Der Tag ist ohnehin schon stressig, dann kommt noch eine dringende Mail, vermeintlich vom Chef: Der Mitarbeiter soll sich sofort eine Datei ansehen. Der Absender der Mail ist aber gefälscht, in der Datei versteckt sich eine Schadsoftware. Die infiziert erst den Rechner des Mitarbeiters, dann das Netzwerk des Unternehmens. Die Folgen können erheblich sein: Neben einem finanziellen Schaden leidet auch immer die Reputation, weswegen viele dieser Angriffe nicht öffentlich werden.
„Mitarbeiter wissen oft gar nicht, dass es diese Form der Bedrohung überhaupt gibt“, erklärt Marc Strohbach, der bei ITGAIN für das Thema Security Awareness zuständig ist. Bei Unternehmen herrsche oft noch das Prinzip „Learning by pain“, wenn es um IT-Sicherheit geht: „Handlungsbedarf erkennen sie oft erst, nachdem ein Schaden entstanden ist“, weiß der Experte. So auch bei einem Einzelhandelsunternehmen, das ITGAIN bei einem anderen IT-Thema betreut. Dort konnten sich Angreifer mit einer Betrugsmail Zugangsdaten eines Mitarbeiters beschaffen und damit Schaden anrichten.
Schnell informieren
„Der Kunde fragte, ob wir ihn mit einer kurzfristigen und schnellen Maßnahme unterstützen können, um ähnliche Angriffe in Zukunft abzuwehren“, erklärt Strohbach. Die Lösung: Ein Video mit allen wichtigen Informationen zum Thema Security Awareness, das individuell auf die Besonderheiten des Kunden eingeht. „Unsere Herausforderung war, möglichst viele Leute möglichst schnell zu erreichen“ erinnert sich Strohbach. „Die Inhalte durften nicht zu trivial sein, aber auch nicht zu technisch, da es im Unternehmen Mitarbeiter mit ganz unterschiedlicher IT-Vorbildung gibt.“ Ein Video schien ideal, um die notwendigen Informationen leicht verständlich zu vermitteln. Außerdem sei es schnell und unkompliziert zu teilen, erklärt Strohbach: „So konnten wir eine große Zahl von Mitarbeitern sehr schnell auf ein Grundlevel an Sicherheitswissen heben.“
In dem Video erfahren die Mitarbeiter, welche Methoden Angreifer verwenden. Der Überbegriff für solche Attacken lautet „Social Engineering“, also „Soziale Manipulation“: Kriminelle geben sich als Kollegen, Geschäftspartner, Behörden oder ähnliches aus. Als solche versuchen sie, ihr Angriffsziel zu einer Handlung zu bewegen, zum Beispiel dazu, vertrauliche Informationen wie Zugangsdaten preiszugeben. Diese besondere Arte des Angriffs nennt man „Phishing“, kurz für „Password Fishing“, also das Angeln nach Passwörtern. Manchmal geben sich Kriminelle als Vorgesetzte aus, um Mitarbeiter zum Überweisen von Geld zu veranlassen. Diese Masche heißt „CEO Fraud“. Ein anders Mal sollen Mitarbeiter präparierte Dateien mit Schadsoftware öffnen. Wichtig sei, die Mitarbeiter zu sensibilisieren und sie über die möglichen, teils schwerwiegenden Auswirkungen solcher Angriffe zu informieren: Die reichen von einem finanziellen Verlust über den Diebstahl sensibler Daten bis hin zu Sabotage und Erpressung.
Sensibel für Bedrohungen
„Viele IT-Systeme sind heute von außen gut gesichert. Kriminelle greifen deswegen oft nicht die Technik an, das wäre zu schwierig und zu langwierig. Stattdessen greifen sie den Menschen im Innern des Unternehmens an“, erklärt Strohbach. Deswegen sei neben der technischen Überprüfung der IT eines Unternehmens auch die regelmäßige Schulung der Mitarbeiter unerlässlich. „Zu einem ganzheitlichen Sicherheitskonzept gehört das Thema Awareness auf jeden Fall dazu.“ ITGAIN biete neben technischen und organisatorischen Sicherheitsdienstleistungen wie Cloud Security, Penetrationstests oder Informationssicherheitsmanagement auch Beratung und Services an, wenn es um den Faktor Mensch geht. „Jeder Mitarbeiter ist für die Sicherheit seines Unternehmens mitverantwortlich“, weiß Strohbach. Viele Betrugsversuche könne man recht schnell erkennen, Strohbach empfiehlt den Drei-Sekunden-Sicherheits-Check des Bundesamts für Sicherheit in der Informationstechnik. Dabei schaut man sich Absender, Betreff und Anhänge kritisch an: Kenne ich den Absender? Ist der Betreff sinnvoll? Ist ein Anhang plausibel? „Wenn ihnen dabei etwas merkwürdig vorkommt, fragen sie am besten beim Absender persönlich nach, ob er die Mail wirklich geschickt hat“, so Strohbach.
Das Video von ITGAIN zur Security Awareness war hinsichtlich der Anforderungen an Schnelligkeit und leichte Verbreitung erfolgreich. Eine Garantie, dass jetzt sämtliche Angriffe in Zukunft erkannt werden können, biete es aber nicht. „Hundertprozentige Sicherheit kann es leider nicht geben“, weiß der Experte. Das Video informiere die Mitarbeiter über den aktuellen Vorfall und die gängigsten Bedrohungen. So sorge es für eine Sensibilisierung. Strohbach betont: „Letztlich liegt es aber an jedem Einzelnen, die neu gewonnene Sensibilität auch zu leben.“