[datensicherheit.de, 09.04.2025] Cyber-Bedrohungen entwickeln sich mit zunehmender Digitalisierung und Vernetzung rasant – mit den neuen Chancen erwachsen auch neue Risiken und die meisten Cyber-Angriffe haben vorrangig eine menschliche Komponente. Miro Mitrovic, „Area Vice President DACH“ bei Proofpoint, betont in seiner aktuellen Stellungnahme, dass sich rund 90 Prozent der Cyber-Angriffe auf menschliches Fehlverhalten zurückführen lassen. Um dieser Herausforderung zu begegnen, müssten Unternehmen ihre neuen Mitarbeiter von Anfang an in ihre Sicherheitsstrategie einbinden. Ein effektives Onboarding-Programm für Cyber-Sicherheit sei entscheidend, um neue Kollegen in die Lage zu versetzen, verdächtige Aktivitäten zu erkennen und angemessen darauf zu reagieren. Mitrovic gibt hierzu nachfolgend vier Tipps, mit denen deutsche Unternehmen ihre neuen Mitarbeiter bereits beim Onboarding in ihre Cyber-Verteidigung integrieren können.

Foto: Proofpoint

Miro Mitrovic: Ein flexibles Security-Awareness-Programm, das regelmäßig aktualisiert wird, ist darum unerlässlich!

Klare Definition eines Cyber-Vorfalls erforderlich

Mitrovic führt aus: „Ein wesentlicher Bestandteil jeder Einarbeitung sollte eine klare Definition dessen sein, was einen Cyber-Vorfall ausmacht – sei es eine ungewöhnliche Netzwerkaktivität, ein unbefugter Zugriffsversuch oder eine Phishing-Mail.“ Neue Mitarbeiter sollten ermutigt werden, verdächtige Aktivitäten sofort über die offiziellen Kanäle zu melden, damit das Sicherheitsteam schnell handeln kann. „Eine offene Kommunikationskultur, gepaart mit klaren Richtlinien, sorgt dafür, dass potenzielle Bedrohungen frühzeitig erkannt und entschärft werden.“

Cyber-Sicherheit sei keine exklusive Aufgabe der IT-Abteilung, sondern eine gemeinsame Verantwortung der gesamten Belegschaft. „Mit einem durchdachten Onboarding-Programm können Unternehmen nicht nur die Sicherheit ihrer Systeme verbessern, sondern auch eine nachhaltige Sicherheitskultur etablieren“, betont Mitrovic. Indem neue Mitarbeiter von Anfang an in die Sicherheitsstrategie eingebunden werden, könnten sie einen wertvollen Beitrag zum Schutz des Unternehmens leisten. Zu diesem Zweck gelte es die folgenden vier Tipps zu beachten:

1. Cyber-Sicherheitstipp: Kennwortsicherheit – die erste Verteidigungslinie stärken

Die Wahl eines sicheren Passworts sei eine der einfachsten und zugleich wirksamsten Maßnahmen, um unberechtigten Zugriff auf Unternehmenssysteme zu verhindern. Neue Mitarbeiter sollten lernen, einzigartige und komplexe Passwörter zu erstellen, die aus einer Kombination von Zahlen, Buchstaben und Sonderzeichen bestehen.

• Ergänzend sollte die Multi-Faktor-Authentifizierung (MFA) verpflichtend eingeführt werden, um eine zusätzliche Sicherheitsebene zu schaffen.

„Eine fundierte Einführung in das Thema Passwortsicherheit vermittelt nicht nur die technischen Grundlagen, sondern schärft auch das Bewusstsein dafür, dass jeder Einzelne aktiv zur Abwehr von Cyber-Bedrohungen beitragen kann.“

2. Cyber-Sicherheitstipp: Phishing und E-Mail-Betrug – Taktiken der Cyber-Kriminellen erkennen

Phishing-Angriffe gehörten zu den häufigsten Methoden Cyber-Krimineller, um an sensible Informationen zu gelangen. „Ob durch gefälschte E-Mails, SMS oder Anrufe – die Angreifer setzen auf psychologische Tricks, um Vertrauen zu schaffen und Mitarbeitende zur Preisgabe vertraulicher Daten zu bewegen.“

• Neue Kollegen sollten lernen, typische Warnsignale wie unerwartete Aufforderungen, verdächtige Links oder ein ungewöhnliches Branding zu erkennen.

Wichtig sei auch die Aufklärung über „Business Email Compromise“ (BEC) – eine raffinierte Methode, bei der sich Angreifer als Vorgesetzte oder Kollegen ausgeben. Grundsätzlich gilt laut Mitrovic: „Verdächtige Anfragen müssen immer persönlich über offizielle Kanäle bestätigt werden, bevor gehandelt wird!“

3. Cyber-Sicherheitstipp: Datenschutz und Gerätesicherheit – Schutz vertraulicher Daten

Der Schutz sensibler Unternehmensdaten beginne mit dem richtigen Umgang und der Sicherung von Geräten. Neue Mitarbeiter sollten umfassend über die Datenschutzrichtlinien des Unternehmens informiert werden.

• Dazu gehöre auch die Aufforderung, nur von der Organisation genehmigte Software zu verwenden, Geräte bei Nichtbenutzung zu sperren und verlorene oder gestohlene Geräte unverzüglich der IT-Abteilung zu melden.

Darüber hinaus sollten die Benutzer in sicherem Online-Verhalten geschult werden, beispielsweise öffentliche WLAN-Netzwerke zu meiden und Website-Adressen auf Sicherheitsmerkmale wie „https://“ und das Schlosssymbol hin zu überprüfen. „Diese einfachen Schritte tragen wesentlich dazu bei, die Angriffsfläche des Unternehmens zu minimieren.“

4. Cyber-Sicherheitstipp: Neu entwickelte Bedrohungen – Vorbereitungen auf das Unbekannte

Cyber-Kriminelle setzten zunehmend auf ausgeklügelte Taktiken wie KI-gestützte Angriffe, sogenannte Deepfakes und die Manipulation von Kollaborationstools wie „Teams“ oder „Slack“.

• Neue Mitarbeiter müssten für diese dynamischen Bedrohungen sensibilisiert werden und lernen, sich gegen täuschend echte Angriffe zu wappnen.

„Ein flexibles Security-Awareness-Programm, das regelmäßig aktualisiert wird, ist darum unerlässlich“, unterstreicht Mitrovic abschließend. Denn nur so könnten Unternehmen sicherstellen, dass ihre Mitarbeiter auf die neuesten Angriffsmethoden vorbereitet sind und schnell angemessen reagieren können.

