Die Angreifer richten ihr Augenmerk auf Schwachstellen und nutzen diese aus. Sehr häufig sind die Schwachstellen allerdings nicht in der Technologie zu suchen. Der Mensch ist ein großer Unsicherheitsfaktor und eine Schwachstelle in der IT-Sicherheit. Cyberkriminelle nutzen dabei ganz gezielt Fehler aus, die beispielsweise durch Unwissenheit oder Unaufmerksamkeit entstehen. Dadurch verschaffen sie sich Daten, Passwörter und Zugänge. Deshalb spielt der Mensch eine zentrale Rolle im Bereich IT-Sicherheit.
Ist der Mensch die größte Schwachstelle?
Die Lage im Bereich Cybersicherheit ist derzeit angespannt. Hybrides Arbeiten macht neue Sicherheitsvorkehrungen notwendig. Cyberkriminelle führen ganz gezielte Phishing-Attacken durch, greifen gezielt Lieferketten an. Deshalb ist es für Unternehmen so wichtig, das Risiko für einen Angriff zu senken und sich auf den Ernstfall vorzubereiten. Um dieses Risiko richtig einschätzen zu können, ist Verständnis für die Vorgehensweise der Cyberkriminellen notwendig.
Unsichere Passwörter sind eine der größten Schwachstellen. Foto: Pixabay © frianett (CC0 Public Domain)
Prinzipiell gibt es zwei Arten von Cyberangriffen: der Brute-Force-Angriff oder der Angriff auf typische Schwachstellen. Bei einer Brute-Force-Attack starten die Angreifer massenhafte Attacken und probieren so lange, bis sie eine technische Schwachstelle finden, die sie nutzen können. Eine typische Schwachstelle in der IT-Sicherheit ist der Mensch. Menschen machen Fehler, das ist nur natürlich. Diese Fehler machen sich die Angreifer dann zunutze. Sie verwenden unsichere Passwörter, klicken schnell auf einen falschen Link oder nutzen eine unsichere Verbindung, um auf den Unternehmensserver oder die Cloud zuzugreifen. Oft ist der Mensch das schwächste Glied in der Sicherheitskette und ein ernstzunehmender Risikofaktor. Deshalb dürfen Unternehmen diesen Faktor nicht außer Acht lassen, wenn sie ihre IT ganzheitlich schützen wollen.
In diesem Zusammenhang ist häufig von Social Engineering die Rede. Das Social Engineering ist dabei kein Phänomen der Neuzeit. Schon in der Antike haben sich Täter menschliche Eigenschaften wie Angst vor Autoritäten, Hilfsbereitschaft, Rachsucht oder Vertrauen zunutze gemacht, um ihr Opfer zu manipulieren. Durch zwischenmenschliche Manipulation gelangen die Täter an vertrauliche Daten, Passwörter, Zugangsdaten für Server oder Bankkonten. Im digitalen Zeitalter ergeben sich für die Täter neue, teilweise sehr lukrative Möglichkeiten. Die Gefahr geschnappt zu werden sinkt.
Im privaten Bereich erschleichen sich die Täter unfreiwillige Überweisungen. In Unternehmen sind die Folgen meist viel weitreichender, von kleinen Problemen durch Schadsoftware über teilweisen Datenverlust bis zum kompletten Ausfall der Produktion, Sabotage und Industriespionage. Darüber hinaus erleiden die betroffenen Unternehmen einen enormen Imageschaden.
Der Faktor Mensch in der IT-Strategie
Unternehmen, die sich dessen bewusst sind, können diese Risiken gezielt mindern und den Faktor Mensch zu einem Teil der Lösung machen.
- Fehler sind menschlich
Menschen sind keine Maschinen, die nach einer programmierten Logik handeln. Sie handeln menschlich. Beispielsweise erzählt ein Mitarbeiter seinem Bekannten, dass in seinem Unternehmen veraltete Software im Einsatz ist. Ein unbemerkter Zuhörer von der Konkurrenz hört das Gespräch zufällig mit und schreibt sich alle Informationen auf. Besonders heikel sind hier entlassene Mitarbeiter, die sich ihren Frust von der Seele reden. Viele betroffene Unternehmen können bestätigen, dass ein erfolgreicher Hackerangriff ohne menschliches Zutun nicht möglich gewesen wäre.
