Cyber Security Awareness:

Jeder kann IT-Sicherheit!

Autorin: Susann Bartels (Consultant #FORTSCHRITT)
- 28.09.2020 -

Mitarbeiter sind heutzutage die größte Schwachstelle in der IT-Sicherheitsarchitektur jedes Unternehmens – egal, ob beim Familienbetrieb, Mittelständler oder DAX-Konzern. Lesen Sie in diesem Artikel, warum der Beitrag jedes Mitarbeiters zählt, wie Sie Ihre Beschäftigten zu Verbündeten im Kampf gegen Cyber-Kriminalität machen und erhalten Sie zahlreiche Praxistipps zur Steigerung der IT-Sicherheit, mit denen Sie und Ihre Mitarbeiter sofort loslegen können.

Dass die Ursache von Computerproblemen meist 50 cm vor dem Bildschirm sitzt, spotten IT-Fachleute schon seit Langem. Und so diente die scherzhafte Bemerkung in der Vergangenheit oftmals einfach der Belustigung auf Kosten nicht ganz so versierter Benutzer. Mittlerweile steckt in der Aussage allerdings deutlich mehr Wahrheit, als vielen Unternehmen bewusst ist – und auch deutlich mehr, als ihnen lieb sein dürfte. Denn tatsächlich gelten Mitarbeiter heutzutage als größte Schwachstelle in der IT-Sicherheitsarchitektur jedes Unternehmens. Sie wollen wissen, warum das so ist und wie Sie in Ihrem Unternehmen schnell, einfach und vor allem kostengünstig Abhilfe schaffen können? In diesem Artikel erfahren Sie es!

Faktor Mensch – warum der Beitrag jedes Einzelnen zählt

Immer mehr Unternehmen gestatten es ihren Mitarbeitern, private Endgeräte im dienstlichen Kontext zu benutzen – einerseits, um damit Kosten für die technische Ausstattung ihrer Beschäftigten zu sparen, andererseits, um vermehrten Forderungen, insbesondere jüngerer Beschäftigter nach modernen Arbeitskonzepten und einer verbesserten Work-Life-Balance durch Remote-Arbeit, nachzukommen. In Folge der Corona-Pandemie sind im Frühjahr 2020 zudem viele Mitarbeiter innerhalb weniger Wochen vom Schreibtisch im Firmenbüro ins Homeoffice gewechselt. Um diese schnelle Transition zu ermöglichen, war oftmals auch die Nutzung privater Rechner und Telefone notwendig, weil eine Ausstattung mit mobilen Corporate Devices nicht so schnell realisiert werden konnte. Allerdings sind private Endgeräte in den meisten Fällen schlechter abgesichert als Corporate Devices, da sie häufig nur mit klassischen Antivirenprogrammen ausgestattet sind. Aber auch viele kleine und mittelständische Unternehmen (KMU) setzen zur Absicherung ihrer Systeme nach wie vor ausschließlich auf die traditionelle Antivirussoftware. Dabei gilt diese unter Experten schon länger als unzureichende Schutzmaßnahme. Aufgrund der Funktionsweise dieser klassischen Schutzprogramme, die mit einem signaturbasierten Ansatz arbeiten, erkennen traditionelle Antivirenprogramme nur bereits bekannte Malware – also Schadprogramme. Malware entwickelt sich jedoch in einem rasanten Tempo und passiert darum als sogenannte Zero-Day-Malware immer wieder die Sicherheitsschranken der Antivirusprogramme. Auch zum Abfangen von Ransomware – so genannter Erpressersoftware, die Daten verschlüsselt und gegen Leistung einer Zahlung eine Entschlüsselung verspricht – sind klassische Antivirenprogramme nicht geeignet. Dabei haben solche Erpressungsversuche in den vergangenen Jahren massiv zugenommen. Hier bedarf es darum des Aufbaus neuer Verteidigungslinien, zum einen auf technischer Seite durch die ergänzende Einführung moderner Endpoint-Lösungen und zum anderen auf menschlicher Seite durch eine Sensibilisierung und Schulung der Mitarbeiter zum Umgang mit diesen Gefahren.

