Wie menschliche Fehler die Datensicherheit eines Unternehmens gefährden

, München, Netwrix | Autor: Herbert Wieler

Wie menschliche Fehler die Datensicherheit eines Unternehmens gefährden

Mangelndes Sicherheitsbewusstsein

Strengere Datenschutzbestimmungen zwingen die Unternehmen dazu, die Datensicherheit ganz oben auf ihre Prioritätenliste zu setzen. Den meisten Unternehmen fehlt jedoch immer noch eine starke Cyber Security-Kultur unter ihren Mitarbeitern. In einem kürzlich veröffentlichten Artikel von Osterman Research wird berichtet, dass weniger als die Hälfte (42%) der Organisationen ihre Mitarbeiter in Bezug auf die allgemeine Datenschutzverordnung (DSGVO) schulen. Noch weniger – nur 18% – verfügen über ein Programm zur Schulung ihrer Angestellten über das California Consumer Privacy Act (CCPA), das in 2020 in Kraft treten wird. Fehlende Schulungen erhöhen das Risiko menschlicher Fehler, die zwangsweise zu Datenschutzverletzungen führen. Dabei gibt es Tools und Techniken, mit deren Hilfe das Risiko von menschlichen Fehlern und deren Folgen verringert werden können.

Folgend finden Sie die häufigsten Fehler, die Benutzer machen können, sowie entsprechende vorbeugenden Maßnahmen, die man ergreifen kann und sollte, bevor es zu einem echten Schaden kommt.

Phishing

Bei Phishing handelt es sich um betrügerische und bösartige E-Mails, die scheinbar aus einer vertrauenswürdigen Quelle stammen, um Opfer dazu zu bringen, persönliche Informationen preiszugeben. Laut dem Verizon Data Breach Report von 2018 macht Phishing immer noch 93% der Schwachstellen aus. E-Mails sind dabei der häufigste Angriffsvektor (96%).

Diesen Angriffen sind sehr viele Mitarbeiter eines Unternehmens normalerweise ausgesetzt. Um den Schutz zu erhöhen, ist die Wahl der Schulung entscheidend. Langatmige und zeitraubende Trainings sind dabei eher kontraproduktiv. Stattdessen könnte man kurze, wiederholende Videos für die Mitarbeiter einspielen, die reale Situationen wiedergeben und zeigen, wie Social-Engineering-Angriffe funktionieren. Natürlich können einige Mitarbeiter immer noch unverantwortlich handeln, wenn sie mit einer tatsächlichen Phishing-E-Mail konfrontiert werden. Laut dem Verizon Data Breach Report gaben 4% der Befragten zu, dass der Klick auf einen verdächtigen Anhang für sie keine große Sache sei.

Eine zweite nützliche Maßnahme wäre, regelmäßig Phishing-Simulationstests auszuführen, um zu prüfen, ob die Schulungen der Mitarbeiter effektiv waren und die Mitarbeiter Ihre Richtlinien zur Informationssicherheit auch einhalten. Zudem können die User identifiziert werden, die häufiger auf schädliche Links klicken, sodass Sie individuell weitere geschult werden könnten. Zudem sollten man natürlich Anti-Spam- und E-Mail-Filterungstools implementieren, um das Risiko noch weiter zu verringern.

Zugriff von nicht autorisierten Benutzern auf Unternehmensgeräte

Laut dem Wombat User Risk Report 2018 erlauben 55% der erwerbstätigen Erwachsenen, dass Freunde und Familienmitglieder zu Hause auf ihre, vom Arbeitgeber zur Verfügung gestellten Geräte, zugreifen können. Dies ist ein weiteres Zeichen für ein schlechtes Bewusstsein für die Datensicherheit, da der Freund oder das Familienmitglied dadurch möglicherweise auf sensible Daten wie die Bankkonten der Organisation oder deren Kundendaten zugreifen könnte. Noch schlimmer ist allerdings das Risiko, dass die Bekannten dadurch Malware herunterladen, die dann auf Unternehmensdaten, Cloud-Anwendungen zugreifen könnte.

