Unternehmen jeder Größe sind Bedrohungen ausgesetzt. Laut einer Umfrage der europäischen Cybersicherheitsagentur ENISA nahmen alle Arten von Cyberangriffen im vergangenen Jahr zu. Dabei stieg die Zahl der DDoS-Angriffe gegenüber dem Vorjahr um 22 % und die Kosten in Verbindung mit einem Ransomwareangriff verdoppelten sich.

Eine Umfrage der britischen Regierung ergab eine sogar noch alarmierendere Statistik: Fast ein Viertel aller Unternehmen räumte Cybersicherheit keine ausreichend hohe Priorität ein. Dies würde erklären, warum so viele Unternehmen selbst für einfache Angriffe anfällig sind.

Das zeigt, dass viele Unternehmen trotz des immer ausgereifteren Cybersicherheitsmarktes das Thema Sicherheit weiterhin als rein technische Angelegenheit betrachten und dabei den geschäftlichen Aspekt außer Acht lassen – und das, obwohl Datenschutzverletzungen den Ruf von Marken schädigen, negative Auswirkungen auf das Verbrauchervertrauen haben und sogar das Aus für kleinere Unternehmen bedeuten. Dabei ist dieses Thema jetzt entscheidender denn je, denn mobile und hybride Arbeitsmodelle erfordern neue Sicherheitskonzepte.

Im Folgenden zeigen wir Ihnen, warum Cybersicherheit bereits bei Ihrer Belegschaft anfängt.

Machen Sie Sicherheit zu einem festen Bestandteil Ihrer Unternehmenskultur

Firmen müssen das Thema Sicherheit unternehmensweit angehen. In einer Zusammenstellung der aktuellen Herausforderungen für CIOs sprach sich das Beratungsunternehmen McKinsey deutlich dafür aus, Sicherheit zum Kernthema jedes Unternehmens zu machen. Sicherheitsmaßnahmen sollten dabei nicht als notwendiges Übel oder als rein technische Angelegenheit angesehen werden. McKinsey ging sogar noch einen Schritt weiter und erklärte, dass es beim Thema Sicherheit nicht nur um Upgrades verwendeter Produkte geht.

„Die Lösung [...] besteht darin, dass Sicherheit in erster Linie eine Frage der Unternehmenskultur und des Managements ist und keine rein technische Angelegenheit“, so der Bericht.

Fortschrittliche Unternehmen haben dies bereits erkannt und verändern ihre Art, mit Sicherheitsangelegenheiten umzugehen. Sie beziehen CIOs und/oder CISOs in die Entscheidungen mit ein, initiieren umfassende Schulungsprogramme und setzen sich für ein größeres Budget und mehr Ressourcen ein. Wie sich im Folgenden zeigen wird, machen diese Änderungen den entscheidenden Unterschied. Sicherheit wird fest in den Unternehmensalltag eingebunden – so werden diese Unternehmen weniger anfällig für Angriffe und daraus resultierende Datenverluste.

Unternehmen, die diese Arten von Maßnahmen nicht implementieren, sind leichte Beute – das wissen auch Cyberkriminelle. Das ist auch der Grund, warum so viele Sicherheitsverletzungen nicht durch ausgeklügelte Spitzentechnologie, sondern durch Social Engineering entstehen – Cyberkriminelle entscheiden sich eher für einfache Ziele. Die meisten Unternehmen werden daher zum Opfer einfacher und leicht durchführbarer Angriffe.

Dies ist ein großes Problem: In einer Studie wird geschätzt, dass 98 % aller Sicherheitsverletzungen durch Social Engineering entstehen. Dies wiederum zeigt, dass die Problematik weit über Technologie hinausgeht.

** Sicherheitsschulungen zur Bekämpfung von Social Engineering**

Die häufigste Form von Social-Engineering-Angriffen ist das Phishing – das Senden einer Nachricht per E-Mail. Phishing funktioniert, indem verschiedene Emotionen geschürt werden – manchmal Neugier, manchmal Freude, manchmal Angst. Das Endergebnis bleibt dabei das gleiche: Der Empfänger soll dazu gebracht werden, auf einen Link zu klicken, mit dem Malware im Hintergrund heruntergeladen oder das nichts ahnende Opfer auf eine Website weitergeleitet wird, über die Cyberkriminelle anschließend versuchen, Informationen zu stehlen oder Zugriff zu dem Gerät der NutzerIn zu erlangen.