Weitere Informationen zum Thema:

datensicherheit.de, 14.02.2025
Datenschutz-Schulungen: Ein Drittel der Unternehmen versäumt es, Mitarbeitern Aktualisierungen anzubieten / Zwar 87 Prozent der Unternehmen ihren Mitarbeitern Datenschutz-Schulungen an, aber nur 68 Prozent aktualisieren diese Materialien regelmäßig

datensicherheit.de, 09.12.2024
Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf / Sicherheitsteams sollten Anwendung von Identity-Security-Kontrollen neu überdenken

datensicherheit.de, 18.05.2024
Cyber-Angriff mittels Deepfake-Phishing: Mitarbeiter sensibilisieren, CEO-Imitationen zu erkennen! / Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht mit einer per Deepfake-Technologie gefälschten Stimme des CEO

datensicherheit.de, 26.11.2023
IT – Interner Täter: Mitarbeiter noch größere Gefahr als Hacker / In den vergangenen zwei Jahren mehr als ein Drittel aller Cyber-Sicherheitsvorfälle in Deutschland auf Fehlverhalten von Mitarbeitern zurückzuführen

datensicherheit.de, 04.04.2023
Selbstüberschätzung: Mitarbeiter gefährden Cyber-Sicherheit in Unternehmen / Mehr als die Hälfte der Erwachsenen in Deutschland der Meinung, überdurchschnittliche Kenntnisse in Sachen Cyber-Sicherheit zu besitzen

[datensicherheit.de, 03.04.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf einen kürzlich erschienenen Blog-Beitrag von Bitdefender-Forschern ein: Es soll Cyber-Kriminellen in den vergangenen neun Monaten gelungen sein, mindestens 331 bösartige Apps im „Google Play Store“ zu platzieren. Demnach sind diese Apps mehr als 60 Millionen Mal von „Android“-Nutzern heruntergeladen worden. Die Sicherheitsmaßnahmen von „Android 13“ hätten die bösartigen Anwendungen dabei problemlos umschifft. Einige der Apps hätten dann Spam auf den Bildschirmen ihrer Opfer erscheinen lassen, andere sogar Phishing-Angriffe unterstützt. „Das Besondere daran: Die bösartigen Apps können ohne Aktivierung durch den Nutzer starten und ohne dessen Kenntnis im Hintergrund operieren.“ Krämer warnt: „Die Kampagne scheint immer noch aktiv zu sein!“

Foto: KnowBe4

Dr. Martin J. Krämer: Nachdem eine bösartige App heruntergeladen worden ist, kann sie ohne Aktivität des Nutzers von selbst starten!

Bösartige Apps erstmals im dritten Quartal 2024 festgestellt

Erstmals seien die bösartigen Apps im dritten Quartal des vergangenen Jahres, 2024, festgestellt worden. Im Verlauf ihrer Untersuchung und Analyse habe sich gezeigt, „dass einige von ihnen bereits längere Zeit im ,App Store’ zum Download bereitgestanden hatten – allerdings ohne bösartige Nutzlast“. Diese sei erst später, zu Beginn des 3. Quartals 2024, per Update hinzugefügt worden.

„Von außen geben sich die Anwendungen unscheinbar – als QR-Scanner, Haushaltsplaner oder auch als Health-Care-Anwendung. Nachdem eine bösartige App heruntergeladen worden ist, kann sie ohne Aktivität des Nutzers von selbst starten und im Hintergrund, ohne Anzeige des Symbols der Launcher-Aktivität, operieren – obwohl dies auf ,Android 13‘ eigentlich gar nicht möglich sein sollte.“ Ohne also, dass der Nutzer es ihnen erlaubt hat, sollen die Apps dann kontinuierlich Werbung (Spam) im Vollbildmodus dargestellt, einige Apps auch Bedienelemente eingeblendet und versucht haben, Nutzer dazu zu bewegen, sogenannte Credentials und Kreditkarteninformationen preiszugeben.

Unter Umgehung bestehender Schutzmaßnahmen bösartige Apps hochgeladen

Schon häufiger ist der „Google Play Store“ zum Ziel Cyber-Krimineller geworden. Unter Umgehung der bestehenden Schutzmaßnahmen versuchen sie, bösartige Apps hochzuladen. „In aller Regel gelingt es Google rasch, solche Apps aus dem Verkehr zu ziehen“, so Krämer. Indes lernten die Kriminellen aber hinzu. „Es scheint, dass es ihnen zunehmend gelingt, ihre Strategien und Taktiken anzupassen.“

Wie die Forscher von Bitdefender in ihrem Beitrag feststellen, genügt es deshalb längst nicht mehr, sich allein auf denjenigen Schutz zu verlassen, der Anwendern standardmäßig auf „Android“-Geräten und im „Google Play Store“ zur Verfügung steht. Endverbraucher und Unternehmen müssten somit mehr tun. „Phishing- und Spear Phishing-Kampagnen werden immer breiter gestreut, sind immer häufiger auch Teil von Malware-Kampagnen. Das Risiko, Opfer eines solchen Angriffs zu werden, es steigt und steigt.“

Nicht die App ist per se das Problem – sondern der „Faktor Mensch“

Hiergegen mit einfachen Anti-Phishing- und Anti-Social-Engineering-Schulungen und -Trainings vorzugehen, falle zunehmend schwer. „Immer häufiger gelingt es den Angreifern, die Strategien und Taktiken der Verteidiger zu durchschauen. Sie passen ihre Kampagnen an Standard-Schulungen und -Trainings an. Unternehmen müssen deshalb mehr tun.“

Sie müssten strukturierter, umfassender, kontinuierlicher vorgehen und die „Human Risks“, also die Risiken, denen ihre Unternehmens-IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, umfassend und kontinuierlich in den Blick nehmen und systematisch zu managen beginnen. „Menschliche Risiken müssen, genau wie die technischen ja auch, kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden“, betont Krämer.

Aktueller App-Vorfall gemahnt daran, Mitarbeiter zur besten Verteidigung gegen Cyber-Bedrohungen zu motivieren

„Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert – eben kontinuierlich – zum Einsatz bringen.“

Moderne Anti-Phishing-E-Mail-Lösungen kombinierten KI mit „Crowdsourcing“, um so selbst neueste Zero-Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – „so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen“. Mit solchen und ähnlichen Lösungen werde es Unternehmen gelingen, ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen zu machen und ihre „Human Risks“ zu reduzieren.

Weitere Informationen zum Thema:

Bitdefender, Alecsandru Cătălin Daj & Adina Mateescu & Albert Endre-Laszlo & Alex Baciu & Elena Flondor, 18.03.2025
Hundreds of Malicious Google Play-Hosted Apps Bypassed Android 13 Security With Ease

KnowBe4, 2023
The Future of Phishing Defense: AI Meets Crowdsourcing

datensicherheit.de, 22.09.2022
Kaspersky identifiziert schädliche Kampagne im Google Play Store / Trojaner Harly imitierte laut Kaspersky über 190 legitime Apps und abonnierte Nutzer für kostenpflichtige Dienste

datensicherheit.de, 08.09.2021
Malwarebytes-Warnung: Spionage und Stalking über Google Play Store / Malwarebytes-Sicherheitsexperte Pieter Arntz entdeckte per Zufall potenziell bedrohliche Überwachungsmöglichkeit

datensicherheit.de, 25.04.2019
Google Play Store: Sechs gefährliche Apps mussten entfernt werden / Check Point meldet Missbrauch der Zugriffsrechte und betrügerische Werbung

[datensicherheit.de, 28.02.2025] Cyber-Kriminelle attackieren zunehmend Mitarbeiter und Führungskräfte: „Was sollten wir tun?“ – diese Frage soll am 11. März 2025 im Mittelpunkt einer Veranstaltung im Rahmen der „Wildauer Wissenschaftswoche“ an der Technischen Hochschule (TH) Wildau stehen. Experten werden demnach „wertvolle Tipps“ geben und „erlebnisorientierte Maßnahmen zur Sensibilisierung für das Thema“ vorstellen. Angesprochen seien insbesondere Vertreter von Unternehmen und Kommunen.

