Vergangenen Dienstag (25.06.2019) haben wir wieder zum traditionellen Weißwurst-Frühstück beim levigo Trachtendienstag eingeladen. Diesmal durften die anwesenden Teilnehmer mit unseren beiden Referenten – Karsten Steffens und Thorsten Clausen von der Ingram Mirco Distribution – über das Thema Security Awareness diskutieren.
Welche Sicherheitsrisiken gerade im IT-Umfeld im Alltag lauern, ist den meisten IT-Verantwortlichen durchaus bewusst. Nur die Anwender sind sich über die Gefahren häufig nicht im Klaren und nehmen oft eine eher ablehnende Haltung ein: „Ich arbeite doch nicht mit sensiblen Daten.“ „Ich surfe eh nicht auf irgendwelchen bösen Seiten, und außerdem sind die doch sowieso gesperrt.“
Trügerische Sicherheit
Die meisten Anwender wägen sich in Sicherheit, weil sie sich durch Firewall und Virenscanner ausreichend geschützt fühlen oder glauben, sie selbst wären als Angriffsziel uninteressant. Doch das ist ein Trugschluss, wie Karsten Steffens aus der Praxis weiß: „Hacker und Cyberkriminelle suchen sich gezielt das schwächste Glied in der Kette für ihre Angriffe“, weiß er. Und legt Zahlen vor: 80% aller IT-Sicherheitsvorfälle werden durch Leichtsinnigkeit oder unsachgemäßen Umgang von Mitarbeitern verursacht.
Mit einem kurzen, animierten Video verdeutlicht er, was er damit meint: Eine Mitarbeitern surft während der Arbeitszeit privat nach einem Abendkleid. So weit so harmlos und in vielen Firmen auch durchaus toleriert. Im gezeigten Video aber lässt sich die Mitarbeiterin auf ein Lockangebot ein und installiert versehentlich einen Kryptotrojaner auf ihrem Rechner. Dieser verbreitet sich in Windeseile über das Netzwerk auf andere Rechner und fordert von der unbedarften Kollegin eine Lösegeldzahlung.
Das Beispiel soll zeigen, wie schnell ein beachtlicher Schaden für Mitarbeiter und Unternehmen entstehen kann und dass solche Risiken gerade in vermeintlich harmlosen und vertrauenswürdigen Webinhalten und E-Mails lauern.
Risikofaktoren minimieren
Karsten Steffens rät deshalb, auch unangenehme Fragen zu stellen: Wer insbesondere mit sensiblen Unternehmensdaten arbeitet – etwa in der Buchhaltung oder der Personalabteilung – muss derjenige an seinem Arbeitsplatz auch privat surfen? Braucht dieser Mitarbeiter wirklichen einen Homeoffice-Arbeitsplatz? Oder kann ich das Sicherheitsrisiko durch entsprechende Restriktionen nicht sinnvoll minimieren?
Dasselbe Prinzip gilt auch für den Einsatz von Smartphones: Immer häufiger nutzen Mitarbeiter ihr privates Smartphone im Unternehmensumfeld oder verwenden umgekehrt das Geschäfts-Handy für private Zwecke. Deshalb sollte gerade auch bei mobilen Devices auf einen vollständigen Virenschutz geachtet und über ggf. notwendige Vorgaben und Beschränkungen nachgedacht werden. Denn auch Smartphones sind längst nicht mehr sicher und können durch Troyaner und Malware infiziert und ausgespäht werden.
Strafverfolgung gestaltet sich oft schwierig
„Tendenziell werden solche Angriffe zunehmen und auch aggressiver werden“, warnt auch Securitry-Experte Thorsten Clausen. Neuester Trend: Schadsoftware und Hackerzugriffe auf Konten, mit denen Daueraufträge ausgelöst werden. Häufig handelt es sich um kleinere Beträge, die oft lange Zeit unbemerkt bleiben. Da die Zahlungen meist ins Ausland fließen, erweist sich eine strafrechtliche Verfolgung in viele Fällen als schwierig bis aussichtslos.
Betroffen von Hackerangriffen, Viren und Troyanern sind aber keineswegs nur Großbetriebe und lukrative Konzerne. Auch mittelständische Unternehmen gehören regelmäßig zu den Opfern von Cyberattacken. Der Schaden im Mittelstand beläuft sich statistisch im Schnitt auf 68.800,- EUR – pro Angriff!
Kaspersky ASAP: Automatisierte Sicherheitsschulungen per Online-Tool
Angesichts solcher Zahlen wird deutlich, wie wichtig nicht nur geeignete Security-Maßnahmen im IT-Netzwerk sind, sondern dass auch eine umfassende Sicherheitsschulung für die eigenen Mitarbeiter unverzichtbar geworden ist. Hierfür hat Kaspersky eine eigene webbasierte Trainingsplattform geschaffen, die Kaspersky Automatisierte Security Awareness Plattform (kurz: ASAP).
Mit dem Online-Tool lassen sich die Mitarbeiter eines Unternehmens in vier Sicherheitsstufen unterteilen und mit gezielten und praxisnahmen Online-Trainings für den Umgang mit IT-Sicherheitsrisiken schulen. Die Trainingsteilnehmer werden dabei mir konkreten Beispielen konfrontiert um zu testen, ob und wann Gefahren erkannt werden, auf welche Faktoren die Mitarbeiter ansprechen oder welchen Inhalten oder Absendern sie vertrauen. Denn häufig geben sich Angreifer in z.B. Phishing-Mails als Kunden des Unternehmens, als Kollegen oder real existierende Geschäftspartner aus. Für den Mitarbeiter ist nicht immer eindeutig zu erkennen, ob eine solche Mail auch wirklich „echt“ ist. Genau solche Situationen sollen mit dem ASAP-Tool von Kaspersky trainiert werden.
Das Tool ermöglicht sichtbare und messbare Trainings-Fortschritte, deren Lernziele auf Risikoniveaus basieren und mit weltweiten Branchendaten abgeglichen sind. Dabei wird das erworbene Wissen mit einem Wissenstest und einem simulierten Angriff nochmals abgefragt und vertieft. Im Tool können individuelle Risikoprofile hinterlegt und die für die eigene Rolle relevante Fähigkeiten in sogenannten Mikro-Lernmodulen erworben werden.
Das Tool kann für bis zu fünf Mitarbeiter zwei Monate lang kostenlos getestet werden. Infos und Registrierung findet man unter https://www.k-asap.com/de/.
D
ie Diskussion um mögliche Sicherheitsrisiken im Unternehmen und wie man mit Ihnen umgeht, wurde beim anschließenden Weißwurst-Frühstück zumindest rege fortgesetzt und die Teilnehmer konnten viele hilfreiche Infos für sich mitnehmen. Eines war am Ende der Veranstaltung jedenfalls allen klar: Es gibt Angreifer von außen und es gibt Angreifer von innen. Und vor beiden muss man sich wirkungsvoll schützen!
Vielen Dank an Karsten Steffens und Thorsten Clausen von Ingram für den sehr spannenden Beitrag zu unserem Trachtendienstag!
