[datensicherheit.de, 24.09.2025] „Um Aufgaben im Arbeitsalltag schneller und effektiver zu erfüllen, ist die Suche nach Abkürzungen gang und gäbe“, so Thomas Müller-Martin, „Field Strategist DACH“ bei Omada, in seiner aktuellen Stellungnahme. Er gibt zugleich folgenden warnenden Hinweis: „In Kombination mit dem technologischen Fortschritt erreicht die Effizienz menschlicher Arbeit so immer neue Höhen und das bringt Unternehmen unwissentlich in eine Zwickmühle: Die zwischen Sicherheit und Produktivität!“ Wenn ein engagierter Mitarbeiter nämlich einen Weg findet, seine Arbeit schneller oder besser zu erledigen, die Bearbeitung von Zugriffsanfragen durch die IT-Abteilung aber zu lange dauert oder zu kompliziert ist, dann finde dieser oftmals „kreative“ Lösungen, um trotzdem weiterarbeiten zu können. Solche „Workarounds“ entstehen demnach selten aus böser Absicht. Allerdings stellten sie gravierende Sicherheitslücken dar, derer sich viele Beschäftigte und Führungskräfte nicht bewusst seien. Die aktive Gestaltung von „Identity Management“ aber erlaube Synergieeffekte – zur gleichzeitigen Steigerung von Produktivität und Sicherheit. „Neue Technologien und Ansätze lösen diesen klassischen Balanceakt, und machen gelebte Cybersecurity zu einem strategischen Vorteil für Unternehmen.“

Foto: Omada

Thomas Müller-Martin warnt vor „Workarounds“ – diese seien oft ein Symptom für ineffiziente oder überkomplexe Prozesse…

„Schnellstraßen“ für Hacker: Die „Abkürzungen“ der Mitarbeiter

Müller-Martin führt aus: „Ob der Versand vertraulicher Daten über private Filesharing-Dienste, das Teilen von Passwörtern per Chat oder der Einsatz nicht genehmigter ,Tools’: Improvisierte Lösungen sind aus Sicht der Mitarbeiter manchmal schneller als offizielle Freigaben durch die IT-Abteilung oder Führungskräfte.“

• Doch wenn Mitarbeiter und Führungskräfte hierbei abkürzten, böten sie Hackern an, das Gleiche zu tun, denn: „Wer Sicherheitsvorgaben umgeht, vergrößert auch die Angriffsfläche des Unternehmens!“

„Doch was ist mit „Abkürzungen“ gemeint?“ Müller-Martin benennt nachfolgend zwei Beispiele, um die Gefahrenquelle deutlicher zu machen:

1. Beispiel: Geteilte Administrator-Accounts

„In Projekten mit engem Zeitplan passiert es häufig, dass mehrere Teammitglieder ein einziges Administrator-Konto nutzen, weil das Anlegen individueller Berechtigungen vermeintlich zu lange dauert.“

• Das Sicherheitsrisiko: Die Nutzung geteilter Konten zerstöre die Nachvollziehbarkeit („Wer hat was wann getan?“) und mache Anomalie-Erkennung fast unmöglich. „Für Hacker ist das ein gefundenes Fressen: Werden Passwörter zwischen Kollegen im Klartext geteilt, sind diese einfacher abzufangen, und werden seltener gewechselt!“

Einmal gekapert, könnten Angreifer unter diesem Sammelkonto länger unentdeckt agieren. „Kommt es dann zu einem Sicherheitsvorfall, lässt sich die Verantwortung nicht zuordnen.“

2. Beispiel: Privater „Cloud“-Speicher für schnellen Datenaustausch

„Wenn externe Partner kurzfristig Zugriff auf große Dateien brauchen, greifen Mitarbeiter oft zu privaten ,Cloud’-Diensten wie ,Dropbox’ oder ,Google Drive’, statt auf den freizugebenden, aber geschützten Unternehmensspeicher zu warten.“

• Das Sicherheitsrisiko: „Der Transfer findet komplett außerhalb der Identitäts- und Zugriffskontrolle des Unternehmens statt – keine Richtlinien, keine Rezertifizierung, keine automatisierte Rechteentziehung.“

Daten verblieben unter Umständen dauerhaft im privaten Account und damit außerhalb des Geltungsbereichs der Sicherheits- und „Compliance“-Vorgaben.

Aus Sicht der IT-Sicherheit drohen eigenmächtige Vorgehensweisen zum „blinden Fleck“ zu werden

Besonders problematisch werde es, wenn Praktiken wie die beiden oben genannten zur Gewohnheit werden. „Zudem darf man nicht vergessen: Es ist ausgesprochen unwahrscheinlich, dass lediglich ein Mitarbeiter diese Beispiele von ,Schatten-IT’ praktiziert.“

• Oft gebe es vielfältige Arten von „Workarounds“ in Eigenregie, welche sich von Mitarbeiter zu Mitarbeiter unterschieden. „So kumulieren sich Gefahrenquellen!“

Aus Sicht der IT-Sicherheit seien solche Vorgehensweisen ein „blinder Fleck“: „Sie tauchen in keinem offiziellen Prozessdiagramm auf, bleiben in Zugriffsprotokollen unsichtbar und entziehen sich gängigen Kontrollmechanismen.“

Zeitdruck oftmals Einfallstor für Angriffe auf betriebliche IT

Cyberkriminelle wüssten, „wie sehr moderne Organisationen auf Geschwindigkeit angewiesen sind“. Sie nutzten menschliche Faktoren gezielt aus: Über „Social Engineering“, Phishing und den so erbeuteten Missbrauch legitimer Zugangsdaten. Ein kompromittiertes Mitarbeiterkonto, das durch einen „Workaround“ zusätzliche Berechtigungen erhalten habe, könne in kürzester Zeit massiven Schaden anrichten. Studien zeigten, dass der Missbrauch von Identitäten längst zu den häufigsten Einfallstoren für Angriffe zähle.

• Traditionell habe in vielen Unternehmen gegolten: „Je strenger die Sicherheitsvorgaben, desto langsamer die Prozesse.“ Diese Sichtweise sei überholt. Moderne Ansätze in der „Identity Governance and Administration“ (IGA) zeigten, dass Sicherheit und Effizienz kein Widerspruch sein müssten.

„Automatisierte Genehmigungs-Workflows, rollenbasierte Zugriffskonzepte und kontextabhängige Freigaben machen es möglich, Zugriffe schnell und kontrolliert zu vergeben.“ Dafür brauche es keine monatelangen Rollendefinitionen oder langwierigen manuellen Prüfungen mehr. Automatisierte Zugriffsprozesse reduzierten nicht nur den administrativen Aufwand, sondern nähmen Mitarbeitern auch den Anreiz, eigene, unsichere Lösungen zu suchen. „So führen gute Absichten auch nicht zu unabsichtlichen Sicherheitslücken“, gibt Müller-Martin zu bedenken.