Foto: Mareike Rammelt / TH Wildau

Gefahren der Cyber-Kriminalität gewinnen an Bedeutung – im Rahmen der „Wildauer Wissenschaftswoche 2025“ soll für das Thema Informationssicherheit mit Maßnahmen sensibilisiert werden

Bedrohungen im Cyber-Raum können erhebliche Schäden für Wirtschaft, Verwaltung und Gesellschaft verursachen

Die Bedrohung durch Cyber-Kriminalität sei längst keine Zukunftsvision mehr, sondern tägliche Realität für Institutionen aller Größen und Branchen. Cyber-Kriminelle professionalisierten ihre Arbeitsweise, seien technisch auf dem neuesten Stand und agierten aggressiv: „Opfer sind in den letzten Jahren neben kleinen und mittleren Unternehmen (KMU) auch IT-Dienstleister und Kommunen.“

Durch Bedrohungen im Cyber-Raum entstünden erhebliche Schäden für Wirtschaft, Verwaltung und Gesellschaft. „Technische Absicherungen werden umgangen, indem Angriffe häufig gezielt auf Mitarbeitende und Führungskräfte gerichtet sind, die dagegen oft nur unzureichend geschult und sensibilisiert werden.“

Um zunehmender Cyber-Bedrohung entgegenzutreten, muss Bewusstsein für Informationssicherheit geschärft werden

Genau da soll die Veranstaltung „Cyber-Kriminelle hacken Mitarbeitende und Führungskräfte – was sollten wir tun?“ ansetzen. Um den zunehmenden Bedrohungen der Cyber-Kriminalität entgegenzutreten, solle bei den Teilnehmern das Bewusstsein für Informationssicherheit auf allen Ebenen geschärft werden. So könnten präventive Maßnahmen besser greifen. „Prof. Margit Scholl, Expertin für Informationssicherheit und ,Awareness’ an der TH Wildau, lädt Vertreterinnen und Vertreter von Unternehmen und Kommunen sowie Interessierte zu der exklusiven Veranstaltung ein.“

Frau Prof. Scholl führt hierzu weiter aus: „Es ist mir seit Jahren ein Anliegen, das Bewusstsein für das Thema Informationssicherheit zu schärfen und so Schaden auf Seiten der Unternehmen, der öffentlichen Verwaltungen und aller Institutionen zu vermeiden.“ Dazu hätten sie über Jahre intensiv geforscht und Maßnahmen in der Praxis erprobt. In dieser Veranstaltung – im Rahmen der „Wildauer Wissenschaftswoche 2025“ – mögen den Teilnehmern praxisnahe, erlebnisorientierte Maßnahmen zeigen, wie sich Mitarbeiter sowie Führungskräfte besser auf die Gefahren im sogenannten Cyberspace vorbereiten können.

Wertvolle Tipps, wie Cyber-Angriffe erkannt und abgewehrt werden können

Die Teilnehmer erhielten wertvolle Tipps, wie beispielsweise Cyber-Angriffe durch „Social Engineering“ erkannt werden könnten. Dabei versuchten Kriminelle, ihre Opfer zu verleiten, eigenständig Daten preiszugeben, um so Schutzmaßnahmen zu umgehen oder Schadprogramme zu installieren. Die Angreifer nutzten hierzu vermeintliche menschliche Schwächen wie Neugier oder Angst aus und erhielten so Zugriff auf sensible Daten und Informationen.

Die Veranstaltung auf einen Blick:

„Cyber-Kriminelle hacken Mitarbeitende und Führungskräfte – was sollten wir tun?“
Dienstag, 11. März 2025, 11 bis 13 Uhr
Campus der Technischen Hochschule Wildau
Halle 17, Audimax
Hochschulring 1
15745 Wildau
Online-Anmeldung erforderlich (s.u.), Teilnahme kostenfrei.

Anmeldung und weitere Informationen zum Thema:

TH WILDAU
14. Wildauer Wissenschaftswoche

TH WILDAU
10. bis 14. März 2025 / 14. Wildauer Wissenschaftswoche / Forschen. Anwenden. Begreifen.

TH WILDAU
Willkommen auf dem Campus

[datensicherheit.de, 14.02.2025] Aus Anlass des „Safer Internet Day“ am 11. Februar 2025 geht ISACA in einer Stellungnahme auf den eigenen „State of Privacy 2025“-Report ein – demnach bieten zwar 87 Prozent der Unternehmen ihren Mitarbeitern Datenschutz-Schulungen an, aber nur 68 Prozent aktualisieren diese Materialien regelmäßig. ISACA warnt daher vor den Risiken, denen Unternehmen aufgrund unzureichender Datenschutz-Schulungen ausgesetzt sind.

87 Prozent der Unternehmen bieten Datenschutz-Schulungen an…

Der Bericht „State of Privacy 2025“ zeige, dass zwar 87 Prozent der Unternehmen Datenschutz-Schulungen anbieten, aber nur 68 Prozent die Inhalte regelmäßig aktualisieren, „so dass sie aufgrund der Lücken anfällig für neue Bedrohungen sind“. Diese besorgniserregende Erkenntnis werde durch Daten der Weltbank noch untermauert, „aus denen hervorgeht, dass Cyber-Vorfälle in den letzten zehn Jahren um durchschnittlich 21 Prozent pro Jahr zugenommen haben“.

Obwohl 74 Prozent der Befragten angegeben hätten, dass ihre Datenschutz-Strategien mit den Unternehmenszielen übereinstimmten, aktualisierten nur 59 Prozent die Schulungen jährlich, während neun Prozent dies alle zwei bis fünf Jahre täten. „Das bedeutet, dass etwa 32 Prozent der Mitarbeitenden nicht ausreichend geschult werden, um neue Datenschutz-Bedrohungen am Arbeitsplatz zu bekämpfen.“

Cyber-Sicherheit und Datenschutz mehr als rein technische Fragen

Cyber-Sicherheit und Datenschutz seien nicht mehr nur technische Fragen, sondern hätten sich zu strategischen Herausforderungen entwickelt, bei denen es um den Schutz des digitalen Vertrauens gehe. „Wie sich in den Ergebnissen von ISACA zeigt, sind regelmäßige Schulungen ein entscheidendes Element für zwei wichtige Cyber-Sicherheitsstrategien: Risikominderung und Datenschutz.“ Mehrere Studien bewiesen, dass Unternehmen, die in diesem Bereich bewährte Praktiken anwendeten, in der Regel weniger Cyber-Vorfälle erlitten und ein größeres Vertrauen bei Kunden und Partnern genössen.

„Der ,Safer Internet Day’ ist eine ideale Gelegenheit, um sich bewusst zu machen, wie wichtig es ist, den Datenschutz in allen Geschäftsbereichen zu verankern!“ Neue Technologien wie Künstliche Intelligenz (KI) und das Internet der Dinge (IoT) vergrößerten die Angriffsfläche, so dass sowohl Mitarbeiter als auch Unternehmensleitungen darauf vorbereitet sein müssten, auf mögliche Vorfälle zu reagieren.

