Sicherheitsbewusste Mitarbeiter öffnen keine Spam-Mails

Ein Fachbeitrag von Nikolas Schran, International Business Development Manager bei G DATA CyberDefense AG

Cyberkriminelle greifen vermehrt Unternehmen an. Dabei geraten auch kleine und mittelständische Betriebe zunehmend ins Visier. Für ihre Angriffe nutzen die Täter nicht nur innovative Technologien, sondern auch raffinierte Tricks, um in Firmennetzwerke einzudringen. Hier braucht es ganzheitliche IT-Security-Strategien, um verteidigungsfähig zu bleiben. Ein wesentlicher Bestandteil dieser Strategie sind aufmerksame Mitarbeiter. Durch sicherheitsbewusstes Verhalten werden sie befähigt Cyberattacken zu verhindern. Dieses lernen sie in zeitgemäßen Schulungen.

IT-Security in Unternehmen muss heute so selbstverständlich sein, wie Brandschutz oder Erste Hilfe. Denn Cyberangriffe gehören seit geraumer Zeit für viele Unternehmen zum täglichen Geschäft. Das zeigen auch aktuelle Zahlen des Branchenverbandes Bitkom. In den vergangenen zwei Jahren fielen 68 Prozent der Befragten einer Cyberattacke zum Opfer. Dabei sind zwei aktuelle Trends zu beobachten. Zum einen das Phänomen, dass Cyberkriminelle immer schneller arbeiten. Alleine im ersten Halbjahr 2019 haben die IT-Sicherheitsexperten von G DATA mehr als 33.000 verschiedene Versionen des Ransomware-Schädlings Emotet entdeckt – zu Spitzenzeiten kommt alle sieben Minuten eine neue Version des Schadprogrammes in Umlauf. Das waren bereits mehr Versionen als im gesamten Jahr 2018. Hacker nutzen automatisierte Programme, um den Schadcode mittels kleinster Veränderungen oder mit Hilfe von Komprimierungsverfahren vor Virenscannern zu verstecken. Diese verpackte Malware erproben Cyberkriminelle an den marktgängigen Antiviren-Programmen. Und zwar solange, bis die statische und somit starre Analyse die Verpackung nicht mehr erkennt.

Trend Nummer zwei: Cyberkriminelle suchen sich ihre Opfer viel gezielter aus. Sie planen ihre Angriffe von langer Hand und sammeln im Vorfeld wichtige Informationen – beispielsweise in den sozialen Netzwerken, oder direkt auf der Homepage ihres Unternehmens. Darauf aufbauend passen sie Spamnachrichten so an, dass Mitarbeiter diese nur schwer von legitimen Mails unterscheiden können. Die Schadenssummen sind dabei so vielfältig, wie die Unternehmen selbst. Die Variationsbreite am oberen Ende der Lösegeldforderungen reicht von mehreren hunderttausend Euro bis hin zu siebenstelligen Summen.

Der Faktor Mensch

Aktuelle Studien belegen, dass den Mitarbeitern eine bedeutende, wenn nicht die bedeutendste Rolle bei der Abwehr von Cyberattacken zukommt. Dieses Ergebnis bestätigt etwa das aktuelle „Lagebild Wirtschaftsschutz NRW 2019“ aus dem Innenministerium des Landes Nordrhein-Westfalen: Demnach hängt die Sicherheit in Unternehmen entscheidend von den Mitarbeitern, deren Umgang mit technischem Equipment, Daten, Informationen sowie der Übernahme von Eigenverantwortung für Sicherheitsthemen ab. Die Studie kommt zu dem Ergebnis, dass insbesondere der Sensibilisierung und Schulung der Mitarbeiter eine hohe Bedeutung zukommt, um die wirtschaftliche Wettbewerbsfähigkeit sicherzustellen. Die umgesetzten Maßnahmen zur Mitarbeiterschulung reichen aber noch längst nicht so weit, wie es zum effektiven Schutz der IT-Sicherheit nötig wäre. Gerade in kleineren Unternehmen sind der Wissensstand sowie die Sensibilisierung der Mitarbeiter für die Aktivitäten von Cyberkriminellen weit weniger ausgeprägt als in größeren Unternehmen.

Auch die aktuelle Mittelstandsstudie von G DATA bestätigt diesen Eindruck. Acht von zehn mittelständischen Unternehmen (83 Prozent) glauben, dass ihre Mitarbeiter ein potenzielles Einfallstor für Cyberattacken sein können. Dabei zeigt sich immer wieder, dass bereits ein falscher Klick auf eine vermeintliche Bewerbung oder eine angebliche Rechnung im Mailanhang ausreicht, um eine Schadcode-Infektion der IT-Systeme auszulösen – mit möglicherweise existenzbedrohenden Folgen.

