Gesponsert

Personenzentrierte Sicherheit: Schützen Sie Ihr Unternehmen durch gut geschulte Mitarbeiter

2020 war für Cyberkriminelle in jeder Hinsicht ein aufregendes Jahr. Pandemiebedingte Umbrüche und immer raffiniertere Bedrohungen waren Gründe dafür, dass immer mehr Unternehmen Opfer weit verbreiteter Cyberangriffe wurden.

Gesponsert von

(Bild: Canva)

Der „State of the Phish“-Bericht 2021 von Proofpoint hat gezeigt, dass 57 % der Unternehmen im letzten Jahr erfolgreiche Phishing-Angriffe zu beklagen hatten – mit weitreichenden Konsequenzen. Fast zwei Drittel mussten einen Datenverlust melden und die Hälfte der Unternehmen verzeichnete kompromittierte Konten und Anmeldedaten.

Jetzt zum ganzen Threat-Report

Im Jahr 2020 wurde auch Ransomware wieder häufig gegen Unternehmen eingesetzt. Die Zahl der Angriffe war dabei ähnlich hoch wie in den vergangenen Jahren, allerdings waren 2020 deutlich mehr Unternehmen bereit, das Lösegeld zu zahlen – leider nicht immer mit gutem Ausgang.

Von den zwei Dritteln der Unternehmen, die Opfer eines Ransomware-Angriffs wurden, entschied sich die Hälfte dafür, das Lösegeld zu bezahlen. Nur 60 % bekamen nach der ersten Zahlung wieder Zugriff auf ihre Daten, während andere zusätzliche Lösegeldforderungen oder überhaupt keine Antwort erhielten. Regional betrachtet lehnten es 14 % der deutschen Unternehmen ab, weiteres Lösegeld zu zahlen, nachdem sie mit der ersten Zahlung nicht die Rückgabe ihrer Daten erreichen konnten – die höchste Quote unter allen befragten Ländern.

Dass altbekannte Taktiken wie Phishing und Ransomware immer noch ihren Zweck erfüllen, sollte Cybersicherheitsteams Anlass zur Sorge geben. Zwar hatte die Pandemie im letzten Jahr ganz gewiss Auswirkungen auf die Erfolge von Cyberangriffen, doch das stellt nur ein Teil des Problems dar.

Besorgniserregender ist, dass moderne Bedrohungen zunehmend gezielter angreifen und damit für den Adressaten immer überzeugender werden. Cyberkriminelle haben es weiterhin zunehmend auf Ihre Mitarbeiter und weniger auf Ihre Netzwerke oder Infrastrukturen abgesehen.

Die technischen Schutzmaßnahmen entwickeln sich zwar zügig weiter, doch gibt es immer noch Defizite bei der Sensibilisierung der Anwender. So lange dies so bleibt, verriegeln Unternehmen praktisch die Vordertür, aber lassen die Terrassentüre weit offen.

Mehr Sicherheit durch Sensibilisierung

Die Sensibilisierung der Anwender – das Security Awareness Training - ist für die Cyberabwehr von fundamentaler Bedeutung und genauso wichtig wie technische Schutzmaßnahmen und Kontrollen. Dennoch investieren nur die wenigsten Unternehmen genauso viel Ressourcen und Energie in diese Aufgabe.

Laut Statistik schult beinahe jedes Unternehmen seine Anwender. Sobald wir uns die Zahlen genauer anschauen, ergibt sich jedoch ein anderes Bild:

Fast die Hälfte der Unternehmen führt Schulungen zur Steigerung des Sicherheitsbewusstseins nur vier Mal im Jahr durch – und selbst dann wird das Thema meistens nicht länger als zwei Stunden behandelt. Erschwerend kommt hinzu, dass nur die Hälfte unternehmensweite Schulungen und lediglich 60 % formelle Präsenz- oder virtuelle Schulungen durchführt.

Zudem wünschten oder forderten im Jahr 2020 in den USA 68 % der Unternehmen von ihren Angestellten, im Home Office zu arbeiten. Dabei schulen jedoch nur 14 % ihre Anwender in empfohlenen Vorgehensweisen zur Arbeit im Home Office.

Dieser Mangel an umfassenden Schulungen schlägt sich klar im fehlenden Sicherheitsbewusstsein der Anwender nieder. Obwohl es immer wieder Berichte über große Angriffe gibt, wird es viele überraschen, dass lediglich ein Drittel (33 %) der Anwender die korrekte Definition von Ransomware kennt und nur knapp zwei Drittel verstehen, was Malware (65 %) bzw. Phishing (63 %) ist.

Für Cybersicherheitsexperten mag das unglaublich klingen, es verdeutlicht jedoch, dass es eine Kluft zwischen Wissen und Bewusstsein gibt.

Möglicherweise wissen Ihre Anwender, welche bekannten Marken Opfer von Phishing- oder Ransomware-Angriffen wurden, doch das heißt nicht, dass sie auch die Mechanismen einer Bedrohung verstehen oder sich der eigenen Rolle bei der Abwehr von Angriffen bewusst sind.

Um diese Wissenslücke zu schließen, müssen Programme zur Steigerung des Sicherheitsbewusstseins nicht nur über die Grundlagen häufig auftretender Bedrohungen aufklären, sondern Anwender auch ihre Verantwortung bei der Cybersicherheit bewusst machen.

Wie Sie Ihre Mitarbeiter sensibilisieren können

Wer sind Ihre am häufigsten angegriffenen Personen (Very Attacked People™)?