Cyber Security 2.1 Effektivität

Abb. 1: Für einen effektiven Cyber Security-Ansatz müssen Technik und Mitarbeiter-Awareness kombiniert werden, Quelle: Eigene Abbildung

Denn auch die Unternehmen, die alle technischen Schutzmaßnahmen auf höchstem Niveau umsetzen, sind vor Angriffen keinesfalls sicher. Hacker wissen um das wachsende Bewusstsein von Unternehmen für die neuen Bedrohungen und die daraus erwachsende, erhöhte Bereitschaft, in technischen Schutz zu investieren. Darum versuchen Angreifer, diese technischen Hürden vermehrt zu umgehen und zielen mit ihren Angriffen direkt auf die Mitarbeiter von Unternehmen. Sie versuchen, sich das Vertrauen der Beschäftigten zu erschleichen und deren Handlungen zu manipulieren, um Zugang zu sensiblen Informationen oder dem Unternehmensnetzwerk zu erlangen. Viele der Angriffe beginnen mit einer scheinbar geschäftlichen E-Mail, die jedoch kompromittiert ist. Durch den Klick auf einen schädlichen Link oder einen infizierten Dateianhang oder aber die Ausführung einer Aktion durch einen Mitarbeiter, wie z. B. die Preisgabe von vertraulichen Informationen oder die Anweisung einer vermeintlich vom Geschäftsführer angeordneten Zahlung, ermöglichen die Mitarbeiter selbst, oftmals unwissentlich, den Angreifern die Umgehung der Sicherheitsmechanismen.

Zudem profitieren auch Angreifer von den technischen Entwicklungen. Die beständigen Fortschritte bei der Steigerung der Rechenleistung moderner Prozessoren ermöglichen es Hackern zum Beispiel, in immer kürzerer Zeit eine immer größere Zahl von Passwörtern zu knacken. Mit dem heutigen Stand der Technik können Cyber-Kriminelle, je nach verwendetem Equipment und dem auf Passwörter angewendeten Verschlüsselungsmechanismus, pro Sekunde zwischen 3 Mrd. und 200 Mrd. Passwörter knacken. Dabei gibt es verschiedenste, einfache Regeln, wie man den Angreifern das Entschlüsseln des eigenen Passworts nahezu unmöglich machen kann.

Technische Schutzmaßnahmen allein reichen heutzutage darum nicht mehr aus, um die Daten und IT-Systeme Ihres Unternehmens ausreichend zu schützen. Die besten technischen Maßnahmen nützen nichts, wenn es Angreifern gelingt, aufgrund unsicherer Passwörter oder über Ihre Mitarbeiter Zugriff auf sensible Informationen oder die IT-Systeme Ihres Unternehmens zu erlangen. Eine effektive Cyber Security-Strategie beinhaltet darum eine Kombination von technischen Maßnahmen und Mitarbeiter-Awareness, also einem Bewusstsein Ihrer Beschäftigten für Cyber-Gefahren und das Wissen um den richtigen Umgang mit diesen. Während technische Maßnahmen immer auch mit Investitionskosten verbunden sind, kostet Sie Mitarbeiter-Awareness nicht viel.

Holen Sie Ihre Mitarbeiter an Bord

Ihre Mitarbeiter als Verbündete an Bord zu holen, kann zur Herausforderung werden. Die wenigsten Beschäftigten bringen von sich aus ein Interesse für Cyber Security mit. Im Gegenteil, viele Menschen sind abgeschreckt von der Komplexität des Themas und vermuten, dass es eines großen technischen Wissens oder sogar Programmierkenntnissen bedarf, um selbst etwas zur IT-Sicherheit im Unternehmen beitragen zu können. Sie verorten das Thema darum bei den Spezialisten aus der IT-Abteilung und sehen für sich selbst keinen Handlungsbedarf. Richtlinien empfinden sie zudem als überflüssige Bevormundung, weshalb diese schnell in der untersten Schublade des Rollcontainers verschwinden. Außerdem sind Mitarbeiter mit ihren täglichen Aufgaben in der Regel gut ausgelastet und haben kaum Zeit für zusätzliche Themen, die ihrer Meinung nach nichts zur Erledigung der To-dos in ihrem direkten Aufgabengebiet beitragen. Informations-E-Mails werden schnell weggeklickt, an Workshops wird nicht teilgenommen und stattdessen andere dringliche Termine und Aufgaben als Erklärung vorgeschoben.