Das Risiko der schleichenden IT-Berechtigungsausweitung im Dunkeln

Ein weiteres Problem: „Einmal erteilte Zugriffsrechte werden oft nicht wieder entzogen. Viele sogenannte verwaiste Konten mit vielen und ggf. privilegierten Berechtigungen bleiben ungenutzt, werden vergessen und stellen damit ein Sicherheitsrisiko dar.“

• In einem hektischen Arbeitsumfeld führe dies schnell zu einer schleichenden Berechtigungsausweitung im Dunkeln. Regelmäßige Überprüfungen und automatisierte Rezertifizierungen seien deshalb kein bürokratischer Luxus, sondern notwendige Prävention.

„Reaktive Sicherheitsstrategien greifen deshalb oft zu spät. Wer erst nach einem Vorfall prüft, welche Konten kompromittiert wurden, hat den Schaden meist schon erlitten.“ IGA ermögliche es, Risiken im Zugriffsumfeld in Echtzeit zu erkennen und proaktiv zu handeln – „etwa, wenn ein Mitarbeiter plötzlich auf Systeme zugreift, die nicht zu seinem Aufgabenbereich gehören“.

IT-Sicherheit als unternehmerische Kulturfrage

Technologie allein löse das Problem nicht. Unternehmen müssten eine Kultur fördern, in der Sicherheit nicht als Hindernis, „sondern als selbstverständlicher Teil der Arbeit verstanden wird“. Dazu gehöre, „dass Prozesse so gestaltet sind, dass Mitarbeiter keinen Grund haben, sie zu umgehen“. Müller-Martin unterstreicht: „Nur wenn IT, Fachbereiche und Sicherheitsverantwortliche gemeinsam daran arbeiten, lassen sich ,Workarounds’ auflösen, bevor sie entstehen.“

• Denn „Workarounds“ seien oft ein Symptom für ineffiziente oder überkomplexe Prozesse. Diese machten Unternehmen nicht schneller, sondern angreifbarer. „Wer sie verhindern will, muss Sicherheit und Geschwindigkeit als gleichrangige Ziele behandeln, Mitarbeiter fragen, was sie für ihre Arbeit brauchen, und den Zugang zu Systemen so gestalten, dass er ebenso reibungslos wie kontrolliert ist!“

Abteilungswechsel, Beförderungen und Projekte gehörten indes zum Alltag eines jeden Unternehmens. Müller-Martins Fazit: „Passen sich Berechtigungen automatisch an neue Aufgabenbereiche an, arbeiten Mitarbeiter produktiver. Die administrative Last von Rezertifizierungen und Genehmigungen im Management wird reduziert, und es gibt weniger Tickets in der IT. Sicherheitsvorfällen wird aktiv vorgebeugt.“

Weitere Informationen zum Thema:

Omada by tp-link
Streben nach Exzellenz. Auf der Suche nach Möglichkeiten

Omada
Webinar: Jenseits des klassichen IGA: Identity Governance, der Hidden Champion der Identity Fabric / Referent: Thomas Müller-Martin, Lead Architect, Omada / Co-Speaker: David Johnson, Lead Consultant, iC Consult (On-demand-Webinar)

IBM
Cost of a Data Breach Report 2024

datensicherheit.de, 10.03.2023
Identity Lifecycle Management – das A und O der IT-Sicherheit / Von Audit bis zum Onboarding

datensicherheit.de, 16.11.2022
Schatten-IT verhindern: Datensicherheit und Nutzerfreundlichkeit in Einklang bringen / Durch geeignete IT-Lösungsangebote für Mitarbeiter die Verwendung illegaler Software reduzieren und die Datensicherheit stärken

datensicherheit.de, 01.12.2020
NetMotion: Die Top-5 der Schatten-IT in Unternehmen / 62 Prozent der mobilen Mitarbeiter nutzen Schatten-IT

datensicherheit.de, 02.06.2019
One Identity-Umfrage: IAM-Praktiken schwierig umzusetzen / Nachlässigkeit erhöht das Sicherheitsrisiko

[datensicherheit.de, 05.05.2025] Laut einer aktuellen Stellungnahme von Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, hat KnowBe4 vor Kurzem unter Teilnehmern von Anti-Phishing-Trainings und -Tests eine internationale Umfrage durchgeführt: „Befragt wurden Mitarbeiter aus europäischen, nordamerikanischen und afrikanischen Unternehmen. Rund 90 Prozent gaben an, Phishing-Tests für sinnvoll zu halten. Knapp 91 Prozent erklärten, dass die Tests ihr Bewusstsein für das Risiko von Phishing-Angriffen erhöht hätten.“

Foto: KnowBe4

Dr. Martin J. Krämer: Einige spezialisierte Anbieter haben mittlerweile auch moderne Anti-Phishing-E-Mail-Filter im Angebot

Zahlreiche Vorurteile über Phishing-Tests im Umlauf

Nach wie vor seien zahlreiche Vorurteile über Phishing-Tests im Umlauf, welche deren Sinnhaftigkeit in Frage stellten. „Es wird bezweifelt, dass die Tests das Risikobewusstsein der Teilnehmer erhöhen, sie zu den richtigen Schlussfolgerungen befähigen“, berichtet Krämer. Sie würden gar solche Tests mehrheitlich ablehnen, da sie nicht ausreichend an ihrem konkreten Arbeitsalltag orientiert seien, die tatsächlichen digitalen Risiken gar nicht oder nur zum Teil realistisch wiedergeben würden.

Entsprechend könne das Gelernte von Teilnehmern kaum konkret angewandt werden. „Und schließlich stünde der Fortbildungsgedanke zu selten im Fokus der Tests, fehle es am erforderlichen Support, mangele es an Nachbearbeitungsmöglichkeiten, für den Fall, dass ein Teilnehmer einmal auf einen Phishing-Test hereinfallen sollte.“ Letztlich werde kaum dazugelernt.

Tests konnten indes durchschnittliche Phishing-Klickrate von 34,3 auf 4,6 Prozent senken

Krämer kommentiert: „Dass diese Vorurteile größtenteils unbegründet sind, zeigen nun die Ergebnisse der jüngsten Umfrage von KnowBe4. Bereits Phishing-Testdaten aus dem ,KnowBe4 Phishing Benchmarking-Report’ von 2024 hatten anschaulich demonstriert, dass regelmäßige Tests und Schulungen eine erhebliche Wirkung entfalten können.“ Innerhalb eines Trainings- und Testzyklus von nur einem Jahr, so der Report, sinke die durchschnittliche Phishing-Klickrate von 34,3 auf 4,6 Prozent – „ein Rückgang um sage und schreibe 86 Prozent“.

