Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Warum der Mensch ein Risikofaktor für die Datensicherheit bleibt
Unternehmen sind heutzutage nicht nur technischen Risiken ausgesetzt. Auch Fehler der eigenen Mitarbeiter oder Partner können sensible oder vertrauliche Daten gefährden und zu großen Schäden führen. Doch der Risikofaktor Mensch wird aus Sicherheitssicht häufig noch unterschätzt und vernachlässigt.
Den wichtigsten aktuellen Sicherheitsgefahren für Unternehmen widmete sich das VPN Haus bereits in zwei Blog-Beiträgen. Der erste Teil unserer Serie beschäftigte sich mit der geänderten Sicherheitslage im Jahr 2022. Im zweiten Teil erfahren Sie Näheres über die zunehmende Bedeutung von „IT-Security Made in Germany“. Diesmal geht es um einen weiteren Aspekt, den Firmen nicht vernachlässigen sollten: den Risikofaktor Mensch.
Handfeste Zahlen dazu liefert der Report Cybersicherheit in Zahlen des deutschen Sicherheitsanbieters G Data, der einen genaueren Blick auf die häufigsten Bedrohungen für sensible oder vertrauliche Daten erlaubt (siehe Grafik). Die Zahlen belegen, dass der Risikofaktor Mensch weiterhin eine große Rolle für die Sicherheit von Unternehmensdaten spielt. So gehen laut den Studienerkenntnissen 54 Prozent der Bedrohungen auf „Fehler durch Mitarbeiter“ zurück, 23 Prozent auf „Teilzeit- oder Zeitarbeiter“ und 20 Prozent sogar auf „böswillige Insider“.
Wo Gefahren durch externe Angreifer und Social Engineering drohen
Nicht nur technische Risiken durch Sicherheitslücken oder ungepatchte Systeme gefährden Firmen. Viele Cyberangriffe erfolgen – absichtlich oder unabsichtlich – über Angestellte in den Unternehmen selbst oder über Geschäftspartner, die auf Business-Anwendungen und geschäftliche Daten zugreifen dürfen.
Bei rund 82 Prozent der Datendiebstähle in Betrieben spielt der menschliche Faktor eine Rolle, bestätigt der amerikanische Telekommunikationskonzern Verizon in seinem aktuellen „Data Breach Investigations Report 2022“. Der Bericht beschäftigt sich vor allem mit externen Angreifern. 89 Prozent von ihnen hatten finanzielle Motive, bei den restlichen elf Prozent ging es ums Ausspähen von Betriebsgeheimnissen. In 63 Prozent der Fälle wurden Zugangsdaten gestohlen, bei 32 Prozent vertrauliche Informationen und bei 24 Prozent personenbezogene Daten.
Interessant sind die Angriffswege, die Hacker nutzen. Bei etwa zwei Drittel der Einbrüche kam Phishing zum Einsatz, gefolgt von gestohlenen Zugangsdaten, betrügerischen Vorwänden, Backdoors, Netzwerk-Scans, Downloadern und Ransomware. Bleiben wir zunächst beim Phishing, eventuell fragen Sie sich, warum der Trick so gut funktioniert, wenn doch laut Verizon nur 2,9 Prozent der Mitarbeiter auf Links in Phishing-Mails klicken? Bei der Masse an verschickten Betrugs-E-Mails reicht das durchaus für zahlreiche Datendiebstähle aus.
Wie per BEC-Angriff ein Betrug im Namen des Chefs erfolgt
Zu den oben genannten Vorwänden zählt vor allem der sogenannte „Business E-Mail Compromise“, verkürzt auch BEC genannt. Im Gegensatz zu den meisten Phishing- und Spam-Angriffen erfolgt der BEC in der Regel zielgerichtet. Bei dieser Angriffsart soll ein ins Visier genommener Mitarbeiter dazu gebracht werden, im Namen einer Führungskraft wie dem Geschäftsführer oder auch dem Chef der Finanzabteilung eine Überweisung zu initiieren oder wichtige Informationen zu übersenden. Diese Attacken sind sehr aufwendig und erfordern meist, dass sich die Angreifer Zugang zu einem oder mehreren E-Mail-Konten verschaffen konnten, von denen aus sie dann ihre gefälschten E-Mails verschicken. Außerdem müssen sie herausfinden, wer für welche Tätigkeiten Verantwortung trägt, wie die üblichen Abläufe aussehen und wann ein guter Zeitpunkt für eine Attacke ist.
