Das Team von FortiGuard Labs stellte kürzlich in seinem Global Threat Landscape Report fest, dass die Arbeit aus dem Home-Office und besonders auf privaten Endgeräten Cyber-Kriminellen zunehmend neue Möglichkeiten bietet, in Unternehmensnetzwerke einzudringen. Die Angreifer setzen dabei häufig auf Phishing-E-Mails.
Renee Tarun, Deputy CISO/ Vice President Information Security bei Fortinet, gibt drei Tipps, wie CISOs durch eine gelebte Sicherheitskultur die menschliche Firewall in ihrem Unternehmen stärken können:
Mitarbeiter können ein erhebliches Risiko für die Sicherheit von Unternehmensnetzwerken und deren gespeicherte Daten darstellen. Beschäftigte, die von zu Hause aus arbeiten und nicht an den Schreibtisch nebenan gehen können, um die Meinung zu einer verdächtig aussehenden E-Mail einzuholen, sind anfälliger für Social-Engineering-Angriffe. Um Cyber-Kriminellen die Tür zu öffnen, reicht es, auf einen Link zu klicken oder eine Datei herunterzuladen, ohne zuvor zu prüfen, ob diese schädlich ist.
Deshalb müssen CISOs den Mitarbeitern vermitteln, welche Rolle sie bei der Sicherheit ihres Unternehmensnetzwerks spielen. Das Risiko unabsichtlicher Insider-Bedrohungen lässt sich dadurch reduzieren. Unabhängig von ihrer Position sollten alle Beschäftigten die Auswirkungen eines Sicherheitsereignisses verstehen und wissen, wie es das Unternehmen und sie persönlich beeinflussen kann. Denn aufmerksame Mitarbeiter funktionieren als menschliche Firewall und können Cyber-Bedrohungen abwehren.
Die folgenden drei Maßnahmen eignen sich, um alle Mitarbeiter für eine unternehmensweite Sicherheitskultur zu motivieren:
- Schulungen zur Cyber-Sensibilisierung priorisieren
Weil sie funktionieren sind Social-Engineering-Angriffe in Unternehmen weit verbreitet. Laut des Data Breach Investigations Report 2019 von Verizon haben etwa ein Drittel aller Datenschutzverletzungen auf die eine oder andere Weise mit Phishing zu tun. Um Mitarbeiter für dieses Risiko zu sensibilisieren, müssen CISOs über häufige Angriffsarten, wie Phishing, Spear-Phishing, Smishing oder andere Betrügereien aufklären.
Mitarbeiter müssen die Bedrohungen sowie deren Warnsignale erkennen. Dies ist entscheidend, damit sie nicht Opfer gefälschter E-Mails oder bösartiger Websites werden. Zusätzlich sollten auch simulierte Phishing-Übungen Teil der Sensibilisierungsmaßnahmen sein. Sie dienen dazu, das Wissen zu testen und festzustellen, welche Mitarbeiter möglicherweise mehr Unterstützung benötigen. - Partnerschaft zwischen Sicherheitsteam und Abteilungen schaffen
Cyber-Sicherheit kann nicht allein auf den Schultern der Sicherheits- und IT-Teams lasten. Während das Sicherheitsteam der Experte in Bezug auf die Risikobestimmung und die Bedrohungen ist, liegt es bei anderen Abteilungen, benutzerfreundliche Richtlinien zu entwickeln. Diese müssen sowohl im Büro als auch vom Remote-Arbeitsplatz aus leicht zu befolgen sein.
Mitarbeiter, die sich als Teil des Teams fühlen, vermeiden eher Verhaltensweisen, die zu den genannten Problemen führen. Beispielsweise achten sie stärker darauf, ihre Standardpasswörter zu ändern und sichere Passwörter zu nutzen. Je mehr Mitarbeiter diesem Beispiel folgen, desto stärker wird die menschliche Firewall, die als erste Verteidigungsfront des Unternehmens fungiert. - Eindeutige Best Practices festlegen
Nachdem die Mitarbeiter darüber aufgeklärt sind, worauf sie im Falle eines Social-Engineering-Angriffs achten müssen, benötigen sie eine Anleitung für das weitere Vorgehen. Eine verdächtig aussehende E-Mail ist einfach zu ignorieren oder zu löschen, aber was ist mit den normal erscheinenden E-Mails, bei denen Unsicherheit herrscht?
In diesem Fall sollten CISOs ihre Mitarbeiter dazu ermutigen, sich konkrete Fragen zu stellen: Kenne ich den Absender? Habe ich diese E-Mail erwartet? Ruft diese E-Mail eine starke Emotion wie Aufregung oder Angst hervor? Werde ich dazu aufgefordert dringend zu handeln?
Die Empfänger sollten folgende Schritte unternehmen, um sich selbst und ihr Unternehmen zu schützen:
- bevor auf einen Link geklickt wird, mit dem Mauszeiger darüber schweben, um zu sehen, ob er echt ist.
- unerwartete Anhänge nicht öffnen, sondern stattdessen den Absender anrufen und überprüfen, ob er die E-Mail tatsächlich gesendet hat.
- alle verdächtigen E-Mails dem IT- oder Sicherheitsteam melden.
Schlussbemerkungen
CISOs legen den Grundstein für eine starke Sicherheitskultur, indem sie der Schulung aller Mitarbeiter und der Zusammenarbeit zwischen den Abteilungen und dem Security-Team Priorität einräumen. Verdächtiges Verhalten zu erkennen, Geräte auf dem neuesten Stand zu halten und sicheres Cyber-Verhalten zu üben, sollte in die Prozesse aller Aufgabenbereiche integriert werden, um zu gewährleisten, dass die menschliche Firewall funktioniert.