Herausforderung für Unternehmen: KI gewinnt bei Verwaltung des Datenschutzes immer größere Bedeutung

Eines der Hauptprobleme für Unternehmen sei die zunehmende Rolle der KI bei der Verwaltung des Datenschutzes. Laut dem Bericht „State of Privacy 2025“ nutzten bereits elf Prozent der Unternehmen KI für datenschutzrelevante Aufgaben wie die Automatisierung von Risikobewertungen, die Erkennung von Anomalien und die Einhaltung gesetzlicher Vorschriften.

Diese Instrumente verbesserten zwar die betriebliche Effizienz, „bergen aber auch Risiken, wenn ethische Grundsätze und ,Privacy by Design’ nicht angewandt werden“. Ein Mangel an Transparenz in Bezug auf die Funktionsweise von Algorithmen könne das Vertrauen untergraben und zu Verstößen gegen Vorschriften führen – insbesondere im Hinblick auf den kürzlich erlassenen „EU AI Act“.

Kontinuierlicher Verbesserungsansatz für Datenschutz-Schulungen empfohlen

Daher empfiehlt ISACA Unternehmen, die ihre Datenschutz-Schulungsprogramme verbessern wollen, einen kontinuierlichen Verbesserungsansatz zu verfolgen:

„Dazu gehören nicht nur die Aktualisierung von Schulungsinhalten und das Erlangen von Zertifizierungen, sondern auch das Durchführen von Simulationen und praktischen Übungen, um die Reaktionsfähigkeit auf Vorfälle zu stärken.“

Weitere Informationen zum Thema:

ISACA
Archived Webinar—The State of Privacy 2025 (Archived until 28 January 2026)

[datensicherheit.de, 09.01.2025] Die Check Point Software Technologies Ltd. erläutert in einer aktuellen Stellungnahme, wie fortschrittliche E-Mail-Sicherheitslösungen nicht nur Unternehmen helfen können, sich vor Cyber-Bedrohungen zu schützen, sondern auch die Produktivität der Mitarbeiter zu steigern und IT-Ressourcen zu optimieren. Die Auswahl der richtigen Sicherheitslösung sei dabei entscheidend. Unternehmen sollten auf Anbieter setzen, welche kontinuierlich neue Funktionen entwickelten und benutzerfreundliche Systeme anböten, um sowohl Mitarbeiter als auch IT-Teams zu entlasten.

[chck-point-pete-nicoletti.jpg]

Unangenehme Folgen schwacher E-Mail-Sicherheitsmaßnahmen

Täglich verbrächten Mitarbeiter unzählige Stunden mit der Bearbeitung von E-Mails – einem gleichwohl unverzichtbaren Kommunikationsmittel, welches jedoch auch eine erhebliche Schwachstelle darstelle. Schwache E-Mail-Sicherheitsmaßnahmen führten nicht nur zu einer höheren Anfälligkeit für Phishing-Angriffe und Malware, sondern auch zu:

Zeitverlust
Mitarbeiter würden durch verdächtige Nachrichten abgelenkt und müssten diese manuell melden.

Erhöhtem Risiko
Verzögerungen beim Erkennen schädlicher Nachrichten könnten zu Datenverlust oder Compliance-Verstößen führen.

Überlastung der IT
Sicherheitsabteilungen verbrächten wertvolle Zeit mit der Analyse von falschem Alarm und der Behebung von Sicherheitsvorfällen.

Bösartige E-Mails: Keine noch so gute Mitarbeiterschulung kann Phishing-Klicks verhinden

„Keine noch so gute Mitarbeiterschulung kann Phishing-Klicks verhindern. Es gibt über 300 Merkmale, die vor der Zustellung überprüft werden müssen, und die Mitarbeiter haben weder das Wissen noch die Fähigkeiten oder die Zeit, diese zu analysieren“, führt Pete Nicoletti, „CISO“ von Check Point Software Technologies, aus.

Er ergänzt: „Außerdem hat Ihr Sicherheitsprogramm versagt, wenn Sie bösartige E-Mails versenden oder Ihre Endpunkt-Tools nicht verhindern können, dass eine bösartige Datei von einer angeklickten URL heruntergeladen wird!“ Zudem seien Mitarbeiterschulungen bloß ein „Sicherheitstheater“ – „und wenn Sie sich darauf verlassen, dass sie eine Verteidigungslinie darstellen, sollten Sie Ihr ,Incident Response Team’ und Ihren Anwalt auf der Kurzwahl haben.“

Dringende Empfehlung zur Nutzung fortschrittlicher E-Mail-Sicherheitslösungen

Fortschrittliche E-Mail-Sicherheitslösungen nutzten Künstliche Intelligenz (KI) und Maschinelles Lernen (ML), um Bedrohungen in Echtzeit zu erkennen und unschädlich zu machen. Mit verschiedenen Funktionen, wie dem automatisierten Entfernen schädlicher Links oder dem Verschieben verdächtiger Nachrichten in Quarantäne, schützten solche Lösungen nicht nur die Organisation, sondern verbesserten auch die Effizienz der Arbeitsabläufe.

Unternehmen, welche in bewährte E-Mail-Sicherheitslösungen investierten, profitierten von:

Gesteigerter Produktivität
Mitarbeiter könnten sich auf ihre Kernaufgaben konzentrieren, ohne durch Sicherheitsrisiken abgelenkt zu werden.

Erhöhtem Schutz
KI-gestützte Systeme verhinderten das Eindringen schädlicher Inhalte.

Optimierter IT-Nutzung
Automatisierte Prozesse reduzierten den manuellen Aufwand der Sicherheits-Teams.

Weitere Informationen zum Thema:

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 25.11.2024
Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit / Klassische E-Mail bleibt primärer Bedrohungsvektor im Cyberspace

datensicherheit.de, 11.09.2024
NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung / NIS-2-Richtlinie von EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umzusetzen

datensicherheit.de, 06.09.2024
Unterschätztes Problem: Datenverluste durch fehlgeleitete E-Mails / Irrläufer legitimer E-Mails in Großbritannien die am häufigsten gemeldeten Vorfälle im Zusammenhang mit der DSGVO

[datensicherheit.de, 09.12.2024] Laut einer neuen Untersuchung von CyberArk führen gängige Verhaltensweisen von Mitarbeitern beim Zugriff auf sensible und privilegierte Daten – bewusst oder unbewusst – zu Sicherheitsrisiken, weshalb Unternehmen den Datenzugang von Arbeitnehmern nicht nur verwalten, sondern auch sichern müssten. Diese basiert demnach auf einer globalen Umfrage unter 14.003 Arbeitnehmern und gibt Einblicke in die üblichen Verhaltensweisen und Datenzugriffsmuster: „Sie zeigt, dass Sicherheitsteams die Anwendung von Identity-Security-Kontrollen neu überdenken sollten!“ Für diese neue Studie habe Censuswide für ihre Tätigkeit Computer nutzende Arbeitnehmer in Deutschland, Frankreich, Großbritannien, den USA, Australien und Singapur befragt. Die Erhebung habe zwischen dem 17. und 25. Oktober 2024 stattgefunden.