Krämer führt weiter aus: „Dass Mitarbeiter dies zu schätzen wissen, die Tests befürworten und nicht ablehnen, zeigen die Ergebnisse der jüngsten KnowBe4-Befragung. Länder- und branchenübergreifend gaben über 90 Prozent aller Mitarbeiter an, die Phishing-Tests an ihren Unternehmen als relevant für die Stärkung ihres eigenen Phishing-Risikobewusstseins zu sehen.“

Zahlreiche Verbesserungen von Phishing-Tests in den vergangenen Jahren stärken Motivation

Auch der bemängelte fehlende Bildungsgedanke sei in den vergangenen Jahren weitgehend ausgemerzt worden. „Im Durchschnitt erhalten mittlerweile knapp 70 Prozent aller Mitarbeiter im Fall eines gescheiterten Phishing-Tests Nachschulungen – wobei die Zahlen in den USA mit 85 Prozent deutlich besser, in Frankreich mit erst knapp 57 Prozent deutlich schlechter liegen.“

Dies hänge nicht zuletzt auch mit den zahlreichen Verbesserungen von Phishing-Tests in den vergangenen Jahren zusammen. Moderne Phishing-Trainings, -Schulungen und -Tests ließen sich mittels Künstlicher Intelligenz (KI) mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. Einige auf Anti-Phishing spezialisierte Anbieter hätten mittlerweile auch moderne Anti-Phishing-E-Mail-Filter im Angebot. Sie kombinierten KI mit „Crowdsourcing“, um so selbst neueste „Zero Day“-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können. „Im Gegensatz zu herkömmlichen Lösungen, können diese alle Elemente einer E-Mail ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und der Social-Engineering-Taktiken.“

Weitere Informationen zum Thema:

KnowBe4, 2024
PHISHING BY INDUSTRY BENCHMARKING REPORT / 2024 EDITION

datensicherheit.de, 09.04.2025
Neue Mitarbeiter: Vom Sicherheitsrisiko zum Verfechter der betrieblichen Cyber-Sicherheitsstrategie / Miro Mitrovic gibt vier Tipps für Unternehmen beim Onboarding neuer Mitarbeiter zur Integration in die eigene Cyber-Verteidigung

datensicherheit.de, 26.11.2023
IT – Interner Täter: Mitarbeiter noch größere Gefahr als Hacker / In den vergangenen zwei Jahren mehr als ein Drittel aller Cyber-Sicherheitsvorfälle in Deutschland auf Fehlverhalten von Mitarbeitern zurückzuführen

datensicherheit.de, 15.07.2023
KnowBe4 warnt: Hälfte der E-Mails laut Phishing-Tests HR-bezogen / KnowBe4 hat globalen Phishing-Bericht für das zweite Quartal 2023 veröffentlicht

[datensicherheit.de, 09.04.2025] Cyber-Bedrohungen entwickeln sich mit zunehmender Digitalisierung und Vernetzung rasant – mit den neuen Chancen erwachsen auch neue Risiken für die Sicherheit, dabei haben die meisten Cyber-Angriffe vorrangig eine menschliche Komponente. Miro Mitrovic, „Area Vice President DACH“ bei Proofpoint, betont in seiner aktuellen Stellungnahme, dass sich rund 90 Prozent der Cyber-Angriffe auf menschliches Fehlverhalten zurückführen lassen. Um dieser Herausforderung zu begegnen, müssten Unternehmen ihre neuen Mitarbeiter von Anfang an in ihre Sicherheitsstrategie einbinden. Ein effektives Onboarding-Programm für Cyber-Sicherheit sei entscheidend, um neue Kollegen in die Lage zu versetzen, verdächtige Aktivitäten zu erkennen und angemessen darauf zu reagieren. Mitrovic gibt hierzu nachfolgend vier Tipps, mit denen deutsche Unternehmen ihre neuen Mitarbeiter bereits beim Onboarding in ihre Cyber-Verteidigung integrieren können.

Foto: Proofpoint

Miro Mitrovic: Ein flexibles Security-Awareness-Programm, das regelmäßig aktualisiert wird, ist darum unerlässlich!

Klare Definition eines Cyber-Vorfalls erforderlich

Mitrovic führt aus: „Ein wesentlicher Bestandteil jeder Einarbeitung sollte eine klare Definition dessen sein, was einen Cyber-Vorfall ausmacht – sei es eine ungewöhnliche Netzwerkaktivität, ein unbefugter Zugriffsversuch oder eine Phishing-Mail.“ Neue Mitarbeiter sollten ermutigt werden, verdächtige Aktivitäten sofort über die offiziellen Kanäle zu melden, damit das Sicherheitsteam schnell handeln kann. „Eine offene Kommunikationskultur, gepaart mit klaren Richtlinien, sorgt dafür, dass potenzielle Bedrohungen frühzeitig erkannt und entschärft werden.“

Cyber-Sicherheit sei keine exklusive Aufgabe der IT-Abteilung, sondern eine gemeinsame Verantwortung der gesamten Belegschaft. „Mit einem durchdachten Onboarding-Programm können Unternehmen nicht nur die Sicherheit ihrer Systeme verbessern, sondern auch eine nachhaltige Sicherheitskultur etablieren“, betont Mitrovic. Indem neue Mitarbeiter von Anfang an in die Sicherheitsstrategie eingebunden werden, könnten sie einen wertvollen Beitrag zum Schutz des Unternehmens leisten. Zu diesem Zweck gelte es die folgenden vier Tipps zu beachten:

1. Cyber-Sicherheitstipp: Kennwortsicherheit – die erste Verteidigungslinie stärken

Die Wahl eines sicheren Passworts sei eine der einfachsten und zugleich wirksamsten Maßnahmen, um unberechtigten Zugriff auf Unternehmenssysteme zu verhindern. Neue Mitarbeiter sollten lernen, einzigartige und komplexe Passwörter zu erstellen, die aus einer Kombination von Zahlen, Buchstaben und Sonderzeichen bestehen.

• Ergänzend sollte die Multi-Faktor-Authentifizierung (MFA) verpflichtend eingeführt werden, um eine zusätzliche Sicherheitsebene zu schaffen.