Die Studienergebnisse belegen eindrücklich, dass technologische Schutzmaßnahmen alleine nicht ausreichen. Aufmerksame Mitarbeiter sind ein entscheidender Faktor bei der Abwehr von Cyberattacken. Awareness Trainings für Mitarbeiter werden von Mittelständlern als wichtig erachtet. Dennoch spiegelt sich die zugeschriebene Bedeutung noch nicht in der Anzahl von durchgeführten Mitarbeiterschulungen wieder. Die Schulung ihrer Angestellten hinsichtlich Cybergefahren und dem sicheren Umgang mit den IT-Systemen finden neun von zehn Mittelständler wichtig beziehungsweise sehr wichtig. Nur 2,5 Prozent weisen ihren Mitarbeiter beim Thema IT-Sicherheit keine Rolle zu. Sie vergeben damit die große Chance, eine weitere Abwehrreihe im Kampf gegen Cyberattacken zu errichten.

Die Frage nach dem Warum

IT-Sicherheitsmaßnahmen gehören wie die jährliche Zahnarztkontrolle oder die Inspektion des Autos in die Kategorie: „Zeitfresser“. Erschwerend kommt noch hinzu, dass Unternehmen damit kein Geld verdienen und es augenscheinlich nicht als Wettbewerbsfaktor hilft. Die Sichtweise „IT-Sicherheit generiert keinen Profit“ ist ebenso weit verbreitet wie grundsätzlich falsch.

Richtig ist: Funktionierende IT-Sicherheitsmaßnahmen verhindern Verluste. Diese sind nicht nur schmerzhaft, sondern können bis zum wirtschaftlichen Totalschaden reichen. Offensichtlich fehlt vielen Unternehmern schlicht und einfach die Motivation, sich der IT-Sicherheit mit der notwendigen Aufmerksamkeit zu widmen. Es muss erst ein Kind in den Brunnen fallen, bevor die betrieblichen Entscheider die Installation eines Sicherheitsgitters in Betracht ziehen. Wer einmal Opfer einer Cyberattacke war, fragt bei der Investition in Schutzmaßnahmen nicht mehr nach dem Return-on-Investment.

Ein weiterer beklagenswerter Umstand ist, dass Mitarbeiter das Thema oftmals nicht ernst genug nehmen. Beispiele dafür gibt es mehr als genug. So suchen sie immer wieder nach Abkürzungen, um sich die Arbeit zu erleichtern. Der durch eine Policy vorgeschriebene monatliche Wechsel des Passwortes führt meist dazu, dass sie ihr Standardpasswort lediglich mit einer aufsteigenden Zahl verändern. Aus „Passwort01“ wird dann „Passwort02“. Auch bei der Zugangskontrolle an der Tür wird entweder ein einfach zu merkender Code programmiert oder die Sicherheitsmaßnahme mit einem Keil ganz ausgehebelt. Beispiel Nummer drei: Der berüchtigte herrenlose USB-Stick auf dem Parkplatz, auf dem Malware lauert. Ein geschulter Mitarbeiter steckt ihn nicht ungeprüft in seinen Rechner und sieht nach, welche „Informationen“ der Stick enthält, sondern lässt ihn an der Fundstelle liegen oder gibt diesen zur Untersuchung in der IT-Abteilung ab. In der Praxis siegt bei gezielten Tests jedoch meist die Neugier. Angestellte öffnen regelmäßig Dateien mit zweifelhaftem Ursprung und prüfen so ganz nebenbei, ob die technologischen Schutzmaßnahmen wirken und die IT-Infrastruktur geschützt ist.

Mitarbeiter als Schutzwall gegen Cybercrime

Klar ist: Alleine mit der Installation einer Antiviren-Software oder der Definition einer Passwort-Regelung lassen sich wertvolle Netzwerke und kritische Daten nicht schützen. Hierfür ist ein ganzheitlicher Ansatz vonnöten. Letztendlich müssen Unternehmen dafür sorgen, dass sich die Mitarbeiter nicht nur der aktuellen Gefahrenlage bewusst sind, sondern auch in die Lage versetzt werden, Angriffsmuster frühzeitig zu erkennen und entsprechend zu handeln. Es reicht aber nicht, Angestellte über die drei größten Gefahren für Cyberattacken – Mails mit infizierten Datei-Anhängen, USB-Sticks mit Schadsoftware oder bösartige Downloads – aufzuklären. Das sind lediglich die elementarsten Verhaltensregeln, das volle Themenspektrum ist jedoch viel umfangreicher.

