cybersicherheit am Arbeitsplatz.

CryptoLocker, einer der ersten und beliebtesten Ransomware-Angriffe, begann mit einer Phishing-E-Mail. Er betraf fast 500.000 Computer und führte zu weitreichenden Datenverlusten auf der ganzen Welt. Die Malware wurde durch den massenhaften Versand von E-Mail-Nachrichten mit einem ZIP-Dateianhang verbreitet. Sobald dieser geöffnet wurde, durchsuchte die Ransomware die Computer und verschlüsselte die Dateien, so dass sie gesperrt wurden und nur noch gegen Zahlung eines Lösegelds zugänglich waren. Benutzer sollten wissen, dass jede E-Mail mit einem ZIP-Dateianhang als verdächtig behandelt werden sollte.

CISO: Der Wert eines Sündenfressers

Die Rolle eines Chief Information Security Officer (CISO) ist vergleichbar mit dem mythischen und mittelalterlichen „Sündenfresser“ in der englischen Folklore. Ein Sündenfresser aß eine Mahlzeit und nahm die Sünden der Toten auf. Der Sündenfresser trug dann die Sünden anderer Menschen mit sich herum, um sie im Jenseits von Schuld, Scham und Konsequenzen zu befreien.  

Ein CISO spielt eine ähnliche Rolle, denn die Sünden interner Mitarbeiter wirken sich auf den Ruf des CISO, seine Arbeitsleistung und seine Zukunftsaussichten aus. Sollte ein Mitarbeiter Opfer eines internen Cybersicherheitsskandals werden, ruinieren sie den Ruf des Unternehmens und bringen die Produktionsdienste zum Erliegen. Um einen bestimmten Mitarbeiter vor den negativen Auswirkungen und Konsequenzen zu schützen, nimmt der CISO die Sünden des unglücklichen Opfers auf sich und steht für dessen Fehler ein.

Cyber Security Sünden

Auch wenn es nur einen CISO in der Organisation gibt, bedeutet das nicht, dass die Verantwortung nur bei einer Person liegt. Die Organisation als Ganzes übernimmt die Verantwortung. Im Fall der Datenpanne bei Equifax könnten die Serveradministratoren und der für die Überwachung und das Patchen von Software zuständige CISO allein für eine der bisher größten Datenpannen verantwortlich sein, aber die Equifax-Organisation als Ganzes wurde als unverantwortlich angesehen und bekam die Schuld für die Folgen.

Ein CISO ist nicht nur für die interne Cybersicherheit verantwortlich, sondern hat auch eine zunehmende Arbeitsbelastung, da immer mehr Unternehmen auf die Cloud umsteigen und während der Pandemieabschaltung im Jahr 2020 digital arbeiten. Um die Produktivität aufrechtzuerhalten, waren die Unternehmen nach der weltweiten Ausbreitung von COVID gezwungen, ihre Mitarbeiter zu Hause zu beschäftigen. Diese Veränderung der Arbeitsumgebung führte zu einem plötzlichen Vorstoß in Richtung Cloud Computing und digitale Arbeitsabläufe. Das Ergebnis war, dass Unternehmen nun in der Cloud arbeiteten und dabei kaum Rücksicht auf die Cybersicherheit nahmen. Die Cybersicherheit war ein nachträglicher Gedanke, und die Bedrohungsakteure nutzten diese Nachlässigkeit voll aus. Phishing und Ransomware hatten Hochkonjunktur, da immer mehr Mitarbeiter Opfer von ausgeklügelten Kampagnen wurden, die auf Einzelpersonen abzielten.

Die sieben Todsünden der Cybersicherheit am Arbeitsplatz

Das Bewusstsein für Cybersicherheit ist entscheidend für die Risikovermeidung. Wenn Ihre Mitarbeiter die Anatomie eines Phishing-Angriffs nicht kennen, kann man nicht erwarten, dass sie ihn vermeiden. Menschliches Versagen ist ein wichtiger Faktor bei Datenschutzverletzungen, aber hier sind sieben Todsünden und Möglichkeiten, um zu vermeiden, das nächste Opfer zu werden:

  1. Schlechte Passwörter. Die Komplexität und Länge von Passwörtern verringert die Wahrscheinlichkeit eines Brute-Force-Angriffs auf die Anmeldedaten von Mitarbeitern. Administratoren können Passwortregeln einrichten, die eine bestimmte Länge und Komplexität vorschreiben und die Wiederverwendung von Benutzern verhindern.

