Faktor Mensch und Unternehmensnetzwerk laut PSW GROUP wesentliche Cyber-Risiken

PSW GROUP rät zu mehr Awareness und Mitarbeitersensibilisierung

[datensicherheit.de, 20.04.2021] Cyber-Vorfälle gehörten zu den wichtigsten Geschäftsrisiken für Unternehmen weltweit und riefen die höchsten Verluste hervor – darauf machen IT-Sicherheitsexperten der PSW GROUP aufmerksam und verweisen auf das „Allianz Risiko Barometer 2021“. Laut dieser Studie seien im Jahr 2020 Cyber-Risiken neben Betriebsunterbrechungen und dem „Pandemie“-Ausbruch als eine der wichtigsten Geschäftsrisiken betrachtet worden. Betriebsunterbrechungen seien 2020 an der Tagesordnung gewesen: „Zum einen aufgrund der ,Pandemie‘, die viele Unternehmen in die Zwangspause schickte. Zum anderen aber auch aufgrund von Cyber-Sicherheitsvorfällen“, erläutert Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP

Patrycja Schrenk: 60 Prozent aller Schäden durch digitale Probleme in Unternehmen

PSW Group identifizierte wesentliche Cyber-Risiken: Faktor Mensch und Unternehmensnetzwerk

Letztere seien dann auch am teuersten: „Aus ihnen entstehen 60 Prozent all jener Schäden, die bei digitalen Problemen in Firmen entstehen. Die Mehrzahl aller entstehenden Schäden sind auf menschliches Versagen sowie interne Systemausfälle zurückzuführen.“ Kriminelle Angriffe jedoch wie Ransomware oder Phishing riefen die höchsten Verluste hervor.
„Wir können heutzutage zwei wesentliche Cyber-Risiken identifizieren. Das sind der Faktor Mensch und das Unternehmensnetzwerk“, sagt Schrenk. Denn obwohl der sogenannte Faktor Mensch als Sicherheitsrisiko mehr ins Bewusstsein gerückt sei, werde noch zu wenig zur Senkung dieses Risikos unternommen, kritisiert die IT-Sicherheitsexpertin:
„Tatsächlich kann IT-Sicherheit immer nur so gut sein wie der Anwendende, der die Techniken nutzt. Es ist deshalb von essenzieller Bedeutung, Mitarbeiter durch Schulungen zu sensibilisieren und auf etwaige Gefahren vorzubereiten.“

Faktor Mensch – Mitarbeiter sollten laut PSW Group Teil der Sicherheitsstrategie sein

Insbesondere Angriffe per „Social Engineering“ sowie Phishing funktionierten hervorragend auf jene Beschäftigte, die nicht gut auf diese Art eines Angriffs vorbereitet seien. Schrenk verdeutlicht dies anhand eines Beispiels: „Der Cyber-Kriminelle gibt sich als Systemadministrator des Unternehmens aus. Er ruft in der Zentrale an und behauptet, zur Behebung eines Systemfehlers das Passwort zu benötigen. Das arglose Opfer glaubt an die Geschichte und möchte mithelfen, die Sicherheit zu erhöhen. In der Annahme das Richtige zu tun, macht das Opfer genau das Falsche, indem es das Passwort preisgibt.“
Eine andere Form eines „Social Engineering“-Angriffs sei Phishing: Auch hierbei werde dem Opfer etwas vorgetäuscht um Daten abzufischen, tarnten sich die Angreifer als vertrauenswürdige Quelle – beispielsweise als Hausbank eines Unternehmens, um das Opfer dazu zu bringen, sensible Informationen herauszugeben oder Malware zu installieren.
Nach wie vor sei die E-Mail beim Phishing der beliebteste Vektor. Doch auch gefälschte Websites seien denkbar, ebenso wie Chat-Tools, Telefonanrufe oder auch Nachrichten per „Social Media“. Schrenk betont: „Es ist deshalb von höchster Wichtigkeit für eine gelungene IT-Sicherheitsstrategie, die Tatsache anzuerkennen, dass Mitarbeiter Teil dieser Sicherheitsstrategie sein müssen. Beschäftigte, die die Gefahren nicht kennen, die vom Phishing ausgehen, werden weiterhin jeden Link anklicken und wertvolle Informationen direkt in die Hände der Cyber-Kriminellen geben.“ Mitarbeiter, welche sich der Gefahren bewusst seien, agierten deutlich umsichtiger.

