Sicherheitsrisiko Mensch oder System? Wo interne Schwachstellen wirklich liegen

Von Ari Albertini

Anbieter zum Thema

Durch die zunehmende Digitalisierung steigen die Ansprüche an die IT-Sicherheit. Eine sicherheitstechnisch unvollständig durchgeführte Digitalisierung von Abläufen führt jedoch dazu, dass sich die ständig wachsenden Bedrohungen direkt auf die Informationssicherheit und auf die Prozesse in Unternehmen durchschlagen. Durch eine ausgeprägte Security Awareness in Verbindung mit sicheren automatisierten Prozessen und Lösungen können Unternehmen jedoch ihre Sicherheit quasi von innen aufbauen. Auf diese Weise lassen sich Gefahren, die durch menschliche Fehler entstehen, weitestgehend vermeiden.

Fehler passieren - sowohl dem Menschen als auch Maschinen. Doch durch den Einsatz entsprechender Technologien und auf Basis einer gelebten Security Awareness ist es möglich, interne Schwachstellen zu minimieren.
Fehler passieren - sowohl dem Menschen als auch Maschinen. Doch durch den Einsatz entsprechender Technologien und auf Basis einer gelebten Security Awareness ist es möglich, interne Schwachstellen zu minimieren.
(Bild: Funtap - stock.adobe.com )

Angriffe kommen häufig von außen. Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) geht für das Jahr 2021 von rund 144 Millionen Schadprogrammen aus, die sich im Umlauf befinden. Das sind 394.000 neue Schadprogramm-Varianten pro Tag. Unzureichend abgesicherte Systeme, fehlende oder sicherheitstechnisch mangelhafte Lösungen für kollaboratives Arbeiten und eine zu lange vernachlässigte Security Awareness sind in den meisten Fällen die Ursache, dass Schadprogramme mit vielen Unternehmens-Infrastrukturen ein extrem leichtes Spiel haben.

Viele Sicherheitslücken sind bereits in den Abläufen und der genutzten Technologie angelegt. Sie entstehen durch fehlende Sicherheitssoftware, nachlässig konfigurierte Firewalls oder aufgrund von Programmierfehlern in Betriebssystemen, Webbrowsern oder anderer verwendeter Software. Kommen dann noch unklar definierte oder nicht sauber strukturierte Prozesse hinzu oder ein Corona-bedingtes Homeoffice mit seinen meist unsicheren VPN-Zugängen, verwundert es nicht, dass Unternehmen und Organisationen verstärkt Opfer von Phishing-Angriffen, Datenlecks und anderen Cyber-Attacken werden.

In vielen Fällen sind es auch die Mitarbeitenden selbst, die das Einfallstor für Bedrohungen öffnen. Denn Menschen machen Fehler. Nicht aus Böswilligkeit, eher aus Gutgläubigkeit oder Unachtsamkeit klicken sie den infizierten Anhang einer Phishing-E-Mail an, der beim Öffnen den verwendeten Computer oder auch das gesamte Unternehmensnetzwerk mit Malware infiziert. Oder sie werden von Hackern zu einer gefälschten, aber vertrauenswürdig scheinenden Website geleitet, wo sie arglos vertrauliche Informationen wie Anmeldedaten, Kreditkartennummern oder andere sensible Informationen preisgeben. Mit einem breit gefächerten, ständig wechselnden Repertoire an Angriffsvektoren, das von Social Engineering und Phishing über Drive-Download reicht, sind Cyberkriminelle zunehmend erfolgreich unterwegs. Gelingt es einem Angreifer, nur einen einzigen Mitarbeitenden hinters Licht zu führen, gefährdet er bereits die Sicherheit des gesamten Unternehmens. Tritt dann der Sicherheitsvorfall ein, trifft es die Mitarbeitenden unvorbereitet. Sie reagieren zu langsam, falsch oder verschweigen den Vorfall aus Angst vor Konsequenzen gänzlich und vergrößern den Schaden damit unnötig.