Mehrheit der Mitarbeiter umgeht Cyber-Sicherheitsrichtlinien

In Deutschland seien hierzu 2.000 Arbeitnehmer befragt worden. Die vier zentralen Ergebnisse laut CyberArk im Überblick:

1. Erkenntnis: Die Mehrheit hat Zugang zu vertraulichen Informationen
86 Prozent der Befragten griffen auf Arbeitsplatzanwendungen, die oft geschäftskritische Daten enthielten, von persönlichen, vielfach unzureichend gesicherten Geräten aus zu. „Die Umfrage bestätigt, dass ein privilegierter Zugang nicht mehr nur IT-Administratoren vorbehalten ist. So geben 38 Prozent an, dass sie häufig Kundendaten herunterladen.“ Ein Drittel sei in der Lage, kritische oder sensible Daten zu ändern, und mehr als 30 Prozent könnten große Finanztransaktionen genehmigen.

2. Erkenntnis: Die Wiederverwendung von Passwörtern ist weit verbreitet
Die Untersuchung habe mehrere Gewohnheiten ermittelt, welche die Sicherheit gefährdeten. So verwendeten 41 Prozent der befragten Mitarbeiter dieselben Anmeldedaten für unterschiedliche arbeitsbezogene Anwendungen, wobei 32 Prozent dieselben Anmeldedaten sowohl für private als auch für berufliche Applikationen nutzten. „71 Prozent der Befragten haben bereits arbeitsplatzspezifische vertrauliche Informationen an Außenstehende weitergegeben.“ Diese Praktiken erhöhten das Risiko von Sicherheitslecks und Sicherheitsverletzungen erheblich.

3. Erkenntnis: Die Mehrheit umgeht Cyber-Sicherheitsrichtlinien
77 Prozent der Befragten beachteten häufig Cyber-Sicherheitsrichtlinien nicht, um sich die Arbeit zu erleichtern. „Zu solchen Praktiken gehören die Verwendung eines Passworts für mehrere Accounts, die Nutzung privater Geräte als WLAN-Hotspots und die Weiterleitung von Unternehmens-E-Mails an private Konten.“

4. Erkenntnis: Die Einführung von KI führt zu weiteren Sicherheitsherausforderungen
80 Prozent der Mitarbeiter nutzten KI-Tools, welche neue Schwachstellen schaffen könnten, „wenn beispielsweise vertrauliche Daten in die Tools eingegeben werden“. Fast die Hälfte (44%) der Beschäftigten halte sich bei der Nutzung von KI-Tools „nur manchmal“ oder „nie“ an die Richtlinien zum Umgang mit sensiblen Daten.

Mit dynamischen Berechtigungskontrollen könnten Sicherheitsteams Angriffe abwehren

Zudem zeige die neue Studie „White FAANG: Devouring Your Personal Data“ der CyberArk Labs, wie der individuelle Browser- und Internetverlauf einzelner Mitarbeiter eine Bedrohung sowohl für ihre Arbeitgeber als auch für ihr Privatleben darstellen könne. So könnten individuelle Browser-Verlaufsdaten leicht gestohlen und als Angriffsvektor auf die Infrastruktur von Unternehmen genutzt werden.

Die Kombination aus besorgniserregenden Mitarbeiteraktionen und der Fähigkeit von Angreifern, den Browserverlauf zu entwenden, erhöhe das Risiko für Unternehmen. „Mit der Implementierung eines robusten Identity-Security-Programms mit dynamischen Berechtigungskontrollen können Sicherheitsteams Angreifer daran hindern, Zugang zu sensiblen und privilegierten Informationen zu erhalten.“

Standardansatz für Sicherheit des Mitarbeiterzugriffs unzureichend

Michael Kleist, „Area Vice President DACH“ bei CyberArk, kommentiert: „Viel zu lange hat sich der Standardansatz für die Sicherheit des Mitarbeiterzugriffs auf grundlegende Kontrollen wie die Authentifizierung über ,Single Sign-on’ konzentriert. Dies ignoriert die sich verändernde Art der Identität: Nahezu jeder Mitarbeiter kann privilegierte Zugriffsrechte erhalten.“

Abschließend gibt Kleist zu bedenken: „Die Untersuchungsergebnisse zeigen, dass risikoreiche Zugriffe fast immer möglich sind und es viele Verhaltensweisen gibt, die zu ernsthaften Sicherheitsproblemen für Unternehmen führen können.“ Deshalb bestehe die dringende Notwendigkeit, die Identitätssicherheit neu zu definieren – „indem jeder Benutzer mit dem richtigen Maß an Berechtigungskontrollen geschützt wird!“

Weitere Informationen zum Thema:

CYBERARC
CyberArc 2024 Employee Risk Survey

CYBERARC, 03.12.2024
New Research from CyberArk Reveals Security Risks Introduced by Everyday Employee Behaviors

[datensicherheit.de, 26.09.2024] Stressfaktoren wie eine angespannte IT-Bedrohungslage oder Druck durch die Geschäftsführung werden nach aktuellen Erkenntnissen von Sophos je nach Unternehmensgröße sehr unterschiedlich bewertet: Die ständige Zunahme an Cyber-Bedrohungen belaste nicht nur Budgets, Arbeitsprozesse und Reputation, sondern schlage sich auch auf die Stimmung des Personals nieder. Druck und Belastung nähmen zu – Frustration, Stress und schließlich gesundheitliche Auswirkungen könnten Folgen sein. Was die stetig wachsende Bedrohung durch Cyber-Gefahren tatsächlich für den Arbeitsalltag der IT-Teams bedeutet, hat eine Sophos-Umfrage untersucht. Die Befragung wurde laut Sophos im August und September 2024 von techconsult im Auftrag unter 202 IT-Mitarbeitern aus Industrie, Handel, Banken und Versicherungen, Öffentlicher Verwaltung, Telekommunikation, Dienstleistungen und Versorgungsunternehmen in kleinen, mittleren und großen deutschen Betrieben durchgeführt.

Frust gehört für 75 Prozent der IT-Verantwortlichen zum Arbeitsalltag

24,3 Prozent seien von ihren Aufgaben in der Cyber-Abwehr „dauerhaft frustriert“. Bei den Betrieben bis 1.000 Mitarbeitern variiere der Wert nur minimal – in Unternehmen mit über 1.000 Angestellten scheine die Belastung mit 17,9 Prozent etwas geringer zu sein, was durch die Angabe bestätigt werde, dass 33,3 Prozent der IT-Mitarbeiter in Großunternehmen angäben, „gar nicht frustriert“ zu sein.

Im Gegensatz dazu gäben IT-Verantwortliche in kleinen Unternehmen bis 50 Mitarbeitern nur zu 16,7 Prozent an, „keine Frustration“ zu spüren. Der „frustrationsfreie“ Durchschnitt über alle Unternehmensgrößen liege bei 25,7 Prozent. Im Bereich Cyber-Sicherheit „hin und wieder frustriert“ zu sein, bestätige mit 50 Prozent die Hälfte aller IT-Sicherheitsmitarbeiter, womit insgesamt dreiviertel aller Befragten mit Ermüdungserscheinungen im Duell mit Cyber-Kriminellen zu kämpfen hätten.