Aber Sie brauchen Ihre Mitarbeiter im Kampf gegen Cyber-Kriminelle! Es muss Ihnen darum gelingen, das Interesse Ihrer Mitarbeiter am Thema zu wecken, ihnen die Angst vor Cyber Security zu nehmen, ein Bewusstsein für die neuen Bedrohungen zu schaffen und ein Know-how für korrektes Verhalten im Zusammenhang mit Cyber Security aufzubauen. Werden Sie kreativ! Nutzen Sie verschiedenste Informationskanäle, wie Schulungen und Workshop-Formate, das Intranet, den Firmen-internen Newsletter und gezielte Informations-E-Mails, Broschüren und Flyer, Poster und Aufsteller oder auch E-Learning-Tools. Schaffen Sie bei Ihren Mitarbeitern den zeitlichen Freiraum, um an einem verpflichtenden Sensibilisierungs-Workshop zum Thema teilzunehmen. Gestalten Sie die Informationsmaterialien optisch ansprechend und inhaltlich leicht verständlich. Legen Sie Ansprechpartner für Fragen zur Cyber Security fest und kommunizieren Sie deren Namen und Kontaktmöglichkeiten im Unternehmen. Und lassen Sie Ihre IT-Abteilung auch einmal probeweise eine scheinbare Phishing-E-Mail versenden und sprechen Sie mit Ihren Mitarbeitern anschließend über deren Reaktion.

 Cyber Security 2 Maßnahmen und Kanäle

Abb. 2: Maßnahmen und Kommunikationskanäle zur Awareness-Steigerung im Unternehmen, Quelle: Eigene Abbildung

Ohne einen Anspruch auf Vollständigkeit zu erheben, finden Sie im Folgenden eine Reihe von Tipps, die in jeder Firma – branchen- und größenunabhängig – schnell, einfach und kostengünstig umgesetzt werden können. Damit sind diese Guidelines insbesondere für KMU geeignet, die nur begrenzte finanzielle und zeitliche Ressourcen für Cyber Security zur Verfügung stellen können. Gleichermaßen sollten die aufgeführten Regeln bei Mitarbeitern jeder Unternehmensgröße zum Grundwissen im Bereich Cyber Security gehören. Geben Sie diese Guidelines an Ihre Mitarbeiter weiter oder nutzen Sie sie zur Erstellung von Richtlinien, Informationsmaterialien oder für Workshops und Schulungen, um die Awareness bei Ihren Angestellten und folglich die Cyber Security Ihres gesamten Unternehmens sofort signifikant zu erhöhen. Zeigen Sie Ihren Mitarbeitern, dass Cyber Security einfach und pragmatisch sein kann. Denn so kann jeder Mitarbeiter seinen Beitrag leisten, ab sofort und jeden Tag.

Cyber Security 2 Guidelines

Abb. 3: Übersicht grundlegender Cyber Security Guidelines im Unternehmen, Quelle: Eigene Abbildung

Praxistipps für Ihr Unternehmen zur schnellen und einfachen Umsetzung

# Physische Absicherung von mobilen Endgeräten: Schutz vor Diebstahl, ungewollten Blicken, unautorisiertem Zugriff und Kompromittierung

  • Mobile Endgeräte gegen Diebstahl schützen, z. B. durch Verschließen der Bürotür beim Verlassen des Büros, Nutzung des Hotelsafes oder Aufbewahrung im Kofferraum bzw. Handschuhfach des PKWs.
  • Displayschutzfolien auf allen mobilen Endgeräten anbringen, um Bildschirme und darauf angezeigte Informationen in der Öffentlichkeit vor ungewollten Blicken zu schützen.
  • Mobile Endgeräte niemals unbeaufsichtigt eingeschaltet lassen, z. B. im Büro, Auto, Zug, Flugzeug oder der Hotellobby, sondern bei Nicht-Benutzung vor unautorisiertem Zugriff durch Aktivierung der Bildschirmsperrung schützen.
  • Sichere elektronische Datenübertragung statt externer Datenspeicher nutzen, da letztere kompromittiert sein könnten.

# Absicherung von allen Endgeräten mittels technischer Schutzmaßnahmen: Schutz vor Cyber-Attacken über technische Angriffskanäle oder durch Ausnutzung des menschlichen Faktors