Um dieses Risiko zu reduzieren, ist es wichtig, die Mitarbeiten zu schulen und zu trainieren. Durch regelmäßiges Training verankert sich das Thema IT-Sicherheit besser im Bewusstsein. Dabei spielt es auch eine Rolle, wie das Management mit dem Thema umgeht.
- Passwörter sind einfach zu erraten
Post-ist sind ganz praktisch, um Dinge nicht zu vergessen. Passwörter gehören allerdings nicht auf ein Post-it. Foto: Pixabay © anncapictures (CC0 Public Domain)
Viele haben eine Abneigung gegen komplizierte Passwörter. Sie verwenden kurze Zahlenfolge oder andere leicht zu erratende Passwörter, wie den Namen ihres Kindes oder ihres Hundes. Oft verwenden sie das gleiche Passwort für viele verschiedene Zugänge und im schlimmsten Fall sind Passwörter ganz offensichtlich notiert, beispielsweise in Form eines Post-its, das am Monitor klebt. Viele Mitarbeitende halten dies für ganz normales Verhalten und sind sich der Gefahr, die durch ihr Verhalten entsteht, nicht bewusst. Auf diese Weise können beispielsweise Kleinkriminelle, die sich als Techniker oder Reinigungskraft ausgeben, Firmendaten stehlen oder Schadsoftware installieren. Im schlimmsten Fall verschaffen sie sich Zugriff auf kritische Daten.
Um dem entgegenzuwirken, helfen längere Passwörter mit mindestens acht Zeichen. Im Idealfall besteht ein Passwort aus einer Folge von Buchstaben, Zahlen und Sonderzeichen, die keiner erkennbaren Logik folgen. Passwörter sollten nirgends physisch aufbewahrt werden und für jeden Zugang sollte es ein eigenes Passwort sein. Passwort-Manager-Tools sind bei der Verwaltung der Passwörter sehr hilfreich. Wichtig ist auch, dass die Mitarbeitenden ihre Passwörter mit niemandem teilen, auch nicht mit einer Führungskraft oder dem Helpdesk der IT.
- Menschen sind soziale Wesen
Menschen hören gerne Lob, das hebt ihre Stimmung. In dieser Stimmung geben sie gerne etwas von sich oder aus ihrem Job preis. Das ist eine menschliche Schwäche, die Angreifer geschickt ausnutzen können, um an sensible Informationen zu gelangen. Darüber hinaus stehen auch in den sozialen Medien viele Informationen, die sich ein Angreifer zunutze machen kann. Insbesondere frustrierte und auch unbedarfte Mitarbeitende sind hier ein Risiko. Auch Web-Applikationen, die Mitarbeitende auf dem Unternehmensrechner nutzen stellen eine Sicherheitslücke dar. Sie können zum Angriffspunkt auf das Firmensystem werden. Zudem sind diese Dienste ein einfacher Weg, um gefährliche Dateien in Umlauf zu bringen.
Dagegen hilft es, die Mitarbeitenden aufzuklären und ihnen zu verdeutlichen, wie real die Gefahr eines Cyberangriffs ist und welche Strategien die Cyberkriminellen nutzen. Der Zugriff auf private soziale Medien sollte nicht über die Unternehmenscomputer erfolgen.
- Gleichzeitige geschäftliche und private Nutzung von Geräten
In vielen Unternehmen ist es gang und gäbe, dass Mitarbeitende das WLAN nutzen, auch für ihre privaten Geräte. Doch das ist keine gute Idee. Die Sicherheit der fremden Geräte liegt nicht in Verantwortungsbereich des Unternehmens. Doch die privaten Geräte sind ein Einfallstor für Angreifer. Das können Smartphones, USB-Sticks oder externe Festplatten sein. Gefährlich wird es auch, wenn die Mitarbeitenden den Laptop des Unternehmens in der Freizeit nutzen dürfen. Besonders riskant ist dabei die Nutzung von öffentlichen oder privaten WLAN-Netzwerken, die nicht gesichert sind.
>
