MetaBlog

Bleiben Sie auf dem Laufenden über die Themen der Cyber-Awareness-Schulungen und mindern Sie die Risiken in Ihrem Unternehmen.

Wie Sie das menschliche Risiko in Ihrer Organisation verringern können

Menschliches Risiko

über den Autor

Auf Linkedin teilen
Auf Twitter teilen
Auf Facebook teilen

Eine Studie nach der anderen zeigt, dass der Mensch in der Maschine das Cybersicherheitsrisiko erhöht. Untersuchungen der Stanford University und von Tessian bestätigen dies: 88 % der Datenschutzverletzungen werden durch Mitarbeiterfehler verursacht. Aber auch ohne statistische Beweise haben Unternehmen anekdotische Beweise dafür, dass der menschliche Faktor hinter vielen Datenschutzverletzungen und anderen Sicherheitsvorfällen steckt. Um das Risiko von Datenschutzverletzungen zu senken, müssen Sie das Risiko für Mitarbeiter und Nicht-Mitarbeiter senken.

Im Folgenden finden Sie einen Leitfaden zu den Risiken, die Menschen für eine Organisation darstellen, sowie einige Ideen zur Verringerung menschlicher Risiken.

Irren ist menschlich

Die Definition des Begriffs "menschliches Versagen" ist wichtig, um herauszufinden, wie man das Risiko eines menschlich bedingten Sicherheitsfehlers minimieren kann.

Menschliches Versagen lässt sich grob in zwei Bereiche unterteilen:

Übersichten

Fehler und Irrtümer kommen vor, und wenn sie passieren, steigt die Gefahr für ein Unternehmen. Ein typisches Beispiel für ein Versehen ist ein Mitarbeiter, der versehentlich eine E-Mail mit sensiblen Informationen an die falsche Person sendet, auch bekannt als Fehlzustellung einer E-Mail.

Ein weiteres Beispiel für ein Versehen ist die Fehlkonfiguration einer Cloud-Komponente wie einer Datenbank. Ein weiteres Beispiel ist der Gedanke, dass es in Ordnung ist, ein Passwort mit einem Kollegen zu teilen. Versäumnisse betreffen den allgemeinen Bereich des falschen Umgangs von Mitarbeitern mit sensiblen Daten, der zu Nichteinhaltung von Vorschriften, Geldstrafen und dem Verlust des Kundenvertrauens führen kann.

Täuschung

Social-Engineering-Betrügereien erhöhen das menschliche Risiko in einer Organisation. Social-Engineering-Betrügereien, wie z. B. Phishing-E-Mails mit bösartigen Anhängen oder Links, können das Risiko für Menschen in einem Unternehmen erhöhen.

Ein weiteres Beispiel für die Täuschung eines Mitarbeiters durch einen böswilligen Akteur ist Business Email Compromise (BEC), ein Betrug, bei dem ein Cyberkrimineller Mitarbeiter dazu bringt, betrügerische Rechnungen zu bezahlen. Unabhängig davon, ob ein Angestellter getäuscht wird oder unbeabsichtigt einen Fehler verursacht, kann das Ergebnis katastrophal sein. Der Bericht der FBI-Einheit für Internetkriminalität ( IC3) über BEC-Kriminalität beispielsweise ergab, dass sich die durch BEC verursachten Verluste im Jahr 2020 auf 1,8 Milliarden US-Dollar beliefen.

5 menschliche Hacks, die helfen können, das menschliche Risiko zu minimieren

Menschlich bedingte Risikofaktoren können durch die Anwendung von fünf menschlichen Hacks, die das Cybersicherheitsrisiko verringern, gemindert werden:

1) Durchbrechen Sie den Kreislauf des Klicks

Die Benutzeroberfläche (UI) und das Benutzererlebnis (UX) sollen die Benutzung eines Computers so einfach wie möglich machen. Der goldene Kelch ist das "Ein-Klick-Erlebnis", und wo immer möglich, arbeiten UI-Designer sorgfältig daran, dieses Ziel zu erreichen.

Leider bedeutet dies, dass Mitarbeiter und andere Benutzer nicht mehr nachdenken, bevor sie klicken, da ihre UI/UX-Konditionierung einsetzt. MetaCompliance hat das Problem der automatischen Klickreaktion kürzlich in einem anderen Beitrag "Phishing-Attacken: Why Don't We Think Before We Click?", in dem wir den Einsatz von kontrollierten Phishing-Tests empfehlen, um das Klickverhalten der Mitarbeiter zu ändern. 