Sicherheitsbewusstsein schaffen

Um eine sichere Unternehmensstruktur quasi von innen heraus aufzubauen, müssen Organisationen ihre Mitarbeitenden vermehrt für Sicherheitsthemen sensibilisieren und eine Security-Awareness schaffen. Mitarbeitende sollten wissen, woran sie beispielsweise eine gefälschte Phishing-E-Mail erkennen und informiert sein, dass Ransomware einen Rechner sperrt und die darauf befindlichen Dateien verschlüsselt, um das Opfer zu erpressen.

In regelmäßigen internen Schulungen und Trainings sollten Unternehmen ihren Angestellten Grundwissen zum Thema IT-Sicherheit vermitteln und Antworten auf dringende Fragen liefern. Beispielsweise: „Wen muss ich informieren, wenn ich einen verdächtigen Anhang geöffnet habe?“ oder „Wie verhalte ich mich nach einem Incident richtig?“ Auf diese Weise können Mitarbeitende mögliche Cyber-Gefahren besser einschätzen und bei einem Sicherheitsvorfall schnell und korrekt reagieren. Außerdem steigern Schulungen bei der Belegschaft das Bewusstsein, dass Datendiebstahl den Unternehmenserfolg ernsthaft gefährden kann. Immerhin stellen Cybergefahren laut dem „Allianz Risk Barometer 2022“ für Unternehmen weltweit das größte Risiko dar. Damit rangiert Internetkriminalität noch vor Geschäfts- und Lieferkettenunterbrechungen, Naturkatastrophen oder der Covid-19-Pandemie.

Verschlüsselung schließt die Sicherheitslücke Datenaustausch

Viele Unternehmen nutzen beispielsweise zum Versenden ihrer internen und externen Informationen immer noch ungesicherte Kanäle, sodass Cyberkriminelle die Daten ohne großen Aufwand abfangen können. Da ungeschützte Systeme nur in Ausnahmefällen eine Benutzer-Authentifizierung verwenden, kann sich der Sender nicht sicher sein, ob seine Nachricht den gewünschten Empfänger tatsächlich erreicht hat oder ob sie vorher abgegriffen wurde. Angreifer verwenden die erlangten Informationen häufig für gezielte Spear-Phishing-Angriffe und nutzen die abgefangene Kommunikation, um möglichst authentisch wirkende E-Mails und Nachrichten zu verfassen. Spear-Phishing-Attacken sind in der Regel nur schwer zu erkennen und zählen deswegen zu den größten Einfallstoren. Wie bei gewöhnlichen E-Mail-Phishing-Attacken gelangt auch hier durch das Öffnen von manipulierten Anhängen oder Links Schadsoftware direkt auf den verwendeten Rechner und wird von dort in das Gesamtsystem gespeist. Wegen des personalisierten Anschreibens wird der Empfänger jedoch leichter hinters Licht geführt.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Unternehmen und Behörden sollten deswegen zum Senden von E-Mails und zum Übertragen von Dateien Kommunikationskanäle nutzen, die über eine sichere Ende-zu-Ende-Verschlüsselung (E2EE) verfügen. Diese beginnt auf dem Endgerät des Versenders und erstreckt sich über den gesamten Übertragungsweg bis hin zum Empfänger, wo die Daten verschlüsselt abgelegt und gespeichert werden. Zusätzlich versieht E2EE jede einzelne Nachricht mit einem individuellen kryptografischen, elektronischen Schloss, zu dem ausschließlich der Empfänger den Schlüssel besitzt. Auf diese Weise sind Daten und Anhänge jederzeit geschützt. Anhänge sollten beim Versenden grundsätzlich automatisiert verschlüsselt werden, sodass es nicht möglich ist, sie nachträglich zu manipulieren.

Allerdings stößt die Speicherkapazität von E-Mail-Postfächern insbesondere beim Versand großer Dateien schnell an ihre Grenzen. Da sehr viele Unternehmen keine DSVGO-konformen Plattformen zum sicheren Datenaustausch bereitstellen, nutzen Mitarbeitende stattdessen häufig kostenlose Cloud-Lösungen, die sie aus dem privaten Umfeld kennen und schaffen damit eine gefährliche Schatten-IT. Zusätzlich zu der verschlüsselten E-Mail-Kommunikation sollten Unternehmen ihren Mitarbeitenden deswegen auch sichere Datenräume anbieten. Diese schaffen eine geschützte Umgebung, in der die Nutzer Daten sicher ablegen und gemeinsam mit Kunden oder Partnern DSVGO-konform nutzen können.

