beebright - stock.adobe.com
Steigende Cyberrisiken erfordern bessere Security Awareness
Unternehmen sollten ihre Mitarbeiter als entscheidenden Sicherheitsfaktor betrachten und entsprechend einsetzen. Geschulte Nutzer können das Angriffsrisiko minimieren.
Die Bedrohungslage spitzt sich weltweit zu, dies förderte eine Studie des Beratungshauses Accenture (PDF) in einer Befragung von 4.600 Experten aus 19 Ländern zutage. Zwischen 2017 und 2018 verdoppelten sich die Cyberangriffe in den meisten Ländern. Dazu passen die Ergebnisse, die der Bitkom in einer Studie im Jahr 2018 veröffentlichte. In den voran gegangenen zwei Jahren gab es demnach Schäden in Höhe von 43 Milliarden Euro, die durch Cyberattacken auf deutsche Unternehmen verursacht wurden. Eine Mitgliederbefragung ergab, dass in diesem Zeitraum 7 von 10 Unternehmen von Cyberspionage, -Sabotage oder aber Datendiebstahl betroffen waren.
Eine besonders erfolgreiche Angriffsmethode der Cyberkriminellen sind nach wie vor Phishing-E-Mails. Im Vergleich zum Vorjahr waren statt 76 nun 83 Prozent aller Attacken, die der Hersteller bei den betroffenen Unternehmen untersucht hat, sogenannte Social-Engineering-Angriffe. Laut der aktuellen Studie State of the Phish 2019 (PDF) von Proofpoint zielen sie vor allem auf Mitarbeiter mit privilegierten Zugängen ab, um hier schnell an sensible Unternehmensdaten zu kommen.
Was sind Social Engineering-Angriffe?
Bei Social-Engineering-Angriffen versuchen Cyberkriminelle, unachtsame Benutzer dazu zu bewegen, vertrauliche Informationen an sie zu senden, nachdem diese die Person unter Druck gesetzt oder zumindest dahingehend beeinflusst haben. Während des E-Mail-Austausches oder Telefongesprächs wird eine Schadsoftware auf den Rechner des Opfers per Fernzugriff installiert.
Bei einem E-Mail-Phishing-Angriff wiederum wird der Nutzer dazu gebracht, auf einen Link zu klicken, der ihn auf eine infizierte Webseite schickt, von der die Schadsoftware automatisch auf das IT-Gerät des Opfers heruntergeladen und installiert wird. Das Ziel der Angreifer bleibt bei allen Vorfällen gleich, es sollen Daten und Informationen gesammelt oder verschlüsselt werden, um in den meisten Fällen Bitcoin oder andere Kryptowährungen vom Opfer für die Herausgabe oder Entschlüsselung zu verlangen. Cyberkriminelle nutzen verschiedene Arten von Social Engineering, unter anderem Vishing (per Telefon), Smishing (per SMS) und Phishing (per E-Mail) sowie Spear-Phishing oder Whaling (Phishing Angriffe, die auf CEOs, Politiker und Prominente ausgerichtet werden).
Investitionen in IT-Sicherheit steigen, zumindest bei großen Unternehmen
Die Studie Cybersecurity Imperative Pulse Report 2019 der ESI ThoughtLabs zeigt nun auf, dass weltweit die IT-Sicherheitsentscheider in den Unternehmen, die CISOs, im Durchschnitt ihre Investitionen in Cybersicherheit im nächsten Geschäftsjahr um 34 Prozent steigern wollen.
Insgesamt wurden 467 Unternehmen mit weltweitem Geschäftsbetrieb befragt. Bereits im Vorjahr hatten sie die Investitionen um 17 Prozent erhöht. Einige Branchen, wie die Finanzbranche und die industrielle Fertigung, planen für 2020 sogar, die Ausgaben um bis zu 40 Prozent zu erhöhen.
Große Unternehmen mit einem Umsatz von über 10 Milliarden US-Dollar werden ihre Budgets um beachtliche 49 Prozent anheben. Diese Zahlen zeigen, dass IT-Sicherheitsentscheider auf die sich verändernde Bedrohungslage reagieren. Die Frage ist nur, ob die getroffenen Maßnahmen und die investierten Budgets auch wirklich zielführend sind und die Sicherheitslage verbessern.
Zunächst ist es wichtig, festzustellen, dass viele Cybersicherheitsinitiativen einer Art von „Balloneffekt“ unterliegen. Damit ist gemeint, dass wenn viel Geld auf einer Seite investiert wird, ein Ungleichgewicht auf der anderen Seite entsteht.