„Eine fundierte Einführung in das Thema Passwortsicherheit vermittelt nicht nur die technischen Grundlagen, sondern schärft auch das Bewusstsein dafür, dass jeder Einzelne aktiv zur Abwehr von Cyber-Bedrohungen beitragen kann.“

2. Cyber-Sicherheitstipp: Phishing und E-Mail-Betrug – Taktiken der Cyber-Kriminellen erkennen

Phishing-Angriffe gehörten zu den häufigsten Methoden Cyber-Krimineller, um an sensible Informationen zu gelangen. „Ob durch gefälschte E-Mails, SMS oder Anrufe – die Angreifer setzen auf psychologische Tricks, um Vertrauen zu schaffen und Mitarbeitende zur Preisgabe vertraulicher Daten zu bewegen.“

• Neue Kollegen sollten lernen, typische Warnsignale wie unerwartete Aufforderungen, verdächtige Links oder ein ungewöhnliches Branding zu erkennen.

Wichtig sei auch die Aufklärung über „Business Email Compromise“ (BEC) – eine raffinierte Methode, bei der sich Angreifer als Vorgesetzte oder Kollegen ausgeben. Grundsätzlich gilt laut Mitrovic: „Verdächtige Anfragen müssen immer persönlich über offizielle Kanäle bestätigt werden, bevor gehandelt wird!“

3. Cyber-Sicherheitstipp: Datenschutz und Gerätesicherheit – Schutz vertraulicher Daten

Der Schutz sensibler Unternehmensdaten beginne mit dem richtigen Umgang und der Sicherung von Geräten. Neue Mitarbeiter sollten umfassend über die Datenschutzrichtlinien des Unternehmens informiert werden.

• Dazu gehöre auch die Aufforderung, nur von der Organisation genehmigte Software zu verwenden, Geräte bei Nichtbenutzung zu sperren und verlorene oder gestohlene Geräte unverzüglich der IT-Abteilung zu melden.

Darüber hinaus sollten die Benutzer in sicherem Online-Verhalten geschult werden, beispielsweise öffentliche WLAN-Netzwerke zu meiden und Website-Adressen auf Sicherheitsmerkmale wie „https://“ und das Schlosssymbol hin zu überprüfen. „Diese einfachen Schritte tragen wesentlich dazu bei, die Angriffsfläche des Unternehmens zu minimieren.“

4. Cyber-Sicherheitstipp: Neu entwickelte Bedrohungen – Vorbereitungen auf das Unbekannte

Cyber-Kriminelle setzten zunehmend auf ausgeklügelte Taktiken wie KI-gestützte Angriffe, sogenannte Deepfakes und die Manipulation von Kollaborationstools wie „Teams“ oder „Slack“.

• Neue Mitarbeiter müssten für diese dynamischen Bedrohungen sensibilisiert werden und lernen, sich gegen täuschend echte Angriffe zu wappnen.

„Ein flexibles Security-Awareness-Programm, das regelmäßig aktualisiert wird, ist darum unerlässlich“, unterstreicht Mitrovic abschließend. Denn nur so könnten Unternehmen sicherstellen, dass ihre Mitarbeiter auf die neuesten Angriffsmethoden vorbereitet sind und schnell angemessen reagieren können.

Weitere Informationen zum Thema:

datensicherheit.de, 14.02.2025
Datenschutz-Schulungen: Ein Drittel der Unternehmen versäumt es, Mitarbeitern Aktualisierungen anzubieten / Zwar 87 Prozent der Unternehmen ihren Mitarbeitern Datenschutz-Schulungen an, aber nur 68 Prozent aktualisieren diese Materialien regelmäßig

datensicherheit.de, 09.12.2024
Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf / Sicherheitsteams sollten Anwendung von Identity-Security-Kontrollen neu überdenken

datensicherheit.de, 18.05.2024
Cyber-Angriff mittels Deepfake-Phishing: Mitarbeiter sensibilisieren, CEO-Imitationen zu erkennen! / Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht mit einer per Deepfake-Technologie gefälschten Stimme des CEO

datensicherheit.de, 26.11.2023
IT – Interner Täter: Mitarbeiter noch größere Gefahr als Hacker / In den vergangenen zwei Jahren mehr als ein Drittel aller Cyber-Sicherheitsvorfälle in Deutschland auf Fehlverhalten von Mitarbeitern zurückzuführen

datensicherheit.de, 04.04.2023
Selbstüberschätzung: Mitarbeiter gefährden Cyber-Sicherheit in Unternehmen / Mehr als die Hälfte der Erwachsenen in Deutschland der Meinung, überdurchschnittliche Kenntnisse in Sachen Cyber-Sicherheit zu besitzen

[datensicherheit.de, 03.04.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf einen kürzlich erschienenen Blog-Beitrag von Bitdefender-Forschern ein: Es soll Cyber-Kriminellen in den vergangenen neun Monaten gelungen sein, mindestens 331 bösartige Apps im „Google Play Store“ zu platzieren. Demnach sind diese Apps mehr als 60 Millionen Mal von „Android“-Nutzern heruntergeladen worden. Die Sicherheitsmaßnahmen von „Android 13“ hätten die bösartigen Anwendungen dabei problemlos umschifft. Einige der Apps hätten dann Spam auf den Bildschirmen ihrer Opfer erscheinen lassen, andere sogar Phishing-Angriffe unterstützt. „Das Besondere daran: Die bösartigen Apps können ohne Aktivierung durch den Nutzer starten und ohne dessen Kenntnis im Hintergrund operieren.“ Krämer warnt: „Die Kampagne scheint immer noch aktiv zu sein!“

Foto: KnowBe4

Dr. Martin J. Krämer: Nachdem eine bösartige App heruntergeladen worden ist, kann sie ohne Aktivität des Nutzers von selbst starten!

Bösartige Apps erstmals im dritten Quartal 2024 festgestellt

Erstmals seien die bösartigen Apps im dritten Quartal des vergangenen Jahres, 2024, festgestellt worden. Im Verlauf ihrer Untersuchung und Analyse habe sich gezeigt, „dass einige von ihnen bereits längere Zeit im ,App Store’ zum Download bereitgestanden hatten – allerdings ohne bösartige Nutzlast“. Diese sei erst später, zu Beginn des 3. Quartals 2024, per Update hinzugefügt worden.

„Von außen geben sich die Anwendungen unscheinbar – als QR-Scanner, Haushaltsplaner oder auch als Health-Care-Anwendung. Nachdem eine bösartige App heruntergeladen worden ist, kann sie ohne Aktivität des Nutzers von selbst starten und im Hintergrund, ohne Anzeige des Symbols der Launcher-Aktivität, operieren – obwohl dies auf ,Android 13‘ eigentlich gar nicht möglich sein sollte.“ Ohne also, dass der Nutzer es ihnen erlaubt hat, sollen die Apps dann kontinuierlich Werbung (Spam) im Vollbildmodus dargestellt, einige Apps auch Bedienelemente eingeblendet und versucht haben, Nutzer dazu zu bewegen, sogenannte Credentials und Kreditkarteninformationen preiszugeben.