Mehr Sicherheit durch strukturiertes Input Management

Ein weiteres Einfallstor, das Cyberkriminelle gerne angreifen, ist das sogenannte Input-Management, die Art also, wie sensible Daten im Unternehmen aufgenommen, verarbeitet und verteilt werden. Dazu zählen geschäftsrelevante Informationen wie Rechnungen oder Mahnungen oder außergewöhnlich schützenswerte Dokumente wie Bewerbungen oder Krankmeldungen. Besonders groß ist die Gefahr von Sicherheitslücken, wenn die Daten unstrukturiert eingehen und beispielsweise in einem Funktionspostfach mit nicht definierten Zuständigkeiten gespeichert werden, auf das viele Personen zugreifen können. Je größer der Empfängerkreis, desto wahrscheinlicher ist es, dass auch wenig oder gar nicht geschulte Personen darunter sind, die verdächtige Anhänge nicht erkennen und mögliche Risiken falsch einschätzen.

Der Empfängerkreis sollte daher möglichst klein bleiben. Hier empfiehlt sich der Einsatz von digitalen Formularen, bei denen Zuständigkeitsbereiche und Ansprechpartner genau festgelegt sind, sodass nur berechtigte Mitarbeitende eine Eingangsinformation erhalten. Dieser sorgfältig ausgewählte Personenkreis ist in der Regel entsprechend gebrieft und kann zwischen geschäftlichen Anhängen und Risiken unterscheiden. Bei Bedarf untersucht ein zwischengeschalteter Virenscanner die Anhänge vor dem Versand auf Schadprogramme.

Sicherheit durch Automatisierung

Ein weiteres, weit verbreitetes Sicherheitsrisiko in Unternehmen und Behörden sind manuell ausgeführte Prozesse, bei denen Fehler häufig durch Unachtsamkeit oder Unwissenheit der Mitarbeitenden entstehen. Durch das Automatisieren von Arbeitsprozessen lassen sich diese vom Faktor Mensch verursachten Schwachstellen weitgehend abstellen und die Effizienz der Abläufe erhöhen. Die Automatisierungs-Software übersetzt dabei Prozessschritte in Code. Auf diese Weise werden Daten automatisch erfasst und passgenau an das weiterverarbeitende System übertragen. Damit das funktioniert, ist jedoch ein strukturierter Dateneingang unerlässlich. Unternehmen sollten sich auch nicht gleich sämtliche Prozesse auf einmal vornehmen, sondern diejenigen herauspicken, die sich leicht automatisieren lassen. In der Regel sind das sehr repetitive Abläufe mit vielen kleinteiligen Arbeitsschritten.

Schwachstellen lassen sich minimieren

Um ihre innere Sicherheit zu stärken, können Unternehmen also verschiedenste Maßnahmen ergreifen. Denn festzuhalten bleibt: Fehler passieren - sowohl dem Menschen als auch Maschinen. Doch durch den Einsatz entsprechender Technologien und auf Basis einer gelebten Security Awareness ist es möglich, interne Schwachstellen zu minimieren und damit die Sicherheit von Systemen dauerhaft zu erhöhen.

Über den Autor: Ari Albertini ist Chief Operating Officer des Spezialisten für sichere Datenflows FTAPI Software GmbH. Nach Stationen in der Wissenschaft und der Projektberatung ist er seit 2015 bei FTAPI. Als Wirtschaftsinformatiker (M.Sc.) und Alumni der TU München verfügt er über mehr als 10 Jahre Erfahrung im Bereich der Strategieentwicklung, IT-Beratung, Software-Development sowie Produktkonzipierungen. Bei FTAPI kümmert er sich zudem um Themen wie agiles Arbeiten und Innovationen und ist regelmäßig als Autor von Fachbeiträgen sowie als Sprecher bei Branchen-Events tätig.

(ID:48481059)