2) Aufbau einer Kultur der Sicherheit

Cyber-Risiken gehen jeden etwas an. Beim Aufbau einer Cybersicherheitskultur sollten Sie sich auf die Bereiche konzentrieren, die das Risiko in einem Unternehmen oder einem Prozess erhöhen, wobei Sie sich bewusst sein sollten, dass das Risiko je nach Abteilung oder sogar je nach Mitarbeiter unterschiedlich hoch sein kann. Der Aufbau einer Cybersicherheitskultur muss die detaillierten Bedürfnisse eines Unternehmens widerspiegeln, und durch die Schaffung einer Kultur des Cybersicherheitsbewusstseins können Sie dazu beitragen, Risiken durch Wissen zu verringern. 

3) Bessere Entscheidungen unterstützen

Viele menschliche Fehler, die zu einem erhöhten Cyber-Risiko führen, sind einfach schlechtes Urteilsvermögen. Menschliches Versagen umfasst ein breites Spektrum von Problemen, die zu Datenverlusten und anderen Sicherheitsvorfällen führen. Manchmal liegt es einfach daran, dass nicht genügend Informationen zur Verfügung stehen, um eine gute Entscheidung zu treffen. Und manchmal geht es darum, Strukturen zu schaffen, die eine falsche Entscheidung verhindern. Die Sicherheitshygiene ist ein typisches Beispiel dafür.

Untersuchungen von Yubico haben ergeben, dass 69 % der Mitarbeiter Passwörter gemeinsam nutzen, um den Zugriff auf Konten zu erleichtern. Um das Risiko des menschlichen Faktors am Arbeitsplatz zu verringern, sollten Sie Ihre Mitarbeiter darüber aufklären, wie wichtig es ist, Passwörter nicht weiterzugeben, und dies durch die Verwendung der Zwei-Faktor-Authentifizierung (2FA) in allen Anwendungen, die 2FA unterstützen, unterstützen.

4) Cyber-Hygiene zur Verringerung des Risikos menschlicher Fehler

Die Unterweisung der Mitarbeiter in Sachen Cyber-Hygiene ist ein weiterer wichtiger Aspekt der oben erwähnten Sicherheitshygiene. Cyber-Hygiene umfasst eine Reihe von Bereichen und schließt eine durchsetzbare Clean-Desk-Richtlinie ein. Durch bewährte Verfahren der Cyber-Hygiene werden Online-Sicherheitsrisiken minimiert und die IT-Systeme gesund erhalten. Sie hilft auch bei der Einhaltung von Sicherheitsstandards wie ISO27001.

Die Praxis der Cyber-Hygiene erstreckt sich nicht nur auf die Mitarbeiter, sondern auch auf die allgemeine Pflege der IT-Systeme; dazu gehört die Verwendung geeigneter Tools zur Überwachung potenzieller Bedrohungen, die Aktualisierung digitaler Zertifikate, die rasche Bereitstellung von Patches usw. Zu einer guten Cyber-Hygiene gehört auch, dass menschliche Fehler bei der Konfiguration von Systemen oder in Geschäftsprozessen erkannt werden, bevor sie ausgenutzt werden.

5) Machen Sie die Menschen zu einem Teil Ihres mehrschichtigen Sicherheitsansatzes

Die Mitarbeiter sind oft die Quelle eines erhöhten Cyber-Risikos, aber sie sind auch der Ort, an dem ein Unternehmen das Risiko durch den Faktor Mensch verringern kann. Indem Sie sicherstellen, dass Mitarbeiter und Nicht-Mitarbeiter Teil eines mehrschichtigen Ansatzes für die Cybersicherheit sind, kann Ihr Unternehmen eine ganzheitliche Risikominderung für "Menschen, Prozesse und Technologie" gewährleisten.

Indem Sie alle Mitarbeiter in die Schulung einbeziehen, vom CEO bis zu den jüngsten Mitarbeitern, decken Sie alle Lücken ab, in denen Daten verloren gehen oder Sicherheitslücken auftreten können.

Verringerung des vom Menschen ausgehenden Risikos

Mitarbeiter sind auch nur Menschen, und Menschen machen Fehler oder können von Cyber-Kriminellen sozial manipuliert werden. Kompetente und engagierte Mitarbeiter können dazu beitragen, das menschliche Risiko in einer Organisation zu überwinden. Eine klare Sicherheitsstrategie, die Menschen, Prozesse und Technologie umfasst, wird das Risiko des menschlichen Faktors in jeder Organisation verringern. Diese Strategie sollte Sicherheitstrainingsprogramme einsetzen, um eine Sicherheitskultur aufzubauen, die es Ihren Mitarbeitern ermöglicht, die erste Verteidigungslinie gegen Fehler und Manipulation zu sein.

10 Wege zur Verbesserung des Cyber-Sicherheitsbewusstseins der Mitarbeiter

könnte Ihnen diese Lektüre gefallen