Unter Umgehung bestehender Schutzmaßnahmen bösartige Apps hochgeladen

Schon häufiger ist der „Google Play Store“ zum Ziel Cyber-Krimineller geworden. Unter Umgehung der bestehenden Schutzmaßnahmen versuchen sie, bösartige Apps hochzuladen. „In aller Regel gelingt es Google rasch, solche Apps aus dem Verkehr zu ziehen“, so Krämer. Indes lernten die Kriminellen aber hinzu. „Es scheint, dass es ihnen zunehmend gelingt, ihre Strategien und Taktiken anzupassen.“

Wie die Forscher von Bitdefender in ihrem Beitrag feststellen, genügt es deshalb längst nicht mehr, sich allein auf denjenigen Schutz zu verlassen, der Anwendern standardmäßig auf „Android“-Geräten und im „Google Play Store“ zur Verfügung steht. Endverbraucher und Unternehmen müssten somit mehr tun. „Phishing- und Spear Phishing-Kampagnen werden immer breiter gestreut, sind immer häufiger auch Teil von Malware-Kampagnen. Das Risiko, Opfer eines solchen Angriffs zu werden, es steigt und steigt.“

Nicht die App ist per se das Problem – sondern der „Faktor Mensch“

Hiergegen mit einfachen Anti-Phishing- und Anti-Social-Engineering-Schulungen und -Trainings vorzugehen, falle zunehmend schwer. „Immer häufiger gelingt es den Angreifern, die Strategien und Taktiken der Verteidiger zu durchschauen. Sie passen ihre Kampagnen an Standard-Schulungen und -Trainings an. Unternehmen müssen deshalb mehr tun.“

Sie müssten strukturierter, umfassender, kontinuierlicher vorgehen und die „Human Risks“, also die Risiken, denen ihre Unternehmens-IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, umfassend und kontinuierlich in den Blick nehmen und systematisch zu managen beginnen. „Menschliche Risiken müssen, genau wie die technischen ja auch, kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden“, betont Krämer.

Aktueller App-Vorfall gemahnt daran, Mitarbeiter zur besten Verteidigung gegen Cyber-Bedrohungen zu motivieren

„Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert – eben kontinuierlich – zum Einsatz bringen.“

Moderne Anti-Phishing-E-Mail-Lösungen kombinierten KI mit „Crowdsourcing“, um so selbst neueste Zero-Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – „so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen“. Mit solchen und ähnlichen Lösungen werde es Unternehmen gelingen, ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen zu machen und ihre „Human Risks“ zu reduzieren.

Weitere Informationen zum Thema:

Bitdefender, Alecsandru Cătălin Daj & Adina Mateescu & Albert Endre-Laszlo & Alex Baciu & Elena Flondor, 18.03.2025
Hundreds of Malicious Google Play-Hosted Apps Bypassed Android 13 Security With Ease

KnowBe4, 2023
The Future of Phishing Defense: AI Meets Crowdsourcing

datensicherheit.de, 22.09.2022
Kaspersky identifiziert schädliche Kampagne im Google Play Store / Trojaner Harly imitierte laut Kaspersky über 190 legitime Apps und abonnierte Nutzer für kostenpflichtige Dienste

datensicherheit.de, 08.09.2021
Malwarebytes-Warnung: Spionage und Stalking über Google Play Store / Malwarebytes-Sicherheitsexperte Pieter Arntz entdeckte per Zufall potenziell bedrohliche Überwachungsmöglichkeit

datensicherheit.de, 25.04.2019
Google Play Store: Sechs gefährliche Apps mussten entfernt werden / Check Point meldet Missbrauch der Zugriffsrechte und betrügerische Werbung

[datensicherheit.de, 28.02.2025] Cyber-Kriminelle attackieren zunehmend Mitarbeiter und Führungskräfte: „Was sollten wir tun?“ – diese Frage soll am 11. März 2025 im Mittelpunkt einer Veranstaltung im Rahmen der „Wildauer Wissenschaftswoche“ an der Technischen Hochschule (TH) Wildau stehen. Experten werden demnach „wertvolle Tipps“ geben und „erlebnisorientierte Maßnahmen zur Sensibilisierung für das Thema“ vorstellen. Angesprochen seien insbesondere Vertreter von Unternehmen und Kommunen.

Foto: Mareike Rammelt / TH Wildau

Gefahren der Cyber-Kriminalität gewinnen an Bedeutung – im Rahmen der „Wildauer Wissenschaftswoche 2025“ soll für das Thema Informationssicherheit mit Maßnahmen sensibilisiert werden

Bedrohungen im Cyber-Raum können erhebliche Schäden für Wirtschaft, Verwaltung und Gesellschaft verursachen

Die Bedrohung durch Cyber-Kriminalität sei längst keine Zukunftsvision mehr, sondern tägliche Realität für Institutionen aller Größen und Branchen. Cyber-Kriminelle professionalisierten ihre Arbeitsweise, seien technisch auf dem neuesten Stand und agierten aggressiv: „Opfer sind in den letzten Jahren neben kleinen und mittleren Unternehmen (KMU) auch IT-Dienstleister und Kommunen.“

Durch Bedrohungen im Cyber-Raum entstünden erhebliche Schäden für Wirtschaft, Verwaltung und Gesellschaft. „Technische Absicherungen werden umgangen, indem Angriffe häufig gezielt auf Mitarbeitende und Führungskräfte gerichtet sind, die dagegen oft nur unzureichend geschult und sensibilisiert werden.“

Um zunehmender Cyber-Bedrohung entgegenzutreten, muss Bewusstsein für Informationssicherheit geschärft werden

Genau da soll die Veranstaltung „Cyber-Kriminelle hacken Mitarbeitende und Führungskräfte – was sollten wir tun?“ ansetzen. Um den zunehmenden Bedrohungen der Cyber-Kriminalität entgegenzutreten, solle bei den Teilnehmern das Bewusstsein für Informationssicherheit auf allen Ebenen geschärft werden. So könnten präventive Maßnahmen besser greifen. „Prof. Margit Scholl, Expertin für Informationssicherheit und ,Awareness’ an der TH Wildau, lädt Vertreterinnen und Vertreter von Unternehmen und Kommunen sowie Interessierte zu der exklusiven Veranstaltung ein.“

Frau Prof. Scholl führt hierzu weiter aus: „Es ist mir seit Jahren ein Anliegen, das Bewusstsein für das Thema Informationssicherheit zu schärfen und so Schaden auf Seiten der Unternehmen, der öffentlichen Verwaltungen und aller Institutionen zu vermeiden.“ Dazu hätten sie über Jahre intensiv geforscht und Maßnahmen in der Praxis erprobt. In dieser Veranstaltung – im Rahmen der „Wildauer Wissenschaftswoche 2025“ – mögen den Teilnehmern praxisnahe, erlebnisorientierte Maßnahmen zeigen, wie sich Mitarbeiter sowie Führungskräfte besser auf die Gefahren im sogenannten Cyberspace vorbereiten können.