IT-Risiko Unternehmensnetzwerk: PSW Group warnt vor blinden Flecken in der Infrastruktur

Neben dem Faktor Mensch sei das Unternehmensnetzwerk der zweite relevante Aspekt in Bezug auf Cyber-Risiken. Zum Unternehmensnetzwerk gehörten auch alle damit gekoppelten Geräte. Hierbei gehe es nicht nur darum, Schatten-IT zu vermeiden, sondern auch darum, alle im Netzwerk befindlichen Geräte sowie deren Software aktuell zu halten, korrekt zu konfigurieren und zu überwachen. Neben der zeitnahen Einspielung von Patches gehörten dazu die Einrichtung einer Firewall gegen unerwünschte Netzwerkzugriffe sowie ein Netzwerk-Monitoring, welches darin unterstütze, in immer komplexer werdenden Netzwerkinfrastrukturen den Überblick zu behalten.
„Der Einblick ins gesamte Netzwerk einschließlich aller Schnittstellen sorgt dafür, dass keine blinden Flecken in der Infrastruktur auftauchen, die potenzielle Cyber-Risiken verursachen können“, so Schrenk und führt aus: „Cyber-Kriminelle setzen immer häufiger auf Multivektor-Angriffe. Sie suchen sich also nicht mehr einen Vektor, den sie konkret angreifen, sondern führen verschiedene Angriffsvektoren entweder abwechselnd oder auch gleichzeitig aus. Das bedeutet für Unternehmen, dass sich auch der Schutz auf alle möglichen Vektoren erstrecken muss.“
Eine wesentliche Rolle spiele auch die Cloud-Sicherheit: Die Auslagerung von Daten in die Cloud sei sinnvoll – auch, damit Informationen, die abteilungsübergreifend benötigt werden, immer und überall verfügbar seien. Schrenk mahnt jedoch zur Vorsicht: „Zum einen ist die Nutzung von US-Cloud-Anbietern nicht oder nur mit zusätzlicher Konfiguration DSGVO-konform. Zum anderen sollten auch die Zugriffe auf Cloud-Daten beschränkt werden. Denn der Vertrieb muss beispielsweise nicht auf Gehaltsabrechnungen eigener Kollegen zugreifen können. Wie immer gilt also, sinnvolle Zugriffsberechtigungen zu erteilen.“

IT-Sicherheit wird nach Einschätzung der PSW Group mehr individuell

Künstliche Intelligenz (KI) und damit zusammenhängend auch „Machine Learning“ (ML) seien ein Trend – sowohl in der Cybersecurity als auch bei Cyber-Kriminellen. Aufseiten der IT-Sicherheit trügen KI und ML dazu bei, etwaige Anomalien zügiger zu entdecken. Künstliche Intelligenz werde jedoch auch längst von Cyber-Kriminellen verwendet:
„Mit KI lassen sich beispielsweise Angriffsintensität und Erfolgsquote beim Spear-Phishing und sogenannter APT-Angriffe erhöhen, denn sie kann Aufgaben übernehmen, für die bis dahin menschliche Intelligenz nötig war.“ Ebenfalls könne KI auch eingesetzt werden, um Soziale Netzwerke, Business-Plattformen, Onlineshops und Foren zu durchforsten und künstliche Beziehungsnetzwerke aufzubauen, warnt Schrenk vor möglichen Einsatzszenarien.
Hinzu kommt laut Schrenk: Unser Arbeitsleben wandele sich. Mit „Corona“, dem Home-Office als neuem Arbeitsplatz, einer zunehmenden Angriffsfläche aufgrund neuartiger Technologien und voranschreitender Digitalisierung werde es nicht leichter, IT-Sicherheit umzusetzen. „Ganz im Gegenteil“, so Schrenk. IT-Sicherheit werde individueller. Letztlich müsse jedoch die Sicherheitsstrategie zur jeweiligen Organisation passen. „Nur wer die für sein Unternehmen relevanten Cyber-Risiken kennt, kann die entsprechenden Vorkehrungen treffen.“

Weitere Informationen zum Thema:

datensicherheit.de, 18.03.2021
Vorsicht vor Ransomware-Mythen: Schutz muss realistisch angegangen werden

PSW GROUP, Bianca Wellbrock, 09.03.2021
IT-Security / Cyber-Risiken: Wie groß ist die Gefahr von Cyberangriffen?

Allianz, 19.01.2021
Allianz Risiko Barometer 2021: Covid-19-Trio an der Spitze der Unternehmensrisiken