Um Ihr Unternehmen besser zu schützen, müssen Sie zuerst verstehen, wer angegriffen wird. So können Sie den richtigen Personen zum richtigen Zeitpunkt die richtige Schulung zukommen lassen – je nachdem, wer die am stärksten gefährdeten Anwender sind. Bei Proofpoint nennen wir diese Anwender Ihre Very Attacked People (VAPs), also die besonders häufig angegriffenen Personen.

Bei der Suche nach den VAPs sollten Sie jegliche Vorurteile ablegen, denn diese können sich in der Tat in jeder Rolle und auf allen Entscheidungsebenen befinden. VIPs wie Vorstandsmitglieder mögen ein attraktiveres Ziel sein, doch konzentrieren sich Angriffe oft auf Mitarbeiter, die sich in der Hierarchie weiter unten befinden. Wer Ihre VAPs sind, unterscheidet sich auch von Unternehmen zu Unternehmen und von Branche zu Branche.

Erst kürzlich stellte Proofpoint fest, dass die 20 wichtigsten VAPs eines großen Gesundheitsdienstleisters auch VIPs waren. Im selben 3-Monats-Zeitraum wurde im Gegensatz dazu in einem Finanzinstitut nur ein VIP angegriffen.

Dabei handelt es sich bei der Identifizierung der VAPs nur um eine Momentaufnahme, denn genau wie Tests und Schulungen ist auch die Ermittlung der VAPs keine einmalige Angelegenheit. Die Liste Ihrer besonders häufig angegriffenen Personen ändert sich ständig und muss von Monat zu Monat aktualisiert werden.

Haben Sie Ihre VAPs einmal identifiziert, können Sie überprüfen, wie gut diese sensibilisiert sind. Mit dieser Information lassen sich maßgeschneiderte Schulungen erstellen, die Anwender abhängig vom individuellen Risikoprofil schulen und den Schwerpunkt auf kritische Wissenslücken legen.

So sieht personenzentrierte Cybersicherheit aus – oft das Einzige, das zwischen Cyberkriminellen und Ihren Daten, Netzwerken und Systemen steht.

Mehr über beliebte Angriffsziele erfahren

Personenzentrierte Cybersicherheit

Cyberkriminelle versuchen hartnäckig, Ihr Unternehmen anzugreifen. Sofern Sie bei der Abwehr von Angriffen nicht die gleiche Beharrlichkeit zeigen, steht das Ergebnis im Prinzip schon fest.

Technische Kontrollen, Prozesse und bewährte Methoden allein reichen dabei nicht aus. Anwenderverhalten ist der wichtigste Risikofaktor für das moderne Unternehmen – es zu verändern, bildet die Grundlage einer robusten Cyberabwehr.

Das ist nur möglich, wenn Sie eine Kultur schaffen, in der nicht nur die IT-Abteilung für die Cybersicherheit verantwortlich ist, sondern die gesamte Belegschaft. Diese Kultur wird durch regelmäßige kontextbezogene Schulungen gefördert, die speziell auf Ihre Anwender zugeschnitten sind sowie auf aktuellen Bedrohungsdaten und der sich ständig entwickelnden Bedrohungslandschaft basieren. Je mehr Sie über die Angriffe auf Ihr Unternehmen wissen, desto besser können Sie Ihre Schulungen daran anpassen.

Ihre Anwender sollen nicht einfach Tests bestehen, sondern für die Verteidigung Ihres Unternehmens geschult werden. Genau das muss Ihr Programm für Awareness-Schulungen widerspiegeln. Die Schulungen sollten nicht nur Definitionen der wichtigsten Begriffe und Simulationen von Angriffen umfassen, sondern auch auf Verhaltensweisen eingehen und darauf, wie dieses Verhalten zu einem höheren Risiko führt – oder aber das Risiko minimiert. Die Einbeziehung Ihrer Anwender auf einer technischen Ebene kann auch dazu beitragen, deren Motivation zu erhöhen.

Wenn Anwender verstehen, dass es einen Zusammenhang zwischen der Mehrfachnutzung eines Kennworts und einer Datenschutzverletzung oder dem Klick auf den Link eines unbekannten Absenders und Ransomware gibt, ändern sie ihr Verhalten: 80 % der Unternehmen geben an, dass Awareness-Schulungen die Anfälligkeit für Cyberangriffe reduziert haben.

Cybersicherheit ist kein rein technisches Fachgebiet mehr. Angesichts personenzentrierter Angriffe sind Wissen und Sensibilisierung entscheidend. Je besser sich Ihre Anwender auskennen, desto sicherer ist Ihr Unternehmen.

Alle Informationen zu Ihrer Cybersicherheit

Adenike Cosgrove, Cybersecurity Strategist für internationale Märkte bei Proofpoint.
Adenike Cosgrove, Cybersecurity Strategist für internationale Märkte bei Proofpoint.
(Bild: Canva)

Die Autorin

Adenike Cosgrove ist Cybersecurity Strategist für internationale Märkte bei Proofpoint, wo sie die Produktmarketingstrategie für die europäischen und asiatisch-pazifischen Märkte vorantreibt. Sie bietet Expertise zu wichtigen regionalen Cybersecurity-Strategien wie personenzentrierte Sicherheit, Risikomanagement, Datenschutz und Compliance.

Kürzlich wurde Frau Cosgrove als eine der "UK’s Most Inspiring Women in Cyber 2020“ in Großbritannien ausgezeichnet und war außerdem Finalistin bei den Computing Security Excellence Awards 2020 in der Kategorie "Security Woman of the Year".

(ID:47413558)