Bundesamt für Sicherheit in der Informationstechnik warnt vor sich selbst: Ein Fokus auf die IT-Sicherheit im Personalbereich

• Ein beliebtes Angriffsszenario: Das Social Engineering

• Schutzmassnahmen zur IT-Sicherheit

• Fazit

Aktuelle Studien zeigen, dass fast 42 Prozent der befragten Arbeitnehmer sich nicht selbst aktiv zum Thema
IT-Sicherheit am Arbeitsplatz informieren. Obwohl rund die Hälfte der IT-Sicherheitsvorfälle in Unternehmen
auf unachtsames Personal zurückzuführen ist und einen Schaden in Milliardenhöhe verursacht.

Ein beliebtes Angriffsszenario: Das Social Engineering

Die größte Schwachstelle von IT-Systemen ist oftmals nicht die Technik, sondern der Mensch, da gezielte Angriffe auf einzelne Mitarbeiter von Virenschutzprogrammen nicht erkannt werden können. Rein technische Sicherheitsmaßnahmen reichen als Gegenreaktion nicht aus. Erfahrungsgemäß sind die Sensibilisierungs­maßnahmen besonders im Gesundheitswesen unzureichend. Das hat zur Folge, dass das Risiko, Opfer eines Social Engineering Angriffs zu werden, deutlich steigt.

Bei Social Engineering Angriffen werden Mitarbeiter gezielt durch psychologische Tricks manipuliert. Abhängig von der Position der betrogenen Person entstehen durch Social Engineering erhebliche Schäden. Die Interessen der Angreifer variieren dabei stark. Oftmals geht es um die Weitergabe sensibler Informationen, die Überweisung von Geldbeträgen oder der Mitarbeiter dient als Eintrittstor für weitere Angriffe.

Im ersten Schritt verschafft sich der Angreifer Informationen über eine mögliche Zielpersonen. Die Informations­beschaffung erfolgt anhand der öffentlich zugänglichen Daten aus dem Internet (z. B. aus sozialen Netzwerken). Besonders glaubwürdig erscheinen gut vorbereitete Angriffe. Der Täter versucht das Vertrauen der Zielperson durch Vortäuschen falscher Identität für sich zu gewinnen. Schlussendlich geben die Mitarbeiter im guten Glauben vertrauliche Informationen oder Zugangsdaten weiter.

Besonders lukrativ für die Betrüger ist die CEO-Fraud-Betrugsmasche. Hierfür nutzen die Betrüger die durch Social Engineering in Erfahrung gebrachten Informationen für eine gezielte Täuschung eines Mitarbeiters der Buchhaltung. Als E-Mail vom Chef getarnt, werden die zur Zahlungsanweisung befugten Mitarbeiter zu Überweisungen von nicht unerheblichen Geldsummen aufgefordert.

Die Wahrscheinlichkeit, Opfer eines solchen Angriffs zu werden, wurde in der Vergangenheit als gering eingestuft, da der Aufwand für die Angreifer im Vergleich zu anderen Angriffsszenarien hoch war und nur einzelne Opfer und nicht die breite Masse betroffen sein konnten. Diese Aussage ist heute nicht mehr gültig. Es gibt heutzutage Tools, die den Informationsbeschaffungsprozess der Täter durch automatische Internet­recherchen nahezu vollautomatisieren. Diese Tools ermöglichen Angreifern mit einem geringen Aufwand einen effektiven Angriff auf eine Vielzahl von Mitarbeitern durch personalisierte Phishing-Mails.

Schutzmaßnahmen zur IT-Sicherheit

Es gilt daher, Mitarbeiter in Unternehmen für die Gefahren von Social Engineering zu sensibilisieren. Dennoch gehören Sensibilisierungsmaßnahmen der Mitarbeiter zum Thema IT-Sicherheit, wie z. B. anlassunabhängige Schulungsprogramme, noch nicht zum Standard. Obwohl Mitarbeiter durch Unaufmerksamkeit oder Unwissenheit einen besseren Schutz der IT-Umgebung verhindern.