Wertvolle Tipps, wie Cyber-Angriffe erkannt und abgewehrt werden können

Die Teilnehmer erhielten wertvolle Tipps, wie beispielsweise Cyber-Angriffe durch „Social Engineering“ erkannt werden könnten. Dabei versuchten Kriminelle, ihre Opfer zu verleiten, eigenständig Daten preiszugeben, um so Schutzmaßnahmen zu umgehen oder Schadprogramme zu installieren. Die Angreifer nutzten hierzu vermeintliche menschliche Schwächen wie Neugier oder Angst aus und erhielten so Zugriff auf sensible Daten und Informationen.

Die Veranstaltung auf einen Blick:

„Cyber-Kriminelle hacken Mitarbeitende und Führungskräfte – was sollten wir tun?“
Dienstag, 11. März 2025, 11 bis 13 Uhr
Campus der Technischen Hochschule Wildau
Halle 17, Audimax
Hochschulring 1
15745 Wildau
Online-Anmeldung erforderlich (s.u.), Teilnahme kostenfrei.

Anmeldung und weitere Informationen zum Thema:

TH WILDAU
14. Wildauer Wissenschaftswoche

TH WILDAU
10. bis 14. März 2025 / 14. Wildauer Wissenschaftswoche / Forschen. Anwenden. Begreifen.

TH WILDAU
Willkommen auf dem Campus

[datensicherheit.de, 14.02.2025] Aus Anlass des „Safer Internet Day“ am 11. Februar 2025 geht ISACA in einer Stellungnahme auf den eigenen „State of Privacy 2025“-Report ein – demnach bieten zwar 87 Prozent der Unternehmen ihren Mitarbeitern Datenschutz-Schulungen an, aber nur 68 Prozent aktualisieren diese Materialien regelmäßig. ISACA warnt daher vor den Risiken, denen Unternehmen aufgrund unzureichender Datenschutz-Schulungen ausgesetzt sind.

87 Prozent der Unternehmen bieten Datenschutz-Schulungen an…

Der Bericht „State of Privacy 2025“ zeige, dass zwar 87 Prozent der Unternehmen Datenschutz-Schulungen anbieten, aber nur 68 Prozent die Inhalte regelmäßig aktualisieren, „so dass sie aufgrund der Lücken anfällig für neue Bedrohungen sind“. Diese besorgniserregende Erkenntnis werde durch Daten der Weltbank noch untermauert, „aus denen hervorgeht, dass Cyber-Vorfälle in den letzten zehn Jahren um durchschnittlich 21 Prozent pro Jahr zugenommen haben“.

Obwohl 74 Prozent der Befragten angegeben hätten, dass ihre Datenschutz-Strategien mit den Unternehmenszielen übereinstimmten, aktualisierten nur 59 Prozent die Schulungen jährlich, während neun Prozent dies alle zwei bis fünf Jahre täten. „Das bedeutet, dass etwa 32 Prozent der Mitarbeitenden nicht ausreichend geschult werden, um neue Datenschutz-Bedrohungen am Arbeitsplatz zu bekämpfen.“

Cyber-Sicherheit und Datenschutz mehr als rein technische Fragen

Cyber-Sicherheit und Datenschutz seien nicht mehr nur technische Fragen, sondern hätten sich zu strategischen Herausforderungen entwickelt, bei denen es um den Schutz des digitalen Vertrauens gehe. „Wie sich in den Ergebnissen von ISACA zeigt, sind regelmäßige Schulungen ein entscheidendes Element für zwei wichtige Cyber-Sicherheitsstrategien: Risikominderung und Datenschutz.“ Mehrere Studien bewiesen, dass Unternehmen, die in diesem Bereich bewährte Praktiken anwendeten, in der Regel weniger Cyber-Vorfälle erlitten und ein größeres Vertrauen bei Kunden und Partnern genössen.

„Der ,Safer Internet Day’ ist eine ideale Gelegenheit, um sich bewusst zu machen, wie wichtig es ist, den Datenschutz in allen Geschäftsbereichen zu verankern!“ Neue Technologien wie Künstliche Intelligenz (KI) und das Internet der Dinge (IoT) vergrößerten die Angriffsfläche, so dass sowohl Mitarbeiter als auch Unternehmensleitungen darauf vorbereitet sein müssten, auf mögliche Vorfälle zu reagieren.

Herausforderung für Unternehmen: KI gewinnt bei Verwaltung des Datenschutzes immer größere Bedeutung

Eines der Hauptprobleme für Unternehmen sei die zunehmende Rolle der KI bei der Verwaltung des Datenschutzes. Laut dem Bericht „State of Privacy 2025“ nutzten bereits elf Prozent der Unternehmen KI für datenschutzrelevante Aufgaben wie die Automatisierung von Risikobewertungen, die Erkennung von Anomalien und die Einhaltung gesetzlicher Vorschriften.

Diese Instrumente verbesserten zwar die betriebliche Effizienz, „bergen aber auch Risiken, wenn ethische Grundsätze und ,Privacy by Design’ nicht angewandt werden“. Ein Mangel an Transparenz in Bezug auf die Funktionsweise von Algorithmen könne das Vertrauen untergraben und zu Verstößen gegen Vorschriften führen – insbesondere im Hinblick auf den kürzlich erlassenen „EU AI Act“.

Kontinuierlicher Verbesserungsansatz für Datenschutz-Schulungen empfohlen

Daher empfiehlt ISACA Unternehmen, die ihre Datenschutz-Schulungsprogramme verbessern wollen, einen kontinuierlichen Verbesserungsansatz zu verfolgen:

„Dazu gehören nicht nur die Aktualisierung von Schulungsinhalten und das Erlangen von Zertifizierungen, sondern auch das Durchführen von Simulationen und praktischen Übungen, um die Reaktionsfähigkeit auf Vorfälle zu stärken.“

Weitere Informationen zum Thema:

ISACA
Archived Webinar—The State of Privacy 2025 (Archived until 28 January 2026)

[datensicherheit.de, 09.01.2025] Die Check Point Software Technologies Ltd. erläutert in einer aktuellen Stellungnahme, wie fortschrittliche E-Mail-Sicherheitslösungen nicht nur Unternehmen helfen können, sich vor Cyber-Bedrohungen zu schützen, sondern auch die Produktivität der Mitarbeiter zu steigern und IT-Ressourcen zu optimieren. Die Auswahl der richtigen Sicherheitslösung sei dabei entscheidend. Unternehmen sollten auf Anbieter setzen, welche kontinuierlich neue Funktionen entwickelten und benutzerfreundliche Systeme anböten, um sowohl Mitarbeiter als auch IT-Teams zu entlasten.