  • Installation von Schutzprogrammen und Firewall-Paketen vor Inbetriebnahme von mobilen wie stationären Endgeräten.
  • Einstellungen von Schutzprogrammen und Firewalls nicht eigenmächtig ändern und die Programme keinesfalls ausschalten oder deinstallieren.
  • Neue Software auf Corporate Devices nur in Absprache mit der IT-Abteilung installieren, da neue Software kompromittiert sein kann.
  • Sicherheitsupdates immer sofort nach dem Release installieren, z. B. durch Nutzung automatischer Updates, um bekanntgewordene Sicherheitslücken schnellstmöglich zu schließen.
  • Corporate Devices nur für dienstliche und nicht für private Zwecke nutzen, um die Angriffsfläche so gering wie möglich zu halten.
  • Websites immer nur über das https-Protokoll, also eine verschlüsselte Verbindung, aufrufen.
  • Dem Anzeigenamen bei einer E-Mail nicht vertrauen, da dieser leicht manipuliert werden kann, sondern die hinterlegte E-Mailadresse überprüfen.
  • E-Mail-Anhänge von unbekannten Absendern sowie mit den folgenden Endungen nicht öffnen: *.bat, *.com, *.exe, *.pif, *.vbs, *.scr, *.cmd, *.chm – dies sind ausführbare Programme, die bei unaufgeforderter Zusendung höchstwahrscheinlich Schadsoftware beinhalten.
  • Keine Links in E-Mails anklicken, da diese manipuliert sein können, sondern Links immer selbst in die Adresszeile des Browsers eintippen.

# Authentifikation: Autorisierter Zugriff auf Systeme und Informationen dank sicheren Passwörtern

  • Passworterstellung:
    • Mindestlänge von 12 Zeichen,
    • Nutzung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen,
    • Rotation mindestens alle 6 Monate,
    • keine Daten verwenden, die aus dem Nutzerkontext abzuleiten sind,
    • keine Wörter verwenden, die in Wörterbüchern zu finden sind,
    • Verwendung von unterschiedlichen Passwörtern für unterschiedliche Dienste.
  • Passwörter niemals an andere Personen weitergeben.
  • Passwörter nicht frei zugänglich notieren, sondern einen elektronischen Passwortmanager nutzen oder die Liste an einem sicheren Ort verschlossen aufbewahren.
  • Kombinationen wie Nutzer/Passwort bzw. Datei/Passwort nicht in einer E-Mail versenden, sondern getrennt, um einen unautorisierten Zugriff im Falle des Abfangens der Daten zu verhindern.
  • Beruflich verwendete Nutzernamen und Passwörter nicht bei Internetdiensten und schon gar nicht privat verwenden.

# Datensicherung: Datenverluste minimieren

  • Verschiedene Speichermedien nutzen bzw. Daten auf verschiedenen Speichermedien spiegeln, um im Falle eines Datenverlustes die Daten schnell wiederherstellen zu können.
  • Kurze Back-up-Intervalle definieren und umsetzen, um mögliche Datenverluste so gering wie möglich zu halten.
  • Daten und Dokumente auf dem firmeneigenen Sharepoint bzw. der Cloud statt lokal auf dem eigenen Endgerät speichern, um Datenverluste bei Diebstahl, Kompromittierung oder Ausfall von Endgeräten zu vermeiden.
  • Zum Schutz von Firmengeheimnissen keine Weiterleitung geschäftlicher E-Mails an private E-Mail-Konten.

# Sicherheitsvorfälle: Schnell und korrekt reagieren

  • Zum Schutz von Firmengeheimnissen in der Öffentlichkeit, z. B. in Bus und Bahn, im Flugzeug, Restaurant oder der Kaffeeküche, keine dienstlichen Angelegenheiten besprechen bzw. lediglich verklausuliert ohne Klartext-Namen.
  • Verlust von Daten bzw. Diebstahl von Geräten umgehend dem entsprechenden Ansprechpartner im Unternehmen, z. B. dem Informationssicherheitsbeauftragten, IT-Leiter oder der Geschäftsführung, melden.
  • Ist bekannt, dass ein Gerät von Malware befallen ist, dieses sofort vom Netzwerk trennen und den entsprechenden Ansprechpartner im Unternehmen, z. B. den Informationssicherheitsbeauftragten, IT-Leiter oder die Geschäftsführung, informieren.
  • Bei Malware-Befall keine eigenständigen Reparaturversuche durchführen, da dies wichtige Spuren verwischen könnte, sondern IT-Forensik-Experten bzw. die Kriminalpolizei einschalten.
  • hCaptcha: Bitte tragen Sie Ihre Seiten- und geheimen Schlüssel auf der Konfigurationsseite ein.

Dr. Marcus Lödige
Head of Research #FORTSCHRITT

Dr. Marcus Lödige (geb. Dodt) ist Head of Research bei der Think-Tank-Beratungsgesellschaft #FORTSCHRITT. Er ist Experte für Higher Education, Corporate Development, Market Research und New Work. Er hat an der Deutschen Sporthochschule Köln promoviert und ist zertifizierter Scrum Master.

Dr. Marcus Lödige