Eine effektive IT-Sicherheit ist nur in Zusammenarbeit der IT-Abteilung mit allen Mitarbeitern möglich. Die Mitarbeiter müssen die Wohlverhaltensregeln und Maßnahmen des Unternehmens verinnerlichen und befolgen. Zu diesem Zweck muss eine Sicherheitskultur und somit ein Risikobewusstsein geschaffen und gepflegt werden. Die Arbeitnehmer müssen die potenziellen Gefahren aus dem Cyberraum (er)kennen, um die IT-Sicherheits­maßnahmen zu verstehen und richtig anzuwenden.

Ein niedergeschriebenes und für jeden Mitarbeiter zugängliches IT-Sicherheitskonzept ist empfehlenswert und Ausgangspunkt der zu definierenden IT-Sicherheitsmaßnahmen. Dies ist alleine jedoch nicht ausreichend.

Um Mitarbeitern dieses Wissen zu vermitteln, sind Maßnahmen zur Sensibilisierung und Schulung erforderlich. Ziel solcher Maßnahmen soll es sein, den Mitarbeitern die notwendigen Kenntnisse und Kompetenzen für sicherheitsbewusstes Verhalten für die Interaktion mit dem Internet zu vermitteln sowie den Blick für sicherheitskritische Situationen und deren Auswirkungen zu schärfen.

Durch ein anlassunabhängiges und regelmäßiges Sensibilisierungs- und Schulungsprogramm für alle Mitarbeiter, kann die IT-Sicherheit erheblich erhöht werden. Das Programm soll auf die jeweilige Institution zugeschnitten sein und das notwendige Sicherheitsniveau beachten. Nur geschulte Mitarbeiter können die Gefahren erkennen um z. B. Social Engineering zu entgehen. Konkrete Schutzmaßnahmen gegen Social Engineering können sein:

• Erhöhte Vorsicht in sozialen Netzwerken
• Verzicht auf vertrauliche Gespräche an öffentlichen Orten
• Gesundes Misstrauen gegenüber Anfragen fremder Kollegen
• Kritische Prüfung der E-Mail-Absenderadresse
• Bewusstsein durch Schulungen schaffen

E-Mail-Mitteilungen und Hinweise über aktuelle Angriffe sensibilisieren ebenfalls die Mitarbeiter (Vgl. Abbildung 1). So können IT-Abteilungen konkrete Attacken durch Schadsoftware aus dem Cyberraum benennen und vor deren Vorgehensweise sowie den Auswirkungen auf das Unternehmen warnen. Dies setzt jedoch voraus, dass alle Mitarbeiter im Unternehmen ein E-Mail-Postfach besitzen und es regelmäßig überprüfen.

Es ist erforderlich, dass die geschulten Inhalte auch gelebt werden. Wichtig ist ein Wandel in der Unternehmenskultur, der auch von der Führungsebene gewollt und vorgelebt wird. Die aktive Unterstützung des Sicherheitsprozesses durch das Management ist essenziell.

Fazit

Eine wesentliche Auffälligkeit ist, dass sich viele Unternehmen über die Gefahren aus dem Cyberraum zwar bewusst sind, aber bislang noch keine Maßnahmen umgesetzt haben. Da die größte Schwachstelle der IT-Sicherheit des Unternehmens die eigenen Mitarbeiter sind, sollte der Fokus eines Sicherheitsmanagements auch auf diesen liegen. IT-Sicherheitsschulungen, die sowohl auf das Unternehmen als auch auf das Arbeitsumfeld der Mitarbeiter zugeschnitten sind, sollten regelmäßig stattfinden.

Angreifer haben es zu leicht. Doch ganz nach dem Motto „Bisher ist ja auch nichts passiert!” kann es nicht weitergehen. Praxisgerechte Lösungen zu finden ist nicht einfach. Wir können Sie bei der Umsetzung Ihrer
IT-Sicherheit und der Entwicklung von praxistauglichen Maßnahmen mit unserem Fachwissen unterstützen. Eine E-Learning-Schulung für Mitarbeiter ist im Moment bereits in Arbeit.

Abbildung 1: Screenshot einer aktuellen Sensibilisierungs-E-Mail an die Rödl & Partner Mitarbeiter
durch die IT-Abteilung