New Work – New Risks

Im Zuge der Digitalisierung haben sich unsere Arbeitsweisen grundlegend gewandelt. Die Verlagerung von Arbeitsprozessen ins Netz wird sich auch in Zukunft weiter fortsetzen. Diese Veränderungen wirken sich auch nachhaltig auf die IT-Sicherheit aus. Wer unterwegs etwa in der Bahn oder im Home-Office arbeitet, muss wissen, wie er seine Passwörter, sensible Informationen sowie Dokumente vor unerwünschten Blicken und Zugriffen schützen muss. In diesem Zusammenhang setzen Mitarbeiter nicht nur zusätzliche Arbeitsgeräte wie Smartphones oder Tablets ein, sondern arbeiten dabei in der Regel außerhalb des firmeninternen Netzwerkes. Die Daten, mit denen sie arbeiten, speichern sie dann entweder lokal oder nutzen Cloud-Ressourcen.

Auch die rechtlichen Rahmenbedingungen zum Datenschutz und zur Datensicherheit, die sich aus der EU-DSGVO oder branchenspezifischen Vorgaben ableiten, müssen Angestellte nicht nur kennen, sondern auch anwenden. Denn die bloße Existenz eines IT-Notfallplans allein verhindert keinen Cyberangriff. Mitarbeiter müssen diesen kennen und entsprechend der Vorgaben reagieren, also schon im Verdachtsfall den Chief Information Security Officer oder einen verantwortlichen Mitarbeiter ansprechen. Hinzu kommt, dass Gefahren heute weit weniger offensichtlich sind, als noch vor einigen Jahren. So sind Phishing-Mails immer schwerer als solche zu erkennen. Sie werden heute längst nicht mehr im Namen angeblicher Prinzen, Diplomaten oder Geschäftsleute versendet, sondern sehen wie ganz normale Geschäftsvorgänge aus – häufig nehmen Sie sogar Bezug auf bestehenden E-Mail-Verkehr.

Gleiches Wissen für alle

Es sprechen einige Gründe dafür, die unternehmenskritischen Inhalte von IT-Sicherheitsschulungen in Vor-Ort-Schulungen mit Anwesenheitspflicht zu vermitteln. Aber ab einer bestimmten Unternehmensgröße lassen sich verpflichtende Präsenzschulungen kaum noch realisieren. Mitarbeiter sind krank, im Urlaub oder dienstlich unterwegs. Die Terminfindung gerät so zum unmöglichen Unterfangen.

Hinzu kommt: Wer das Thema grundlegend angehen und nachhaltig bei seinen Mitarbeitern verankern will, muss einerseits deutlich mehr Zeit als ein ein- oder zweitägiges Seminar einplanen und andererseits dafür Sorge tragen, Lerninhalte etwa zu aktuellen Sicherheitsvorfällen kurzfristig für alle Angestellten bereit zu stellen. Denn Informationen zu neuen Angriffsmethoden, wie beispielsweise als Bewerbungsunterlagen getarnte Trojaner, müssen schnellstmöglich die relevanten Mitarbeiter erreichen. E-Learnings bieten zu diesem Zweck deutlich flexiblere Rahmenbedingungen und können von jedem Mitarbeiter zeit- und ortsunabhängig in Anspruch genommen werden. Gerade Unternehmen mit verteilten Standorten profitieren hiervon. Darüber hinaus erhalten alle Mitarbeiter die gleichen Informationen in derselben Form und unabhängig von Dozenten. Gleichzeitig lassen sich die Trainings an den individuellen Wissensstand der einzelnen Mitarbeiter anpassen. Neue beziehungsweise aktuelle Lerninhalte lassen sich schnell integrieren und stehen allen Teilnehmern sofort zur Verfügung. Und nicht zuletzt können Vorgesetzte und Personalverantwortliche dank integrierter Testmodule den Lernfortschritt ihrer Mitarbeiter prüfen.

Lebenslanges Lernen

Weil das Thema IT-Sicherheit immer mehr das Arbeitsleben durchzieht, bedarf es eines umfassenden Schulungsangebotes. Vielen Firmen, insbesondere kleinen und mittelständischen Unternehmen, fehlt es nicht nur an qualifiziertem Personal, sondern auch an notwendigem Know-how, um ein solches Schulungskonzept zu realisieren. Hier sind sie auf die Zusammenarbeit mit Dienstleistern angewiesen. Denn diese können auf Basis ihrer langjährigen Erfahrung im Kampf gegen Cyberkriminelle ein umfassendes Trainingsangebot für Angestellte realisieren.