Social Engineering kann äußerst ausgefeilt sein und genau auf die Opfer zugeschnitten sein. Sie könnten ein unerwartetes Geschenk an ihrem Geburtstag erhalten oder die Möglichkeit bekommen, als Erste(r) exklusiv einen neuen Song zu hören. Es gibt viele Möglichkeiten, das Interesse von NutzerInnen zu wecken, zum Beispiel auch falsche Steuerbescheide. Das britische Finanzamt gab an, dass E-Mail-Phishingangriffe in den ersten sechs Monaten der Coronapandemie um 73 % zunahmen.

MitarbeiterInnen können dabei jedoch auf gewisse Warnzeichen achten. Entspricht die E-Mail-Adresse des Absenders genau der erwarteten Adresse? Anzeichen, nach denen Ausschau gehalten werden sollte, sind beispielsweise der Austausch einer 0 durch O oder 1 durch I oder eine unbekannte TLD. Die E-Mail könnte mit einer generischen Grußformel wie „Sehr geehrter Kunde“ oder „Sehr geehrter Nutzer“ beginnen und die E-Mail-Adresse könnte gefälscht aussehen.

Wenn wir uns also den Rat von McKinsey zu Herzen nehmen und Sicherheit als Frage des Managements und der Unternehmenskultur sehen, was sollten Unternehmen dann tun, um sich besser zu schützen? Die Antwort darauf ist simpel: Prozesse vereinfachen, die Belegschaft mit Sicherheitsschulungen fortbilden und klare Richtlinien für den Umgang mit Cyberangriffen festlegen.

Prüfen Sie Ihre Sicherheitsrichtlinien

Es ist entscheidend, dass Unternehmen eine Sicherheitsrichtlinie entwerfen, in der MitarbeiterInnen erklärt wird, wie sie sicher arbeiten können, offensichtliche Fallen vermeiden können und, was vielleicht am wichtigsten ist, wie sie im Falle einer Sicherheitsverletzung reagieren sollten.

Europäische Unternehmen sollten bei diesem letzten Punkt angesichts der Ihnen durch die DSGVO auferlegten Pflichten besonders sorgsam vorgehen. Unternehmen können heutzutage mit hohen Geldstrafen rechnen, wenn Kundendaten nicht ausreichend geschützt sind. Dabei wäre der Verlust von sensiblen Daten ja eigentlich schon fast Strafe genug.

Zunächst sollte eine erfolgreiche Sicherheitsrichtlinie Nutzungsbedingungen abdecken: Für was kann Unternehmenseigentum verwendet werden und für was nicht? Diese Frage ist besonders wichtig, da MitarbeiterInnen im Zuge der Pandemie nun verstärkt von zu Hause aus arbeiten. Wenn Unternehmen schwarz auf weiß festlegen, wie Laptops verwendet werden dürfen, können Unternehmen ein gewisses Maß an Kontrolle ausüben. Gute Sicherheitsrichtlinien enthalten außerdem Vorgaben zum Teilen von Passwörtern und legen fest, ob Familienmitglieder Unternehmenseigentum verwenden dürfen. Letzteres hat insbesondere während des Lockdowns im Zuge der Coronapandemie zu Problemen geführt.

Die vielleicht erschreckendste Statistik aus der Umfrage der britischen Regierung ist, dass die Coronapandemie nur geringe Auswirkungen auf die Einstellung von Unternehmen zum Thema Sicherheit hatte. Die Studie zeigt auf, dass 84 % aller befragten Unternehmen Ihre Sicherheitsrichtlinien nicht angepasst haben – und das, obwohl die Anzahl der mobil arbeitenden MitarbeiterInnen massiv zugenommen hatte.