Ein einmaliges Hinweisen auf diese Gefahren reicht in der Regel nicht aus, um diesen menschlichen Fehler zu eliminieren. Stattdessen sollte man einen umfassenden Informationssicherheitsplan einführen, den alle Mitarbeiter befolgen müssen und durch die Teamleiter kontrolliert werden können. Eine weitere wichtige Maßnahme ist die Implementierung geeigneter Sicherheitskontrollen auf den Geräten und Systemen. Stellen Sie sicher, dass alle Geräte kennwortgeschützt sind, und verwenden Sie mindestens eine Zwei-Faktor-Authentifizierung für alle Geräte und Anwendungen des Unternehmens.

Mangelndes Bewusstsein für Passwörter

Laut dem Wombat User Risk Report 2018 geben 66% der Befragten an, kein Passwort-Manager-Tool zu verwenden. 60% verwenden zusätzlich gleiche Passwörter für mehrere Online-Konten. Dies ist eine sehr riskante Vorgehensweise, da ein erfolgreicher Angreifer nach einer Gefährdung eines Kontos, weitere Zugriffsmöglichkeiten auf alle anderen Online-Konten hätte. Neben der Wiederverwendung von Kennwörtern stellt meist die Vergabeart von Passwörtern ein hohes Risiko dar. Offensichtliche Kennwörter, wie z.B. 123abc, 1111, usw. sind leider immer noch keine Seltenheit. Die mangelnde Aktualisierung von Kennwörtern, das Speichern von Kennwörtern in Reichweite des Computers und das Teilen von Kennwörtern, erhöhen das Risiko eines Datenmissbrauchs für ein Unternehmen, da ein Angreifer Kennwörter leichter stehlen oder knacken kann.

Es empfiehlt sich auf jeden Fall, Schulungen durchzuführen, die sich ausschließlich mit Passwörtern befassen. Erwägen Sie auch die Verwendung von unterstützenden Hinweisen, die beim Anmelden auf die Benutzerbildschirme übertragen werden. Diese Tipps können wichtige Punkte wiederholen, die während des Trainings hervorgehoben wurden (z. B. „Bewahren Sie Ihr Kennwort niemals an einem Ort auf, der für andere Personen als Sie selbst zugänglich ist.“). Eine weitere wichtige Maßnahme ist die Verwendung einer Kennwortmanager-Softwareanwendung, die komplexe Anmeldeinformationen generiert, abruft und in einer verschlüsselten Datenbank speichert. Erwägen Sie außerdem die Verwendung eines Tools zum Verfallsdatum von Kennwörtern, das Benutzer automatisch daran erinnert, ihre Kennwörter zu ändern, bevor sie ablaufen. So können Sie regelmäßige Kennwortänderungen anfordern, ohne dass Ihr Helpdesk stndig einschreiten muss.

Schlechte Verwaltung von hochprivilegierten Accounts

Auch IT-Profis können Fehler machen und diese Fehler kosten Unternehmen oft sehr viel. Accounts mit privilegierten Berechtigungen, wie z. B. Administratorkonten, sind mächtig. Aber die Sicherheitskontrollen zur Verhinderung des Missbrauchs oft unzureichend. Der kürzlich veröffentlichte IT-Risikobericht Netwrix 2018 zeigt, dass nur 38% der Organisationen die Administratorkennwörter einmal pro Quartal aktualisieren. Der Rest macht dies nur einmal im Jahr oder noch seltener. Wenn IT-Experten die Kennwörter für privilegierte Konten nicht regelmäßig aktualisieren und sichern, können Angreifer diese leichter knacken und dadurch Zugriff auf das Netzwerk der Organisation erhalten. Über horizontale Angriffstechniken können die Admin-Informationen dazu verwendet werden, die Zugriffskontrolle auf verschiedene Ressourcen oder IT-Systeme zu umgehen und direkt auf die begehrten vertraulichen Daten zuzugreifen.