Um Cyberkriminelle zu bekämpfen, investieren Unternehmen typischerweise 38 Prozent ihrer Cybersicherheitsbudgets in technologische Lösungen. CISOs wissen und raten jedoch eher dazu, dass eine gute digitale Verteidigung nicht ausreicht, deshalb bauen sie in der Regel auch einen vielschichtigen Ansatz auf. Dieser Ansatz sieht stärkere Investitionen in Menschen und Prozesse vor. In Anbetracht der Tatsache, dass einige Hacker unweigerlich einen Weg finden werden, technische Sicherheitsmaßnahmen zu umgehen oder aber Lücken in der IT-Infrastruktur zu finden, stellen CISOs ihre Cybersicherheitsbudgets so auf, dass sie sich mehr auf die Behebung von Problemen konzentrieren.
Risikomanagement als heiliger Gral für CISOs
Viele CISOs glauben, dass sich solche Investitionen bereits jetzt auszahlen. Unternehmen berichten von einem Rückgang der Auswirkungen von Cyberattacken durch unvorsichtige beziehungsweise ungeschulte Mitarbeiter. Die Umfrage zeigt auch, dass die Auswirkungen von Cyberangriffen durch Malware, Phishing und mobile Apps in den letzten Monaten abgenommen haben. Das heißt im Umkehrschluss jedoch nicht, dass die Gefahr gebannt ist.
Die befragten Unternehmen haben angegeben, dass ihre jährlichen Verluste durch Cyberangriffe im vergangenen Geschäftsjahr im Durchschnitt auf 4,7 Millionen US-Dollar gestiegen sind – wobei mehr als jedes zehnte Unternehmen mehr als 10 Millionen US-Dollar verloren hat. Dementsprechend ist die Abschätzung des Risikos und das Risikomanagement ein großes Thema für CISOs.
Viele Investments fließen der Studie zur Folge daher in die Risikoidentifikation. Der Grund: CISOs verstehen zunehmend, dass die Geschwindigkeit und Komplexität digitaler Innovationen und strategischer Veränderungen sie kontinuierlich neuen Risiken und Schwachstellen aussetzen wird. Für erfahrene CISOs ist die Risikoidentifikation deshalb keine Eins-zu-Eins-Initiative, sondern ein kontinuierlicher Prozess.
Lösungsansatz: Die menschliche Firewall
Um sich überall vor Angriffen zu schützen, müssen Unternehmen wachsam bleiben, da Angreifer unerbittlich Schwachstellen ausnutzen. Bei begrenzten Budgets und zunehmendem Cyberrisiko ist es von größter Bedeutung, dass Unternehmen den ROI der Cybersicherheit verstehen, so dass sie in die Bemühungen investieren, die zu einem optimalen Ergebnis führen. Der beste Weg, um sich als Unternehmen gegen Social-Engineering-Angriffe zu schützen und für einen Rundumschutz zu sorgen, ist der Aufbau einer „menschlichen Firewall“.
„Bei begrenzten Budgets und zunehmendem Cyberrisiko ist es von größter Bedeutung, dass Unternehmen den ROI der Cybersicherheit verstehen.“
Jelle Wieringa, KnowBe4
Unternehmen müssen ihre Mitarbeiter und Nutzer weiterhin über die verschiedenen Angriffstechniken aufklären. Dafür empfiehlt es sich, die Mitarbeiter einem fortgeschrittenen Security-Awareness-Training mit simulierten Phishing-Tests zu unterziehen. Ein Beispiel dafür ist der Phishing Reply Test, der die Benutzer von Unternehmen abfragt, um zu sehen, ob Mitarbeiter auf einen sehr zielgerichteten „gefälschten“ E-Mail-Angriff antworten werden. Ein weiteres Beispiel ist der Password Exposure Test, um Mitarbeiter mit erhöhtem Risiko zu identifizieren. Diese kontinuierlichen Schulungen helfen ihnen, bösartige E-Mails und Webinhalte zu erkennen.
Die Erfahrung solcher Programme zeigt, dass die Benutzer dadurch die richtigen Informationen erhalten, um auf Phishing aufmerksam zu werden und richtig darauf zu reagieren. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr eines Angriffs deutlich und wird eine menschliche Firewall aufgebaut, die auch noch kontinuierlich dazulernt und stärker wird.
Über den Autor:
Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