Stärkste Belastung für IT-Sicherheitspersonal durch Zunahme der Cyber-Bedrohungen

Die stärkste Belastung (45,3%) für das IT-Sicherheitspersonal gehe im Durchschnitt branchenweit von der generellen Zunahme an Cyber-Bedrohungen aus. Auch hierbei sei wieder eine große Diskrepanz hinsichtlich der Unternehmensgröße auffällig: „Während Firmen bis 49 Mitarbeitenden diesen Punkt nur zu 36 Prozent hervorheben, ist er bei Unternehmen mit über 1.000 Mitarbeitenden unangefochten auf Platz 1.“

An zweiter Stelle sorge mit 40,7 Prozent branchenübergreifend der erhöhte Druck seitens der Unternehmensführung für Stress. Bei Betrieben mit bis zu 49 Mitarbeitern und jenen mit 250 bis 999 Angestellten liege der „Druck von oben“ mit 44 beziehungsweise 46,9 Prozent sogar auf Platz 1 der Frustrationsgründe. Konzern-Angestellte, für die Cyber-Sicherheit wahrscheinlich schon länger ein essenzielles Thema sei, fühlten sich mit 23,1 Prozent in der Cheffrage deutlich weniger belastet.

Weitere Gründe für Ermüdung der IT-Kräfte u.a. Monotonie und Routine

Zu den weiteren Gründen für eine Ermüdung der IT-Kräfte sorgten Monotonie und Routine (30,7% im Durchschnitt), schwere Nachverfolgung von Cyber-Attacken aufgrund unterschiedlicher Security-Lösungen (24,7%), Überlastung durch ständige Alarme und Warnungen von Cyber-Sicherheits-Tools (19,3%) sowie mangelndes Wissen der Mitarbeiter über Cyber-Bedrohungen und unangepasstes Verhalten (18,7%).

Doch es gebe auch einen Lichtblick: Die Mehrheit (49,3%) der Befragten über alle Unternehmensgrößen hinweg sei in die Offensive gegangen, habe bestehende Probleme bei Vorgesetzten angesprochen – und daraufhin seien Wege gefunden worden, diese ganz oder zum Teil zu lösen. Dieses Vorgehen habe allerdings bei den Unternehmen mit 1.000 und mehr Mitarbeitern nur sehr viel seltener zum Erfolg geführt – dort gäben nur 26,9 Prozent an, positive Erfahrungen gemacht zu haben. In dieser Unternehmensgröße auf Platz 1 liege mit 38,5 Prozent die Angabe, eine Mitteilung sei noch nicht erfolgt, aber geplant. „Negativ fiel auf, dass über alle Unternehmensgrößen hinweg jeder vierte Befragte feststellen musste, dass sich trotz Mitteilung an Vorgesetzte nichts änderte.“

In den allermeisten IT-Abteilungen dringender Handlungsbedarf hinsichtlich Cyber-Sicherheit

„Die Ergebnisse zeigen deutlich, dass in den allermeisten IT-Abteilungen dringender Handlungsbedarf besteht, was die Cyber-Sicherheit angeht“, kommentiert Michael Veit, Cybersecurity-Experte bei Sophos. Dem steigenden Frustlevel stünden leider ganz handfeste Probleme wie der Fachkräftemangel, inhomogene IT-Systeme oder fehlende Budgets gegenüber. „Während bei den größeren Unternehmen eine dedizierte IT-Security-Strategie oftmals schon Normalität ist, fehlt diese bei KMUs oftmals noch oder ist nur halbherzig umgesetzt“, berichtet Veit. Das Ergebnis sei dann „enormer Stress, der durch die aktuelle Umfrage nun noch einmal deutlich gemacht wird“.

Als Lösung für die angesprochenen Probleme und damit auch eine Reduzierung des Frustfaktors bei den Mitarbeitern böten sich vor allem moderne Security-as-a-Service-Lösungen an, mit denen Unternehmen aller Größen schnell und unkompliziert ein Cybersecurity-Expertenteam an Bord holen könnten, um die eigene IT-Abteilung zu entlasten. Veit abschließend als Beispiel: „Mit ,Sophos MDR’ helfen wir so weltweit schon über 24.000 Unternehmen, mehr Ruhe und Verlässlichkeit in den IT-Alltag zu bringen.“

[datensicherheit.de, 18.05.2024] „Vor Kurzem wurde bekannt, dass ein Mitarbeiter eines Entwicklungsunternehmens für Passwortmanager das Ziel eines Deepfake-Phishing-Angriffs wurde, bei dem sich der Angreifer als ,CEO’ des Unternehmens ausgab“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in einer aktuellen Stellungnahme. In diesem Fall sei positiv zu vermelden: „Dank seiner Schulung konnte der Mitarbeiter jedoch die verdächtigen Anzeichen des Angriffs rechtzeitig erkennen und ließ sich nicht täuschen.“ Dieser Vorfall mache indes deutlich, „wie hoch das Risiko solcher Angriffe ist und dass sie Unternehmen jeder Branche betreffen können“. Zugleich zeige er, wie entscheidend die Sensibilisierung der Mitarbeiter für eine wirksame Verteidigung sei.

Foto: KnowBe4

Dr. Martin J. Krämer warnt: Deepfakes nutzen generative KI, um Audio- und/oder visuelle Muster zu kombinieren und so authentisch wirkende Aufnahmen zu erstellen!

Kontaktierter Mitarbeiter erkannte Deepfake-Angriff und machte Meldung

Bei dem besagten Vorfall habe ein Mitarbeiter mehrere Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht erhalten, welche alle durch den Einsatz von Deepfake-Technologie die Stimme des „CEO“ nachgeahmt hätten. Der betreffende Mitarbeiter habe jedoch verdächtige Merkmale des Angriffs bemerkt: „Die Kommunikation fand außerhalb der üblichen Geschäftskanäle statt und es wurde eine künstliche Dringlichkeit vermittelt.“ Daraufhin habe er den Vorfall umgehend dem internen Sicherheitsteam gemeldet.

IT-Sicherheitsexperten warnten zudem vor der zunehmenden Verbreitung von Deepfake-Technologien und betonten, wie wichtig es sei, das Bewusstsein für derartige Angriffe zu schärfen. Dr. Krämer führt hierzu aus: „Deepfakes nutzen generative Künstliche Intelligenz, um Audio- und/oder visuelle Muster zu kombinieren und so authentisch wirkende Aufnahmen zu erstellen.“ Diese Technologie sei nicht nur mit politischer Desinformation in Verbindung gebracht worden, sondern gebe auch im privaten Sektor zunehmend Anlass zur Sorge, da sie leicht zugänglich sei und potenziell für betrügerische Aktivitäten genutzt werden könne.

Deepfake-Phishing-Angriffe haben für Unternehmen erhebliches Schadens-Potenzial

„Einmal erfolgreich durchgeführt, könnten solche Angriffe schwerwiegende Konsequenzen haben“, warnt Dr. Krämer. Von der Offenlegung vertraulicher Informationen bis hin zu finanziellen Verlusten oder sogar dem Zugang zu sensiblen Systemen und Datenbanken könnte ein Deepfake-Phishing-Angriff erhebliche Schäden verursachen. Die Tatsache, dass der Mitarbeiter in diesem Fall die verdächtigen Merkmale des Angriffs erkannt und reagiert habe, zeige, dass eine umfassende Schulung und Sensibilisierung für solche Bedrohungen unerlässlich seien.