Eine notwendige vorbeugende Maßnahme besteht darin, das Prinzip der geringsten Privilegien möglichst für alle Konten und Systeme zu implementieren. Anstatt Verwaltungsrechte für mehrere Konten zu erteilen, können Berechtigungen für bestimmte Anwendungen und Aufgaben nach Bedarf erhöht werden. Dies aber nur für einen kurzen Zeitraum. Die Multi-Faktor-Authentifizierung ist als zusätzliche Schutzschicht nützlich. Schließlich müssen separate Verwaltungs- und Mitarbeiterkonten für das IT-Personal eingerichtet werden. Administratorkonten sollten auch nur zur Verwaltung bestimmter Teile der gesamten Infrastruktur verwendet werden.

E-Mails an falsche Empfänger senden

Laut dem Verizon Data Breach Report von 2018 ist das Versenden von E-Mails an die falsche Mail-Adresse der vierthäufigste Fehler ist, der zu Datenverletzungen führt. Dies ist besonders in der Gesundheitsbranche ein gängiges Szenario. Es gab bekannte Fälle, in denen Mitarbeiter eine E-Mail mit Laborwerten an die falschen Empfänger verschickte. Falschsendungen machen etwa 62% der menschlichen Fehlerquote im Gesundheitswesen aus. Gleichzeitig sind diese Fehler am schwersten zu vermeiden. Trotzdem: Erwägen Sie die Verschlüsselung aller E-Mails, die vertrauliche Informationen enthalten. Verwenden Sie außerdem Popup-Boxen, die die Absender daran erinnern, die E-Mail-Adresse zu überprüfen, wenn Sie sensible Daten per E-Mail versenden. Ein weiterer Tipp ist die Implementierung einer DLP-Lösung (Data Loss Prevention), mit der Ereignisse überwacht werden, die zum Verlust von Informationen führen könnten. Zudem können automatische Maßnahmen ergriffen werden, die Benutzer daran hindern, vertrauliche Daten außerhalb des Unternehmensnetzwerks zu senden.

Fazit

Eine 100% Sicherheit gibt es nicht. Die Realität ist, dass auch in Unternehmen mit einer überragenden Cybersecurity-Abwehrstrategie, die Menschen einfach immer noch Fehler machen. Ein ausgeklügelter Phishing-Angriff kann dazu führen, dass im Netzwerk Malware freigesetzt wird, ein Administrator kann übermäßige Berechtigungen erteilen, oder bei einigen Benutzern werden aufgrund unzureichender Kennwortpraktiken Kennwörter geknackt. Trotzdem sollte jedes Unternehmen seine Erkennungsfunktionen verbessern, um auf verdächtige oder unangemessene Ereignisse umgehend reagieren zu können. Eile ist auf jeden Fall geboten, wenn sich die Anzahl von fehlgeschlagenen Änderungs- oder Zugriffsversuchen erhöht, oder eine verdächtig große Anzahl von Dateimodifikationen zu erkennen ist, bzw. ungewöhnliche Zugriffe auf sensible Unternehmensdaten erfolgen. Um proaktiv solche verdächtigen Aktivitäten erkennen und darauf reagieren zu können, sollten Sie Überwachungsmethoden für das Benutzerverhalten aller Berechtigungsstufen einführen.

Nach Angaben des Information Commissioner's Office (ICO) des Vereinigten Königreichs, waren 88% der Datenverstöße in UK, ursprünglich auf menschliches Versagen und nicht auf Hackerangriffe zurückzuführen. Die Anzahl der gemeldeten Vorfälle stieg in diesem Zeitraum um 75%, was natürlich auch auf die eingeführte Meldepflicht der DSGVO zurückzuführen ist.