Bundesamt für Sicherheit in der Informationstechnik warnt vor sich selbst: Ein Fokus auf die IT-Sicherheit im Personalbereich

PrintMailRate-it
veröffentlicht am 18. September 2019, Autorin: Christiane Kraus | Lesedauer ca. 4 Minuten 
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer E-Mail mit angeblichem BSI-Absender, die Schadsoftware im Anhang enthält. Der Fake-Absender „meldung@bsi-bund.org” erscheint vertrauenswürdig und auch der Betreff „Warnmeldung kompromittierter Benutzerdaten – Bundesamt für Sicherheit in der Informationstechnik” realistisch. Es wäre ein Leichtes darauf hereinzufallen. Bei Unternehmen ist die Ansteckungsgefahr von solchen scheinbar glaubwürdigen E-Mails aufgrund der fehlenden Vorsorge gravierend. Denn wenn auch nur ein Mitarbeiter unvorsichtig ist, kann die Schadsoftware im schlimmsten Fall das gesamte Netzwerk infizieren. 

 

 


Aktuelle Studien zeigen, dass fast 42 Prozent der befragten Arbeitnehmer sich nicht selbst aktiv zum Thema
IT-Sicherheit am Arbeitsplatz informieren. Obwohl rund die Hälfte der IT-Sicherheitsvorfälle in Unternehmen
auf unachtsames Personal zurückzuführen ist und einen Schaden in Milliardenhöhe verursacht.


Ein beliebtes Angriffsszenario: Das Social Engineering

Die größte Schwachstelle von IT-Systemen ist oftmals nicht die Technik, sondern der Mensch, da gezielte Angriffe auf einzelne Mitarbeiter von Virenschutzprogrammen nicht erkannt werden können. Rein technische Sicherheitsmaßnahmen reichen als Gegenreaktion nicht aus. Erfahrungsgemäß sind die Sensibilisierungs­maßnahmen besonders im Gesundheitswesen unzureichend. Das hat zur Folge, dass das Risiko, Opfer eines Social Engineering Angriffs zu werden, deutlich steigt.

 

Bei Social Engineering Angriffen werden Mitarbeiter gezielt durch psychologische Tricks manipuliert. Abhängig von der Position der betrogenen Person entstehen durch Social Engineering erhebliche Schäden. Die Interessen der Angreifer variieren dabei stark. Oftmals geht es um die Weitergabe sensibler Informationen, die Überweisung von Geldbeträgen oder der Mitarbeiter dient als Eintrittstor für weitere Angriffe.


Im ersten Schritt verschafft sich der Angreifer Informationen über eine mögliche Zielpersonen. Die Informations­beschaffung erfolgt anhand der öffentlich zugänglichen Daten aus dem Internet (z. B. aus sozialen Netzwerken). Besonders glaubwürdig erscheinen gut vorbereitete Angriffe. Der Täter versucht das Vertrauen der Zielperson durch Vortäuschen falscher Identität für sich zu gewinnen. Schlussendlich geben die Mitarbeiter im guten Glauben vertrauliche Informationen oder Zugangsdaten weiter.


Besonders lukrativ für die Betrüger ist die CEO-Fraud-Betrugsmasche. Hierfür nutzen die Betrüger die durch Social Engineering in Erfahrung gebrachten Informationen für eine gezielte Täuschung eines Mitarbeiters der Buchhaltung. Als E-Mail vom Chef getarnt, werden die zur Zahlungsanweisung befugten Mitarbeiter zu Überweisungen von nicht unerheblichen Geldsummen aufgefordert.


Die Wahrscheinlichkeit, Opfer eines solchen Angriffs zu werden, wurde in der Vergangenheit als gering eingestuft, da der Aufwand für die Angreifer im Vergleich zu anderen Angriffsszenarien hoch war und nur einzelne Opfer und nicht die breite Masse betroffen sein konnten. Diese Aussage ist heute nicht mehr gültig. Es gibt heutzutage Tools, die den Informationsbeschaffungsprozess der Täter durch automatische Internet­recherchen nahezu vollautomatisieren. Diese Tools ermöglichen Angreifern mit einem geringen Aufwand einen effektiven Angriff auf eine Vielzahl von Mitarbeitern durch personalisierte Phishing-Mails.