„Die potenziellen Auswirkungen von Deepfake-Angriffen auf Unternehmen sind vielfältig und können von Rufschädigung bis hin zu finanziellen Verlusten reichen.“ Daher sei es entscheidend, dass Unternehmen nicht nur auf reaktive Maßnahmen setzten, sondern auch proaktiv handelten, um sich gegen diese Bedrohungen zu wappnen. Dr. Krämer betont: „Das umfasst nicht nur technologische Lösungen, sondern auch eine Sensibilisierung der Mitarbeiter für die Risiken von Deepfakes und die Förderung einer Sicherheitskultur und Wachsamkeit in der gesamten Organisation!“ Letztendlich erfordere der Kampf gegen Deepfake-Bedrohungen eine ganzheitliche Strategie, die sowohl technologische Innovationen als auch menschliche Intelligenz umfasse.

Weitere Informationen zum Thema:

datensicherheit.de, 20.02.2024
Deepfakes: Vielfältige Betrugsversuche / Es gibt aber auch konstruktive Anwendungen für Deepfake-Prinzipien

datensicherheit.de, 19.09.2023
Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI / Deepfake-Wahlwerbespots könnten mit computergenerierten Bildern von Kandidaten erstellt werden

datensicherheit.de, 22.06.2022
Deepfakes bald Standardrepertoire Cyber-Krimineller / Vor allem Soziale Plattformen als neue Spielwiese zur Verbreitung von Deepfake-Material genutzt

[datensicherheit.de, 26.11.2023] Kaspersky berichtet in einer aktuellen Stellungnahme über beeindruckende Erkenntnisse zu Bedrohungsakteuren, werden doch zumeist externe Gefahren in Gestalt sogenannter Hacker als bedrohlich empfunden: Indes sind laut Kaspersky 37 Prozent aller Cyber-Sicherheitsvorfälle in Unternehmen in Deutschland auf menschliches Fehlverhalten zurückzuführen – 15 Prozent der Vorfälle seien durch bewusste Verstöße des IT-Fachpersonals verursacht und in 17 Prozent der Fälle handelten die betreffenden Mitarbeiter in böser Absicht. Die maßgebliche Umfrage wurde demnach von Arlington Research im Auftrag von Kaspersky im September 2023 durchgeführt. Dabei seien IT-Sicherheitsexperten aus 1.260 Unternehmen unterschiedlicher Größenordnungen (mit mindestens 100 Mitarbeitern) und Branchen in insgesamt 19 Ländern befragt worden – 90 der Befragten stammten aus Deutschland.

Nahezu jeder dritte Sicherheitsvorfall auf die Reaktion von Mitarbeitern auf Phishing-Attacke zurückzuführen

„In den vergangenen zwei Jahren waren mehr als ein Drittel (37%) aller Cyber-Sicherheitsvorfälle in Deutschland auf das Fehlverhalten von Mitarbeitern zurückzuführen.“ Hacker verantworteten lediglich rund 27 Prozent der Cyber-Sicherheitsvorfälle. Häufig hätten die Sicherheitsvorfälle in Zusammenhang mit Nachlässigkeit gestanden, jedoch seien 30 Prozent auf Phishing-Angriffe zurückführen. 15 Prozent der Verstöße seien bewusst durch IT-Fachpersonal begangen worden, acht Prozent sogar durch IT-Sicherheitsbeauftragte.

Nahezu jeder dritte Sicherheitsvorfall (30%) sei auf die Reaktion von Mitarbeitern auf eine Phishing-Attacke zurückzuführen gewesen. „Häufig standen die Sicherheitsvorfälle jedoch in Zusammenhang mit Nachlässigkeit: So erfolgten 19 Prozent der Vorfälle aufgrund von nicht zum erforderlichen Zeitpunkt aktualisierter System- oder Anwendungssoftware. Weitere 17 Prozent gingen auf den Besuch unsicherer Websites zurück und elf Prozent auf die Verwendung schwacher oder nicht rechtzeitig geänderter Passwörter.“

Alarmierend: Häufige Nutzung sogenannter Schatten-Software durch Mitarbeiter

Alarmierend sei auch die häufige Nutzung nicht autorisierter Geräte beziehungsweise sogenannter Schatten-Software. In mehr als jedem fünften Unternehmen (21%) sei es zu Vorfällen gekommen, „weil Mitarbeiter nicht autorisierte Systeme für den Datenaustausch nutzten“. In ebenso vielen Unternehmen habe das Versenden von Daten an private E-Mail-Adressen zu Cyber-Sicherheitsvorfällen geführt. „Bei jeweils 19 Prozent der Fälle nutzten Mitarbeiter nicht genehmigte Geräte für den Datenzugriff beziehungsweise nicht autorisierte Schatten-IT auf Arbeitsgeräten.“

Weiterhin hätten Unternehmen mit absichtlichen Fehlverhalten von Mitarbeitern zu kämpfen. „Bei 17 Prozent der Vorfälle in Unternehmen in Deutschland handelten die Mitarbeiter in böser Absicht und zum eigenen Vorteil.“ Weltweit sei dieses Verhalten besonders im Finanzsektor verbreitet: „In mehr als jedem dritten Unternehmen (34%) kam es zu derartigen absichtlichen und zielgerichteten Sicherheitsverletzungen von Mitarbeitern.“

Mitarbeiter aller Abteilungen und jeder Rolle können bewusst oder unabsichtlich Cyber-Sicherheit bedrohen

„Neben externen Cyber-Sicherheitsrisiken führen auch viele interne Faktoren zu Sicherheitsvorfällen in Unternehmen“, berichtet Alexey Vovk, „Head of Information Security“ bei Kaspersky. Er führt weiter aus: „Wie unsere Analyse zeigt, können Mitarbeiter aus allen Abteilungen und in jeder Rolle absichtlich oder unabsichtlich die Cyber-Sicherheit negativ beeinflussen. Das unterstreicht die Bedeutung von Maßnahmen zur Verhinderung von Sicherheitsverletzungen, zum Beispiel über die Implementierung eines integrierten Ansatzes zur Cyber-Sicherheit.“

Weltweit gehe ein Viertel aller Cyber-Vorfälle auf bewusste Verstöße gegen existierende Cyber-Sicherheitsrichtlinien zurück, während mehr als ein Drittel der Vorfälle auf menschliches Fehlverhalten zurückzuführen seien. Unternehmen sollten daher von Anfang an eine starke Cyber-Sicherheitskultur aufbauen: Cyber-Sicherheitsrichtlinien müssten definiert und durchgesetzt und das Bewusstsein für Cyber-Sicherheit in den Köpfen der Mitarbeiter verankert werden. Dadurch würden die Mitarbeiter verantwortungsbewusster mit den Richtlinien umgehen und sich über die möglichen Folgen von Verstößen im Klaren sein.