Des Weiteren gibt es zahlreiche Anzeichen dafür, dass auch in Zukunft viele MitarbeiterInnen von zu Hause aus arbeiten werden – das wird für diese Unternehmen zum Verhängnis werden.

Machen Sie klare Vorgaben und nutzen Sie Multi-Faktor-Authentifizierung

Aber Sicherheitsrichtlinien können noch wesentlich umfassender sein. Unternehmen können Richtlinien für Passwörter vorgeben, damit „123456“ oder „Passwort“ nicht als Passwörter genutzt werden (Namen von Kindern oder Haustieren sind nur unwesentlich besser). Es können auch Mindestzeichenzahlen gesetzt werden und regelmäßige Passwortänderungen vorgeschrieben werden. Unternehmen nutzen nun Zwei-Faktor-Authentifizierung, um ihre Sicherheitsmaßnahmen zu stärken. Analysten der Firma Gartner sprechen sich angesichts des Wechsels zu hybriden Arbeitsmodellen für einen identitätsorientierten Sicherheitsansatz aus.

Es können ebenso strenge Vorgaben bezüglich des Öffnens von Anhängen und der Verwendung von Geräten wie USB-Sticks gemacht werden, durch die Malware ins System gelangen kann.

Außerdem sollte eine klare und durchdachte Richtlinie für Sicherheitsverletzungen entwickelt werden. In dieser sollte eindeutig definiert werden, was eine Sicherheitsverletzung ist (und wie schwer diese Verletzung ist), welche Aufgaben die jeweiligen MitarbeiterInnen haben und wem sie Bericht erstatten müssen.

Unternehmen sollten auch nicht den Aspekt der Mitarbeiterschulung vernachlässigen. Es gibt viele Fehlinformationen zum Thema IT-Sicherheit. Unternehmen können an dieser Stelle unterstützend einspringen, selbst wenn es nicht direkt um Unternehmenseigentum oder die eigenen Services geht.

Social Media können zum Beispiel eine große Schwierigkeit darstellen. Unternehmen können Vorgaben über den Informationsgehalt machen, der auf persönlichen Accounts veröffentlicht werden darf, darunter beispielsweise das Geburtsdatum, der Geburtsname der Mutter, die erste Adresse usw.

Die Einhaltung dieser Vorschriften ist für Arbeitgeber zwar schwieriger zu überwachen, aber sie können dennoch zur Schulung der MitarbeiterInnen dienen und sicherstellen, dass die Belegschaft über die Art der Informationen, die von Social-Engineering-Angreifern genutzt werden, informiert ist.

Verbesserung der Unternehmenskultur und neue Sicherheitsmodelle

Es zeigt sich deutlich, dass Unternehmen einen holistischeren Ansatz in Bezug auf IT-Sicherheit brauchen. Es ist nicht mehr ausreichend, Firewalls zu implementieren und Virenschutzsoftware zu installieren, um sicherzustellen, dass Laptops und PCs vollumfänglich geschützt sind. (Es bleibt jedoch offen, ob diese Maßnahmen jemals ausgereicht haben.)

Unternehmen können über die besten, modernsten Cybersicherheitsprodukte verfügen – wenn die Unternehmenskultur nicht auf Best Practices ausgerichtet ist, werden sie dennoch anfällig für Angriffe sein. Gleichzeitig müssen Cybersicherheitsstrategien das gesamte Spektrum des Prinzips „Entdecken, korrigieren und reagieren“ abdecken, anstatt die jeweiligen Aspekte einzeln zu betrachten.

Ein Schulungsprogramm für NutzerInnen und eine umfassende Sicherheitsrichtlinie werden eine Firma nicht 100 % sicher machen, aber sie tragen erheblich zu einem effektiven Sicherheitskonzept bei.

Sie wollen herausfinden, wie Dell Technologies Sie mit intrinsischer Sicherheit, unserem neuen, von Natur aus sicheren Sicherheitskonzept, bei diesen Problemen unterstützen kann? Dann klicken Sie hier und erfahren Sie in unserem Artikel mehr darüber.

Erfahren Sie mehr über Dell Technologies und VMware-Lösungen APEX Cloud Services – Cloud as a Service | Dell Technologies Germany