 

Schutzmaßnahmen zur IT-Sicherheit

Es gilt daher, Mitarbeiter in Unternehmen für die Gefahren von Social Engineering zu sensibilisieren. Dennoch gehören Sensibilisierungsmaßnahmen der Mitarbeiter zum Thema IT-Sicherheit, wie z. B. anlassunabhängige Schulungsprogramme, noch nicht zum Standard. Obwohl Mitarbeiter durch Unaufmerksamkeit oder Unwissenheit einen besseren Schutz der IT-Umgebung verhindern.

 

Eine effektive IT-Sicherheit ist nur in Zusammenarbeit der IT-Abteilung mit allen Mitarbeitern möglich. Die Mitarbeiter müssen die Wohlverhaltensregeln und Maßnahmen des Unternehmens verinnerlichen und befolgen. Zu diesem Zweck muss eine Sicherheitskultur und somit ein Risikobewusstsein geschaffen und gepflegt werden. Die Arbeitnehmer müssen die potenziellen Gefahren aus dem Cyberraum (er)kennen, um die IT-Sicherheits­maßnahmen zu verstehen und richtig anzuwenden.


Ein niedergeschriebenes und für jeden Mitarbeiter zugängliches IT-Sicherheitskonzept ist empfehlenswert und Ausgangspunkt der zu definierenden IT-Sicherheitsmaßnahmen. Dies ist alleine jedoch nicht ausreichend.


Um Mitarbeitern dieses Wissen zu vermitteln, sind Maßnahmen zur Sensibilisierung und Schulung erforderlich. Ziel solcher Maßnahmen soll es sein, den Mitarbeitern die notwendigen Kenntnisse und Kompetenzen für sicherheitsbewusstes Verhalten für die Interaktion mit dem Internet zu vermitteln sowie den Blick für sicherheitskritische Situationen und deren Auswirkungen zu schärfen.


Durch ein anlassunabhängiges und regelmäßiges Sensibilisierungs- und Schulungsprogramm für alle Mitarbeiter, kann die IT-Sicherheit erheblich erhöht werden. Das Programm soll auf die jeweilige Institution zugeschnitten sein und das notwendige Sicherheitsniveau beachten. Nur geschulte Mitarbeiter können die Gefahren erkennen um z. B. Social Engineering zu entgehen. Konkrete Schutzmaßnahmen gegen Social Engineering können sein:

 

  • Erhöhte Vorsicht in sozialen Netzwerken
  • Verzicht auf vertrauliche Gespräche an öffentlichen Orten
  • Gesundes Misstrauen gegenüber Anfragen fremder Kollegen
  • Kritische Prüfung der E-Mail-Absenderadresse
  • Bewusstsein durch Schulungen schaffen


E-Mail-Mitteilungen und Hinweise über aktuelle Angriffe sensibilisieren ebenfalls die Mitarbeiter (Vgl. Abbildung 1). So können IT-Abteilungen konkrete Attacken durch Schadsoftware aus dem Cyberraum benennen und vor deren Vorgehensweise sowie den Auswirkungen auf das Unternehmen warnen. Dies setzt jedoch voraus, dass alle Mitarbeiter im Unternehmen ein E-Mail-Postfach besitzen und es regelmäßig überprüfen.


Es ist erforderlich, dass die geschulten Inhalte auch gelebt werden. Wichtig ist ein Wandel in der Unternehmenskultur, der auch von der Führungsebene gewollt und vorgelebt wird. Die aktive Unterstützung des Sicherheitsprozesses durch das Management ist essenziell.

 

 

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Contact Person Picture

Roland Schneider

Diplom-Wirtschaftsjurist, Certified Healthcare Manager (DAM)

Associate Partner

+49 911 9193 3661

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu