Risikofaktor „Mensch“ bei Cyber-Angriffen

Fachbeitrag

Der digitale Wandel hat sich im Geschäftsalltag von Unternehmen längst etabliert. Dies hat zum einen enorme Vorteile, wie beispielsweise eine effizientere Gestaltung der Geschäftsprozesse. Zum anderen birgt dieser Wandel jedoch auch gewaltige Gefahren und erhöht die Manipulations- und Angriffsmöglichkeiten für Täter von Cyber-Angriffen. Hierbei ist der „Risikofaktor“ Mensch zu berücksichtigen, denn häufig wird auf erste Anzeichen und Gefahren nicht reagiert.

Täter nutzen das Fehlverhalten von Menschen aus

Täter setzen zunehmend auf das Fehlverhalten von einzelnen Personen. Gründe hierfür sind zum Beispiel:

  • Unachtsamkeit
  • Mangelndes Verständnis für mögliche Risiken
  • Nicht Erkennen erster Anzeichen von Verdachtsfällen
  • Unzureichend geschultes Personal
  • Nicht ausreichend verankerte Sicherheitskultur

Durch so genannte Social Engineering Angriffe manipulieren und tricksen Angreifer Mitarbeiter aus. Sie melden sich bspw. mit den Daten eines Mitarbeiters per E-Mail im Unternehmen und entlocken mitunter interne und sensible Daten und nutzen somit die Gutgläubigkeit und Hilfsbereitschaft der Menschen schamlos aus.

Basisschutz reicht nicht mehr aus

Die Täter werden professioneller und geschickter. Daher reicht die vorhandene Basisausstattung (z. B. Virenscanner, Firewalls, Passwortschutz von Computern und regelmäßige Updates) in Unternehmen zum Schutz vor Cyber-Angriffen häufig nicht mehr aus.

Unternehmen sollten ihre Basisausstattung durch weitere Maßnahmen ergänzen, um einen umfassenden Schutz gewährleisten zu können. Doch gerade diese Investitionsbereitschaft in weitere Sicherheitsmaßnahmen, wie bspw. die Schulung von Mitarbeitern, wird oftmals als unwichtig anerkannt und bleibt daher nicht selten aus.

Sicherheitswarnungen wahrnehmen

Wer kennt es nicht? Eine Sicherheitswarnung auf dem Computer erscheint zu einem ungünstigen Zeitpunkt und wird anschließend weggeklickt. Willkürlich erscheinende Sicherheitsmeldungen haben zur Folge, dass sie ignoriert werden und die meisten Nutzer dadurch anfälliger für Angriffe sind.

Eine Studie der Brigham Young Universität in Zusammenarbeit mit Google Chrome Mitarbeitern fand heraus, dass die erfolgreiche Wahrnehmung von Sicherheitsmeldungen eine ausschlaggebende Rolle spielt. 90 % der Befragten ignorieren wichtige Sicherheitshinweise, wenn sie zur falschen Zeiten erscheinen, bspw. wenn sie ein Video anschauen, eine Website schließen oder wenn sie im Internet agieren. Dies hängt mit der begrenzten Multitasking-Fähigkeit der Menschen zusammen.

Meldungen, die erscheinen wenn das menschliche Gehirn sich nicht auf mehrere Aufgaben konzentrieren muss, werden daher am besten wahrgenommen.

Awareness alleine reicht nicht aus

Risikowahrnehmung ist ein erster Schritt in die richtige Richtung. Doch Awareness alleine schützt Unternehmen nicht vor Angriffen. Ein erhöhter Schutz ist nur gewährleistet, wenn spezifische Maßnahmen implementiert werden.

Awareness ist vor allem bei Unternehmen, die in der Vergangenheit bereits Opfer von Cybercrime geworden sind, verstärkt vorhanden. Das Ergebnis untermauert eine Studie von Cyberark, welche herausfand, dass 79 % der befragten Unternehmen der Meinung sind, aus vorangegangenen Cyber-Attacken gelernt zu haben und entsprechende Maßnahmen eingeführt zu haben.

Doch die Studie zeigt auch, dass implementierte Schutzmaßnahmen häufig nicht richtig in die Tat umgesetzt werden. Beispielweise geben 95 % der befragten Unternehmen an, dass sie einen Notfallplan besitzen, jedoch nur die Hälfte der Unternehmen hat diesen an die Mitarbeiter kommuniziert.

Auf die Mitarbeiter kommt es an

Der Mensch als Einfallstor bei IT-Vorfällen spielt ganz klar eine ausschlaggebende Rolle. Die Motive sind unterschiedlich. Nicht immer handelt es sich hierbei um berechenbares Handeln, bestimmtes Fehlverhalten kann auch durch Unwissenheit hervorgerufen werden. Daher sollten Sie einen besonderen Fokus auf die Stärkung der Risikowahrnehmung Ihrer Mitarbeiter legen.

IT-Forensiker können Ihre Mitarbeiter schulen und auf Gefahren aufmerksam machen. Sie verfügen über das spezielle Know-how, um Ihren Mitarbeitern wertvolle Tipps mit auf den Weg zu geben sowie Verhaltensregeln in einer Notfallsituation.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Identifizierung, Sicherung und Auswertung digitaler Spuren und Beweise
  • Untersuchung auf Bedrohungen durch komplexe und gezielte Cyber-Attacken
  • Cyber Security Check zur Schwachstellenanalyse von IT-Systemen

Informieren Sie sich hier über unser Leistungsspektrum: IT-Forensik

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.