[chck-point-pete-nicoletti.jpg]

Unangenehme Folgen schwacher E-Mail-Sicherheitsmaßnahmen

Täglich verbrächten Mitarbeiter unzählige Stunden mit der Bearbeitung von E-Mails – einem gleichwohl unverzichtbaren Kommunikationsmittel, welches jedoch auch eine erhebliche Schwachstelle darstelle. Schwache E-Mail-Sicherheitsmaßnahmen führten nicht nur zu einer höheren Anfälligkeit für Phishing-Angriffe und Malware, sondern auch zu:

Zeitverlust
Mitarbeiter würden durch verdächtige Nachrichten abgelenkt und müssten diese manuell melden.

Erhöhtem Risiko
Verzögerungen beim Erkennen schädlicher Nachrichten könnten zu Datenverlust oder Compliance-Verstößen führen.

Überlastung der IT
Sicherheitsabteilungen verbrächten wertvolle Zeit mit der Analyse von falschem Alarm und der Behebung von Sicherheitsvorfällen.

Bösartige E-Mails: Keine noch so gute Mitarbeiterschulung kann Phishing-Klicks verhinden

„Keine noch so gute Mitarbeiterschulung kann Phishing-Klicks verhindern. Es gibt über 300 Merkmale, die vor der Zustellung überprüft werden müssen, und die Mitarbeiter haben weder das Wissen noch die Fähigkeiten oder die Zeit, diese zu analysieren“, führt Pete Nicoletti, „CISO“ von Check Point Software Technologies, aus.

Er ergänzt: „Außerdem hat Ihr Sicherheitsprogramm versagt, wenn Sie bösartige E-Mails versenden oder Ihre Endpunkt-Tools nicht verhindern können, dass eine bösartige Datei von einer angeklickten URL heruntergeladen wird!“ Zudem seien Mitarbeiterschulungen bloß ein „Sicherheitstheater“ – „und wenn Sie sich darauf verlassen, dass sie eine Verteidigungslinie darstellen, sollten Sie Ihr ,Incident Response Team’ und Ihren Anwalt auf der Kurzwahl haben.“

Dringende Empfehlung zur Nutzung fortschrittlicher E-Mail-Sicherheitslösungen

Fortschrittliche E-Mail-Sicherheitslösungen nutzten Künstliche Intelligenz (KI) und Maschinelles Lernen (ML), um Bedrohungen in Echtzeit zu erkennen und unschädlich zu machen. Mit verschiedenen Funktionen, wie dem automatisierten Entfernen schädlicher Links oder dem Verschieben verdächtiger Nachrichten in Quarantäne, schützten solche Lösungen nicht nur die Organisation, sondern verbesserten auch die Effizienz der Arbeitsabläufe.

Unternehmen, welche in bewährte E-Mail-Sicherheitslösungen investierten, profitierten von:

Gesteigerter Produktivität
Mitarbeiter könnten sich auf ihre Kernaufgaben konzentrieren, ohne durch Sicherheitsrisiken abgelenkt zu werden.

Erhöhtem Schutz
KI-gestützte Systeme verhinderten das Eindringen schädlicher Inhalte.

Optimierter IT-Nutzung
Automatisierte Prozesse reduzierten den manuellen Aufwand der Sicherheits-Teams.

Weitere Informationen zum Thema:

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 25.11.2024
Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit / Klassische E-Mail bleibt primärer Bedrohungsvektor im Cyberspace

datensicherheit.de, 11.09.2024
NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung / NIS-2-Richtlinie von EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umzusetzen

datensicherheit.de, 06.09.2024
Unterschätztes Problem: Datenverluste durch fehlgeleitete E-Mails / Irrläufer legitimer E-Mails in Großbritannien die am häufigsten gemeldeten Vorfälle im Zusammenhang mit der DSGVO

[datensicherheit.de, 09.12.2024] Laut einer neuen Untersuchung von CyberArk führen gängige Verhaltensweisen von Mitarbeitern beim Zugriff auf sensible und privilegierte Daten – bewusst oder unbewusst – zu Sicherheitsrisiken, weshalb Unternehmen den Datenzugang von Arbeitnehmern nicht nur verwalten, sondern auch sichern müssten. Diese basiert demnach auf einer globalen Umfrage unter 14.003 Arbeitnehmern und gibt Einblicke in die üblichen Verhaltensweisen und Datenzugriffsmuster: „Sie zeigt, dass Sicherheitsteams die Anwendung von Identity-Security-Kontrollen neu überdenken sollten!“ Für diese neue Studie habe Censuswide für ihre Tätigkeit Computer nutzende Arbeitnehmer in Deutschland, Frankreich, Großbritannien, den USA, Australien und Singapur befragt. Die Erhebung habe zwischen dem 17. und 25. Oktober 2024 stattgefunden.

Mehrheit der Mitarbeiter umgeht Cyber-Sicherheitsrichtlinien

In Deutschland seien hierzu 2.000 Arbeitnehmer befragt worden. Die vier zentralen Ergebnisse laut CyberArk im Überblick:

1. Erkenntnis: Die Mehrheit hat Zugang zu vertraulichen Informationen
86 Prozent der Befragten griffen auf Arbeitsplatzanwendungen, die oft geschäftskritische Daten enthielten, von persönlichen, vielfach unzureichend gesicherten Geräten aus zu. „Die Umfrage bestätigt, dass ein privilegierter Zugang nicht mehr nur IT-Administratoren vorbehalten ist. So geben 38 Prozent an, dass sie häufig Kundendaten herunterladen.“ Ein Drittel sei in der Lage, kritische oder sensible Daten zu ändern, und mehr als 30 Prozent könnten große Finanztransaktionen genehmigen.

2. Erkenntnis: Die Wiederverwendung von Passwörtern ist weit verbreitet
Die Untersuchung habe mehrere Gewohnheiten ermittelt, welche die Sicherheit gefährdeten. So verwendeten 41 Prozent der befragten Mitarbeiter dieselben Anmeldedaten für unterschiedliche arbeitsbezogene Anwendungen, wobei 32 Prozent dieselben Anmeldedaten sowohl für private als auch für berufliche Applikationen nutzten. „71 Prozent der Befragten haben bereits arbeitsplatzspezifische vertrauliche Informationen an Außenstehende weitergegeben.“ Diese Praktiken erhöhten das Risiko von Sicherheitslecks und Sicherheitsverletzungen erheblich.

