DE EN

Die Bedeutung und Durchführung von IT-Security Awareness-Maßnahmen im Unternehmen

07/08/2024

Die Bedeutung und Durchführung von IT-Security Awareness-Maßnahmen im Unternehmen

Hacker, Cyberkriminelle und Betrüger können Unternehmen auf vielfältige Art und Weise über das Internet angreifen, um zu spionieren, Geld zu erbeuten, oder irreparable Schäden im Opfersystem anzurichten. Mitarbeitende sind hier die erste (und in einigen Fällen auch die letzte) Verteidigungslinie gegen Bedrohungsakteure aus dem Netz. Um diese Verteidigung zu stärken, müssen die Kolleg*innen konstant Cybersicherheit mitdenken, um in der alltäglichen Arbeit nicht hinter die Fichte geführt zu werden. Wie dies am besten funktioniert, erfahren Sie in diesem Blog-Post.

Viele Wege führen nach Rom

Um in ein Computersystem einzudringen, haben Hacker eine Vielzahl an Methoden. Einige dieser Methoden erfordern die unfreiwillige Unterstützung ihrer Opfer, andere lediglich eine Nachlässigkeit der User. Die hier aufgelisteten Techniken zählen zu den gängigsten Praktiken der Angreifer:

  • Phishing: Der Klassiker unter den Angriffsmethoden erfreut sich weiterhin großer Beliebtheit und ist regelmäßig in Statistiken in der beliebtesten Strategien auf Platz eins. Der Trick ist einfach: man sendet dem nichtsahnenden Opfer eine Email mit einem verlockenden Angebot („Sichern Sie sich jetzt dieses iPad Pro!“), einer neugierig machenden Nachricht (Word Dokument „Gehaltsliste Belegschaft“ im Anhang) oder droht mit schlimmen Konsequenzen im Falle der Unterlassung einer Handlung („Bitte loggen Sie sich unter folgendem Link ein oder Ihr Konto wird gelöscht“). Das Opfer klickt einen Link auf eine schadhafte Website, öffnet einen schadhaften Anhang oder übermittelt unwissentlich Username und/oder Passwort (sog. Credentials) an die Angreifer.
  • Smishing: Der kleine Bruder von Phishing. Bekommen Sie im Dezember auch täglich SMS von DHL, DPD, UPS und Hermes, dass Ihr Paket unterwegs sei und Sie es unter dem Link in der SMS verfolgen können? Dabei hatten Sie doch noch gar keine Weihnachtsgeschenke bestellt? Dann war dies wohl ein Smishing-Versuch (SMS-Phishing). Das Prinzip ist das gleiche wie beim Phishing, lediglich die Zustellung auf Mobilgeräte unterscheidet die Technik.
  • Vishing: Voice-Phishing bildet die dritte Methode der hier aufgeführten sog. Social-Engineering-Techniken. Für diese Methode benötigt der Angreifer weitaus höhere Sozialkompetenz, denn er ruft die Opfer direkt an, erzählt ihnen eine Lügengeschichte und luchst ihnen so Passwörter ab oder bringt die unwissenden Gesprächspartner dazu, Malware auf den eigenen Geräten (meist getarnt als Support-Software) zu installieren.
  • Credential Stuffing und Brute-Force: Nutzen Sie das gleiche Passwort ggf. für mehrere Konten? Dann laufen Sie Gefahr, ein Opfer von sog. „Credential Stuffing“ zu werden. Angreifer verwenden Credentials, die in Data Breaches öffentlich werden, und versuchen damit, Zugang zu anderen Accounts zu erhalten. Etwas weniger raffiniert sind „Brute Force“ (rohe Gewalt) Attacken. Hierbei werden automatisiert die gängigsten Passwörter der Reihe nach abgefragt und gehofft, dass das Opfer ein leicht zu erratendes Passwort verwendet.
  • Sicherheitslücken: Auch hier können Angreifer einiges erreichen. Nicht durch Updates geschlossene Sicherheitslücken können, insofern sie kritisch genug sind, ein Eindringen in die Systeme erlauben. Gerade in Situationen, wo das Einspielen von Updates den einzelnen Usern obliegt (ggf. existiert kein zentralisiertes Patch Management) erhöht sich das Risiko, da hier das Prinzip greift, dass jede Kette nur so stark wie das schwächste Glied ist.

Die Abwehr stärken – Wissen ist Macht

Die Wirksamkeit all dieser Angriffstechniken kann durch wachsame und aufgeklärte User verringert werden. Regelmäßige Trainings und Tests halten das Bewusstsein für IT-Sicherheit im Unternehmen hoch und können im Ernstfall Schlimmstes verhindern. Übungen können für alle Phasen eines IT Security Incidents durchgeführt werden, sei es Prävention, Reaktion oder Nachbearbeitung.

In der Prävention sollten die Kolleg*innen insbesondere zu Social Engineering Angriffen geschult werden. Ein Grundpfeiler hierfür sind Awareness-Trainings, wie Workshops und Vorträge, aber auch Videos und ein anschließendes Quiz bzw. interaktive Tests können hier angewendet werden. Mit einigen Wochen Verzug sollten dann Tests durchgeführt werden. Hierbei können Phishing / Smishing Nachrichten mit verschiedenen Schwierigkeitsgraden an die Belegschaft versendet werden. Dies kann entweder durch die in-House IT-Security durchgeführt werden oder ein externer Dienstleister wird beauftragt. Gerade bei Vishing, also dem Durchführen von Telefonanrufen, sollte ein externes Unternehmen zur Durchführung von Tests genutzt werden, um ein mögliches Erkennen der Stimmen zu vermeiden.

Zur Vermeidung von Brute Force und Credential-Stuffing helfen strikte Passwort-Richtlinien sowie die Durchsetzung von Multifaktor-Authentifizierung. Da diese Maßnahmen im alltäglichen IT-Betrieb der User Schwellen und Schranken erzeugen („Muss ich wirklich jedes Mal die Authenticator App öffnen?“) sollte die Maßnahmen mit Kommunikation zum Sinn und Zweck der Schritte flankiert werden.

Auch die Reaktion auf Cyberattacken kann trainiert werden. Beginnen tut dies mit einem soliden IT Security Incident Management-Prozess, welcher mit allen Beteiligten Parteien (IT-Security, CIO, Legal, Pressestelle, etc.) abgestimmt ist. Dieser Prozess sollte dann in diversen Übungen durchgespielt werden. Hierbei kann zum Beispiel ein Planspiel eine gute Möglichkeit sein, die Stakeholder in ihren Rollen zu fordern.

Auch in der Nachbereitung eines Vorfalls kann gelernt und trainiert werden. Sollte der Ernstfall eintreten und Schlimmstes verhindert worden sein, kann die Dokumentation des Incidents genutzt werden, um in einem Review beteiligte und dritte Kolleg*innen zu schulen, um im nächsten Fall noch besser auf die Situation zu reagieren.

Complion bietet Unterstützungsleistungen im Bereich IT-Security Awareness Trainings an. Haben Sie schon Maßnahmen getroffen, um das wichtigste Einfallstor für Hacker in Ihrem Unternehmen zu sichern? Wir unterstützen Sie gerne dabei. Melden Sie sich gern bei uns unter mail@complion.de.

 

Autor: Tobias Philipsen