Um das Thema vollständig abzudecken, bedarf es eines umfassenden und langfristig ausgelegten Lehrplans, mit dem sich Wissen nach neuesten Lernmethoden bedarfsgerecht vermitteln lässt. Eine Untergliederung in unterschiedliche Themenblöcke ist genauso unumgänglich, wie ein Einstiegstest. Denn der Wissensstand der Belegschaft geht bei der IT-Sicherheit weit auseinander. Auf Basis der Resultate im Einstiegstest lassen sich die Inhalte für jeden Angestellten individuell steuern und priorisieren.

Folgende Themengebiete sollten abgedeckt sein:

• Die neue Art zu arbeiten – Arbeiten außerhalb des Büros und an öffentlichen Orten
• Risikomanagement und Passwörter – Sichere Passwörter erstellen und richtig einsetzen
• Phishing und Malware – Wie Mitarbeiter Malware und Phishing-Versuche erkennen
• Klassifizierung der zu bearbeitenden und zu speichernden Informationen – Um welche Daten handelt es sich? Wie werden Informationen klassifiziert und warum?
• Arbeiten in der Cloud – Social Media und sicheres Arbeiten in der Cloud
• Sicherheitsvorfälle und Reports – Cyber-Security-Vorfälle und Zugangskontrollen
• Social Engineering – Wie Hacker Mitarbeiter für ihre Angriffe manipulieren
• Mobile Geräte – Smartphones, Tablets und Co. in der Arbeitswelt sicher einsetzen
• Umgang mit Informationen – EU-DSGVO, Datenschutz und Privatsphäre

Dabei kommen sowohl Videos, Texte sowie interaktive Multiple-Choice-Tests zum Einsatz. Besondere Bedeutung kommt hierbei der Wiederholung und Auffrischung neuer Lerninhalte zu. Mit regelmäßigen, kurzen Trainingseinheiten können die Mitarbeiter die Inhalte kontinuierlich verinnerlichen. Bei aktuellen Gefährdungen oder Sicherheitsvorfällen lassen sich innerhalb kürzester Zeit neue Erkenntnisse zusteuern, sodass Mitarbeiter entsprechend auf aktuelle Angriffsversuche vorbereitet sind.

Alle Lerninhalte zeigen Situationen, die Mitarbeiter aus ihrem eigenen Arbeitsalltag kennen. Sie sind verständlich formuliert und daher besonders für Angestellte ohne technische Vorkenntnisse schnell und einfach nachvollziehbar. Der Lernzuwachs ist für den Mitarbeiter, aber auch für Personal- und IT-Verantwortliche messbar. Wichtig dabei: Die Security-Awareness-Trainings sind datenschutzkonform und auf die Vorgaben des Betriebsverfassungsgesetzes abgestimmt.

Positive Verstärkung

Nach jeder Frage erhalten Mitarbeiter eine Rückmeldung, was richtig und was falsch war. Aber anstelle eines erhobenen Zeigefingers à la „Das war falsch!“ folgt eine genaue Erklärung, was sie hätten besser machen können. Dieses positive Feedback sorgt für einen optimalen Lernerfolg. Gleichzeitig ist sichergestellt, dass die Mitarbeiter auch die nächste Lerneinheit absolvieren und das gesamte Training bis zum Ende vollziehen.

Eine zusätzliche Motivation bieten Zertifizierungen. Mitarbeiter können sich nach bestandenen Themenblöcken eine Urkunde über die erfolgreiche Teilnahme ausstellen lassen. Der Anbieter von Trainings sollte im engen Austausch mit seinen Kunden gewünschte Erweiterungen besprechen und bei Bedarf implementieren. Hier lassen sich etwa Gamification-Ansätze integrieren, sodass beispielsweise Fachabteilungen gegeneinander antreten. Denkbar sind auch Incentivierungen für erfolgreiche Mitarbeiter wie Gutscheine oder ähnliches.

Unternehmen handeln weitsichtig, wenn sie ihre Mitarbeiter in das IT-Sicherheitskonzept einbeziehen und deren IT-Sicherheitsbewusstsein fördern. Gleichzeitig können Unternehmen die Awareness-Trainings nutzen, um sich vom Wettbewerb abzuheben. Sie signalisieren ihren eigenen Kunden, dass sie sich ganzheitlich mit dem Thema beschäftigen und nicht nur auf technologische Schutzmaßnahmen vertrauen. Eine Investition in das IT-Sicherheitswissen der Mitarbeiter ist gleichzeitig auch eine Investition in die Zukunft des Unternehmens. Die beliebte Phrase im Falle eines Sicherheitsvorfalls „Die Sicherheit und Privatsphäre unserer Nutzer hat für uns oberste Priorität“ wird so mit einem sichtbaren und wirksamen Engagement unterfüttert.