Auch wenn das viel Arbeit bedeutet, lohnt es sich offensichtlich. Zwischen Juni 2016 und Juli 2019 erfolgten nach Angaben des amerikanischen FBI mehr als 166.000 BEC-Attacken weltweit. Der dabei angerichtete Schaden belief sich dabei auf mehr als 26 Milliarden US-Dollar. Bei diesen Angriffen darf man einen wichtigen Punkt nicht außer Acht lassen: Allein mit technischen Lösungen lassen sich BEC-Attacken nicht verhindern. Sie erfordern stattdessen ein Umdenken im Unternehmen sowie Schulungen der Mitarbeiter.
Welche Maßnahmen vor BEC-Angriffen schützen
Die Sicherheitsfirma Proofpoint hat einige BEC-Tipps zusammengetragen, mit denen sich Angestellte vor BEC-Angriffen schützen können. Wir haben sie kurz für Sie zusammengefasst und um weitere Punkte ergänzt:
- Bleiben Sie skeptisch. Fragen Sie über einen anderen Kanal (zum Beispiel das Telefon) nach, leiten Sie dubiose E-Mails an die Fachleute in der IT weiter und erkundigen Sie sich erst bei Kollegen, bevor Sie größere Beträge an ein dubioses Unternehmen schicken.
- Verlassen Sie sich auf Ihre Instinkte und stellen Sie die Inhalte verdächtiger E-Mails auf den Prüfstand. Stimmt der Ton der Nachricht? Gibt es verdächtige Rechtschreibfehler? Verhalten sich Ihre Kollegen sonst auch so? Wieso liegt keine reguläre Rechnung bei?
- Bleiben Sie vor allem zu stressigen Tageszeiten weiterhin gewissenhaft. Beachten Sie auch in „dringenden Fällen“ die üblichen Warnhinweise sowie unternehmensinterne Richtlinien, die Mitarbeiter nicht einfach so umgehen dürfen.
Was Sicherheitsvorfälle durch fahrlässige Insider kosten können
Mit Gefahren durch Insider beschäftigt sich das renommierte Ponemon Institute schon seit Jahren. Im aktuellen „Bericht zu weltweiten Kosten durch Insider-Bedrohungen 2022“ schreiben die Marktforscher, dass die meisten Insider-Vorfälle „durch unachtsam oder fahrlässig handelnde Mitarbeiter verursacht“ wurden.
Die dadurch entstandenen Kosten sind nicht zu vernachlässigen. Laut Ponemon Institute liegen die durchschnittlichen jährlichen Behebungskosten für fahrlässig verursachte Insider-Vorfälle bei 6,6 Millionen US-Dollar. Die durchschnittlichen jährlichen Gesamtkosten betragen sogar 15,4 Millionen Dollar. Hier sind die verursachten Schäden durch Insider mit kriminellen Motiven (4,1 Million Dollar) und die Kosten durch Diebstähle von Anmeldedaten (4,6 Millionen Dollar) schon enthalten.
Auch die weiteren Ergebnisse der Untersuchung machen Angst. So dauerte es im Durchschnitt 85 Tage, bis ein Zwischenfall eingedämmt werden konnte. Nur zwölf Prozent der Insider-Vorfälle ließen sich innerhalb von 30 Tagen beheben. Bei etwa einem Drittel dauerte es sogar länger als 90 Tage.
Als wichtigste Gründe für fahrlässiges Handeln nennen die Autoren die unzureichende Absicherung von Geräten, die Missachtung betrieblicher Sicherheitsrichtlinien sowie fehlende Patches und Upgrades. Böswillige Insider würden sich zudem schwerer erkennen lassen als externe Angreifer oder Hacker, da vielen Mitarbeitern „in der heutigen mobilen Arbeitswelt aus Produktivitätsgründen zunehmend mehr Zugriffsrechte gewährt werden“. Das sollten Firmen überdenken.
Fazit
Die potenziellen Gefahren durch den Risikofaktor Mensch zeigen, dass traditionelle Datensicherheitsansätze nicht mehr ausreichen. Unternehmen sollten über moderne Konzepte wie Zero Trust, Least Privilege oder ZTNA nachdenken, um ihre Anwendungen, Daten, Geräte und Netzwerke besser vor internen und externen Angreifern zu schützen. Zudem helfen gemanagte VPN-Clients inklusive Personal Firewall dabei, den Schutz der Daten zu verbessern. Darüber hinaus sollten IT-Verantwortliche für ihre Mitarbeiter regelmäßige Security-Awareness-Trainings organisieren, um sie über aktuelle Cybergefahren aufzuklären.
Jetzt mehr erfahren zur VPN Client Suite mit zentralem Management!
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.