  2. Öffentliche Wi-Fi-Risiken. Benutzer sollten sich der Risiken bewusst sein, die mit öffentlichem Wi-Fi verbunden sind. Alle wichtigen Anwendungen sollten über ein virtuelles privates Netzwerk (VPN) genutzt werden, und die Benutzer sollten Daten niemals unverschlüsselt übertragen.

  3. Antivirus installiert und aktualisiert. Organisationen, die eine Bring-your-own-device (BYOD)-Richtlinie anbieten, sollten die Benutzer über die Bedeutung von Antiviren-Software und deren Aktualisierung aufklären. Administratoren können Updates auf Arbeitsstationen erzwingen, aber sie sind darauf angewiesen, dass die Benutzer ihre eigenen Geräte mit der neuesten Antivirensoftware schützen.

  4. Öffnen von E-Mail-Anhängen. Administratoren können verdächtige E-Mail-Nachrichten blockieren, aber falsche Negativmeldungen geben Bedrohungsakteuren die Möglichkeit, Empfänger zum Öffnen bösartiger Anhänge zu verleiten. Benutzer sollten wissen, dass sie keine Anhänge öffnen sollten, insbesondere wenn sie von externen Absendern stammen.

  5. Anklicken von Links in E-Mails. Bösartige Links öffnen von Angreifern kontrollierte Websites, auf denen Benutzer dazu verleitet werden können, ihre Netzwerkanmeldedaten oder andere sensible Informationen preiszugeben. Benutzer sollten wissen, dass sie nach dem Anklicken von Links keine Anmeldedaten eingeben sollten. Geben Sie stattdessen die Domain in ihren Browser ein, um zu überprüfen, ob die Nachricht legitim ist.

  6. Gemeinsame Nutzung von Anmeldedaten mit anderen Benutzern. Benutzer sollten niemals Passwörter weitergeben. Sollten sie Passwörter weitergeben, könnte ein Mitarbeiter, der nicht mehr im Unternehmen ist, immer noch Zugang zu wichtigen Systemen haben, obwohl sein eigenes Konto deaktiviert wurde.

  7. Kein Bewusstsein für Cybersicherheit. Ohne Aufklärung haben die Benutzer nicht die Ressourcen, um einen Angriff zu erkennen. Es liegt in der Verantwortung des CISO, eine Umgebung zu schaffen, in der die Aufklärung über Cybersicherheit eine bessere Risikovermeidung und weniger menschliche Fehler fördert.

Hilfe für Mitarbeiter bei der Bekämpfung von Cyberangriffen und bei der Stärkung des Cyberbewusstseins

Wenn CISOs sich nicht die Zeit nehmen, ihre Mitarbeiter zu schulen, hinterlassen sie eine große Lücke in der Cybersicherheitspanzerung des Unternehmens. Das Bewusstsein für Cybersicherheit ist die erste Abwehrmaßnahme gegen ausgeklügelte Angriffe, die auf menschliche Fehler abzielen, und sollte daher immer eine Pflichtschulung für neue und bestehende Mitarbeiter sein.

Die Sensibilisierung kann auf verschiedene Weise erfolgen: eLearning, praktische Schulungen und Richtlinien. Mitarbeiter sind keine Hacker, daher sollten die Informationen leicht verständlich sein. Sie sollten verstehen, welche Konsequenzen es hat, Opfer eines Angriffs zu werden, und sie sollten mit Informationen ausgestattet sein, die es ihnen ermöglichen, die Legitimität einer E-Mail, eines Telefonanrufs, einer Website oder jeder anderen Form eines Cyberangriffs zu hinterfragen. Sie brauchen kein umfassendes technisches Wissen, aber die Mitarbeiter müssen mit den richtigen Informationen ausgestattet sein.  

Die größten Bedrohungen für ein Unternehmen sind Phishing und Ransomware, aber Schulungen reduzieren die Risiken dieser Bedrohungen. Mitarbeiter, die mit dem richtigen Wissen ausgestattet sind, erkennen den Angriff, vermeiden es, Opfer zu werden, alarmieren die richtigen Leute und ein CISO hat einen viel stressfreieren Job. Ohne Bewusstsein für Cybersicherheit muss der CISO weiterhin reaktiv auf Angriffe reagieren, die den CISO und den Ruf des Unternehmens ruinieren könnten.

Cyber Security Awareness für Dummies