IT-Schwachstelle Mensch
Überall hört man von der rasant steigenden Anzahl an Cyberangriffen, das allgemeine Bewusstsein wächst und fast jeder kennt jemanden, der schon einmal „falsch geklickt“ hat. Wie kann es dann sein, dass solche Angriffe dennoch immer erfolgreicher werden?
Viele Cyberattacken gelingen vor allem deshalb, weil Angreifer, anstatt an technischen Sicherheitslücken, gezielt an der Schwachstelle Mensch ansetzen. Sicherheitsbestrebungen müssen sich deshalb – neben technischen Aspekten – auch gezielt auf diese Schwachstelle richten, um sie bestmöglich zu „beheben“. Denn jeder kann versehentlich und mit nur einem Klick die ausgereifteste Sicherheitstechnik aushebeln – und das im besten Glauben, das Richtige zu tun.
Cyberbetrüger verlassen sich heutzutage nicht mehr nur auf Dokumente, die täuschend echt aussehen, wie beispielsweise Schreiben von der Hausbank oder von öffentlichen Stellen. Sie nutzen vielmehr menschliche Eigenschaften und Bedürfnisse aus, indem sie sich sich psychologischer Trigger wie Angst, Neugierde oder Hilfsbereitschaft bedienen – das sogenannte Social Engineering. Dazu zählt auch, sich als Vertrauensperson auszugeben und so Zugang zu einem Unternehmen zu erlangen. Weil die Wachsamkeit durch die Kombination von Informationsflut und allgegenwärtigem Zeitmangel rasch nachlässt, kommt es um so schneller zum folgenschweren Klick.
Untersuchungen zeigen auch, dass die Angriffe immer gezielter, aggressiver und intelligenter werden. So spiegeln sie sehr zeitnah das aktuelle Geschehen – jetzt zum Beispiel mit Angeboten zu Impfstoffen – wider, nachdem das zuvor beliebte Thema Masken inzwischen „out“ ist. Überhaupt eignet sich die Pandemiesituation hervorragend, um Daten auszuspähen und zu missbrauchen. Gerne wird auch die Spendenbereitschaft angesprochen oder es werden vermeintliche finanzielle Chancen eröffnet.
Neben dieser Verfeinerung der Taktik von Angreifern zeichnet sich außerdem ab, dass die Zahl der Angriffe auf den Mittelstand stark ansteigt. Laut einer aktuellen Bedrohungsanalyse der G DATA CyberDefense AG stieg die Zahl der abgewehrten Angriffsversuche auf KMU im zweiten Halbjahr 2020 um 85 Prozent. Im gesamten Jahr haben Cyberkriminelle in jeder Minute durchschnittlich 76 neue Versionen einer Schadsoftware veröffentlicht. Und, kaum zu glauben: Solche Programme können sogar als „SaaS“ (Software as a Service) angemietet werden.
Fehler zu machen ist menschlich und eine funktionierende Fehlerkultur in Unternehmen unverzichtbar. Denn nur dann wird sich ein Mitarbeiter, der in die Falle getappt ist, auch zeitnah zu Wort melden. Fehler sind unvermeidlich, aber sie sollten möglichst das Unternehmen nicht schädigen, indem zum Beispiel Datenlecks entstehen oder finanzielle Folgen drohen.
Um die Gefahr menschlicher Fehler einzudämmen, müssen Mitarbeiter sensibilisiert werden. Es gilt, die Aufmerksamkeit für unterschiedliche Betrugsbeispiele zu steigern, um Attacken zukünftig leichter zu erkennen. Hier eignet sich die anschauliche Schilderung von Fällen, die jeden betreffen können, um die möglichen weitreichenden Folgen von Fehlern aufzuzeigen. Und ganz wichtig: das Ganze darf nicht nur einmalig geschehen, sondern muss möglichst regelmäßig stattfinden.
Die besondere Herausforderung dabei: IT-Sicherheit durchlebt eine ständige Veränderung, weshalb auch die Reaktionsmöglichkeiten variabel bleiben müssen. Sicherheitskonzepte müssen fortlaufend angepasst und proaktive Schutzmaßnahmen etabliert werden. Auf menschlicher Seite eignen sich dazu der Einsatz des gesunden Menschenverstands, erhöhte Aufmerksamkeit und regelmäßige Schulungen zur Sensibilisierung von Mitarbeitern.
Trotz aller Vorsichtsmaßnahmen bleibt der Mensch – zum Glück – ein Mensch und damit können Fehler nie gänzlich vermieden werden, gehören diese doch zum Menschsein dazu. Umso wichtiger ist es, alle erdenklichen technischen Sicherheitsmaßnahmen einsetzen, um Unternehmen gegen Angriffe von außen zu schützen.
Dabei unterstützen wir Sie gerne!
Ihr Ansprechpartner für IT Consulting
Jascha Plein
Anschaulich und effizient kümmert sich Jascha um Datenschutz und Informationssicherheit in Ihrer Organisation – Geduld und Verständnis inklusive.