Kaspersky-Empfehlungen zum Schutz der Unternehmensinfrastruktur unter Berücksichtigung der Relevanz der Mitarbeiter:

• Cyber-Sicherheitsprodukte (wie z.B. „Kaspersky Endpoint Security for Business“) implementieren, welche die Verwendung unerwünschter Anwendungen, Websites und Peripheriegeräte einschränken und so das Infektionsrisiko verringern.
• Lösungen nutzen, welche über „Advanced-Anomaly-Control“ verfügen (etwa „Kaspersky Endpoint Detection and Response“), um ungewöhnliches Verhalten von Nutzern sowie von Angreifern, die bereits Kontrolle über das System ergriffen haben, zu erkennen und zu blockieren.
• Den Datentransfer in das System hinein und aus dem System heraus überwachen und den Datenfluss kontrollieren und filtern (beispielsweise mittels „Kaspersky Endpoint Security Cloud“).
• Geeignete Lösungen nutzen, damit Inhalte gefiltert und jegliche unerwünschte Datenübertragung verhindert wird, unabhängig von deren Art, dem Schutzstatus der Plattform und dem Nutzerverhalten an den Endpunkten im Netzwerk (empfohlen wird „Kaspersky Security for Internet Gateway“).

Weitere Informationen zum Thema:

kaspersky daily
Redefining the Human Factor in Cybersecurity / Adopting a Human Factor 360° model to assess the global cybersecurity landscape

datensicherheit.de, 04.04.2023
Selbstüberschätzung: Mitarbeiter gefährden Cyber-Sicherheit in Unternehmen / Mehr als die Hälfte der Erwachsenen in Deutschland der Meinung, überdurchschnittliche Kenntnisse in Sachen Cyber-Sicherheit zu besitzen

datensicherheit.de, 15.02.2022
Früherer Arbeitgeber bedroht: Mehrzahl ehemaliger Mitarbeiter hat weiterhin Zugriff auf Daten / Aktuelle Studie von Beyond Identity unter mehr als 1.000 Arbeitgebern und Arbeitnehmern zeigt gefährlichen Trend

[datensicherheit.de, 04.04.2023] Mehr als die Hälfte (57%) der Erwachsenen in Deutschland sei der Meinung, überdurchschnittliche Kenntnisse in Sachen Cyber-Sicherheit zu besitzen – die Realität sehe allerdings anders aus, so dass Mitarbeiter oft den Schutz von Unternehmen gefährdeten. „Denn ein Viertel wurde bereits Opfer einer Phishing-Attacke; weiter teilt die Mehrheit persönliche Informationen in Sozialen Netzwerken und nutzt solche auch zur Passwortvergabe.“ Diese Ergebnisse gründen sich auf eine aktuelle Kaspersky-Studie.

50% der Befragten verleugnen allgegenwärtiges Risiko, selbst Opfer von Phishing-Attacken zu werden

„Da viele Mitarbeiter zumindest teilweise von zu Hause aus arbeiten und Firmengeräte auch für private Zwecke einsetzen, gefährdet eine nachlässige Einstellung hinsichtlich Cyber-Sicherheit Unternehmen“, so die Warnung. Unvorsichtige Mitarbeiter liefen Gefahr, Unternehmensnetzwerke Phishing, Trojanern oder sogenannter Spyware auszusetzen, welche sensible und/oder vertrauliche Informationen kompromittieren und stehlen könnten.

Laut aktueller Kaspersky-Umfrage bescheinigten sich indes 57 Prozent der Erwachsenen ab 16 Jahren in Deutschland „überdurchschnittliche Kenntnisse“ in Sachen Cyber-Sicherheit, rund jeder zehnte (11%) sei der eigenen Ansicht nach sogar „Profi“ in diesem Bereich.

Jedoch verleugneten 50 Prozent der Befragten das allgegenwärtige Risiko, selbst Opfer von Phishing-Attacken zu werden – obwohl jeder vierte Erwachsene (25%) bereits konkret von einem Phishing-Angriff betroffen gewesen sei.

Cyber-Sicherheitsrisiken im Prinzip bekannt…

Zwar seien die Cyber-Sicherheitsrisiken bekannt, dennoch sei eine Mehrheit der befragten Erwachsenen in Deutschland (54%) bereit, persönliche Daten wie Namen oder Wohnort in Sozialen Medien zu teilen. 49 Prozent nähmen dort an Quiz-Spielen teil, bei denen zum Beispiel nach Namen von Haustieren gefragt werde – nicht ohne Hintergrund, denn 47 Prozent der Befragten nutzten genau diese leicht zu merkenden Informationen als Gedächtnisstütze für ihre Passwörter. Dies gefährde privat als auch beruflich genutzte Passwörter gleichermaßen.

„Obwohl sie sich der Risiken bewusst sind, entscheiden sich viele Erwachsene sowohl im Privat- als auch im Berufsleben immer noch für eine zu lasche Einstellung hinsichtlich Cyber-Sicherheit“, sagt Christian Funk, Leiter des „Global Research and Analysis Team“ (GReAT) in der Region „DACH“ bei Kaspersky. Er betont: „Die Sicherheit der eigenen Daten zu gefährden ist das Eine, ein nachlässiger Umgang mit Unternehmensdaten hingegen gefährdet den Arbeitgeber und möglicherweise auch den eigenen Arbeitsplatz. Während jeder Einzelne in der Pflicht steht, verantwortungsbewusst zu handeln und cyber-sicher zu agieren, haben Unternehmen die Aufgabe aufzuklären.“

Es sei in ihrem eigenen Interesse, entsprechende Cyber-Sicherheitsrichtlinien zu implementieren und ihre Mitarbeiter zu schulen. Die meisten Cyber-Angriffe auf Unternehmenssysteme begännen damit, „dass einzelne Mitarbeiter dazu verleitet werden, etwas zu tun, das letztendlich die Sicherheitsprozesse gefährdet“. Für eine nachhaltige Unternehmenssicherheit sei es also wichtig, das Cybersecurity-Bewusstsein aller Beteiligten zu schärfen und entsprechende Kompetenzen zu vermitteln sowie eine korrekte Fehlerkultur zu schaffen, welche es Mitarbeitern ermögliche, der IT oder dem Sicherheitsbeauftragten einen Fehlklick zu melden, ohne Konsequenzen befürchten zu müssen. Funk abschließend: „Nur so kann schnellstmöglich deeskalierend entgegengewirkt werden.“

Kaspersky-Empfehlungen für mehr Cyber-Sicherheit:

• Sichere und eindeutige Passwörter für jedes einzelnen Online-Account verwenden!
• Mitarbeiter im sicheren Umgang mit Daten und Informationen schulen!
• In E-Mails von unbekannten Absendern nicht auf Links klicken oder Anhänge öffnen!
• Eine bewähre Sicherheitslösung (wie z.B. „Kaspersky Endpoint Detection and Response“) nutzen, welche alle Geräte umfassend vor Bedrohungen schützt!

Weitere Informationen zum Thema:

kaspersky, April 2023
Ignorance is Bliss: Most adults are leaving themselves open to cybercrime, despite knowing the dangers

kaspersky, 28.02.2023
Kinder überschätzen eigene Cybersicherheitsexpertise / Hälfte der Kinder kann Phishing-Webseiten nicht erkennen…