3. Erkenntnis: Die Mehrheit umgeht Cyber-Sicherheitsrichtlinien
77 Prozent der Befragten beachteten häufig Cyber-Sicherheitsrichtlinien nicht, um sich die Arbeit zu erleichtern. „Zu solchen Praktiken gehören die Verwendung eines Passworts für mehrere Accounts, die Nutzung privater Geräte als WLAN-Hotspots und die Weiterleitung von Unternehmens-E-Mails an private Konten.“

4. Erkenntnis: Die Einführung von KI führt zu weiteren Sicherheitsherausforderungen
80 Prozent der Mitarbeiter nutzten KI-Tools, welche neue Schwachstellen schaffen könnten, „wenn beispielsweise vertrauliche Daten in die Tools eingegeben werden“. Fast die Hälfte (44%) der Beschäftigten halte sich bei der Nutzung von KI-Tools „nur manchmal“ oder „nie“ an die Richtlinien zum Umgang mit sensiblen Daten.

Mit dynamischen Berechtigungskontrollen könnten Sicherheitsteams Angriffe abwehren

Zudem zeige die neue Studie „White FAANG: Devouring Your Personal Data“ der CyberArk Labs, wie der individuelle Browser- und Internetverlauf einzelner Mitarbeiter eine Bedrohung sowohl für ihre Arbeitgeber als auch für ihr Privatleben darstellen könne. So könnten individuelle Browser-Verlaufsdaten leicht gestohlen und als Angriffsvektor auf die Infrastruktur von Unternehmen genutzt werden.

Die Kombination aus besorgniserregenden Mitarbeiteraktionen und der Fähigkeit von Angreifern, den Browserverlauf zu entwenden, erhöhe das Risiko für Unternehmen. „Mit der Implementierung eines robusten Identity-Security-Programms mit dynamischen Berechtigungskontrollen können Sicherheitsteams Angreifer daran hindern, Zugang zu sensiblen und privilegierten Informationen zu erhalten.“

Standardansatz für Sicherheit des Mitarbeiterzugriffs unzureichend

Michael Kleist, „Area Vice President DACH“ bei CyberArk, kommentiert: „Viel zu lange hat sich der Standardansatz für die Sicherheit des Mitarbeiterzugriffs auf grundlegende Kontrollen wie die Authentifizierung über ,Single Sign-on’ konzentriert. Dies ignoriert die sich verändernde Art der Identität: Nahezu jeder Mitarbeiter kann privilegierte Zugriffsrechte erhalten.“

Abschließend gibt Kleist zu bedenken: „Die Untersuchungsergebnisse zeigen, dass risikoreiche Zugriffe fast immer möglich sind und es viele Verhaltensweisen gibt, die zu ernsthaften Sicherheitsproblemen für Unternehmen führen können.“ Deshalb bestehe die dringende Notwendigkeit, die Identitätssicherheit neu zu definieren – „indem jeder Benutzer mit dem richtigen Maß an Berechtigungskontrollen geschützt wird!“

Weitere Informationen zum Thema:

CYBERARC
CyberArc 2024 Employee Risk Survey

CYBERARC, 03.12.2024
New Research from CyberArk Reveals Security Risks Introduced by Everyday Employee Behaviors

[datensicherheit.de, 26.09.2024] Stressfaktoren wie eine angespannte IT-Bedrohungslage oder Druck durch die Geschäftsführung werden nach aktuellen Erkenntnissen von Sophos je nach Unternehmensgröße sehr unterschiedlich bewertet: Die ständige Zunahme an Cyber-Bedrohungen belaste nicht nur Budgets, Arbeitsprozesse und Reputation, sondern schlage sich auch auf die Stimmung des Personals nieder. Druck und Belastung nähmen zu – Frustration, Stress und schließlich gesundheitliche Auswirkungen könnten Folgen sein. Was die stetig wachsende Bedrohung durch Cyber-Gefahren tatsächlich für den Arbeitsalltag der IT-Teams bedeutet, hat eine Sophos-Umfrage untersucht. Die Befragung wurde laut Sophos im August und September 2024 von techconsult im Auftrag unter 202 IT-Mitarbeitern aus Industrie, Handel, Banken und Versicherungen, Öffentlicher Verwaltung, Telekommunikation, Dienstleistungen und Versorgungsunternehmen in kleinen, mittleren und großen deutschen Betrieben durchgeführt.

Frust gehört für 75 Prozent der IT-Verantwortlichen zum Arbeitsalltag

24,3 Prozent seien von ihren Aufgaben in der Cyber-Abwehr „dauerhaft frustriert“. Bei den Betrieben bis 1.000 Mitarbeitern variiere der Wert nur minimal – in Unternehmen mit über 1.000 Angestellten scheine die Belastung mit 17,9 Prozent etwas geringer zu sein, was durch die Angabe bestätigt werde, dass 33,3 Prozent der IT-Mitarbeiter in Großunternehmen angäben, „gar nicht frustriert“ zu sein.

Im Gegensatz dazu gäben IT-Verantwortliche in kleinen Unternehmen bis 50 Mitarbeitern nur zu 16,7 Prozent an, „keine Frustration“ zu spüren. Der „frustrationsfreie“ Durchschnitt über alle Unternehmensgrößen liege bei 25,7 Prozent. Im Bereich Cyber-Sicherheit „hin und wieder frustriert“ zu sein, bestätige mit 50 Prozent die Hälfte aller IT-Sicherheitsmitarbeiter, womit insgesamt dreiviertel aller Befragten mit Ermüdungserscheinungen im Duell mit Cyber-Kriminellen zu kämpfen hätten.

Stärkste Belastung für IT-Sicherheitspersonal durch Zunahme der Cyber-Bedrohungen

Die stärkste Belastung (45,3%) für das IT-Sicherheitspersonal gehe im Durchschnitt branchenweit von der generellen Zunahme an Cyber-Bedrohungen aus. Auch hierbei sei wieder eine große Diskrepanz hinsichtlich der Unternehmensgröße auffällig: „Während Firmen bis 49 Mitarbeitenden diesen Punkt nur zu 36 Prozent hervorheben, ist er bei Unternehmen mit über 1.000 Mitarbeitenden unangefochten auf Platz 1.“

An zweiter Stelle sorge mit 40,7 Prozent branchenübergreifend der erhöhte Druck seitens der Unternehmensführung für Stress. Bei Betrieben mit bis zu 49 Mitarbeitern und jenen mit 250 bis 999 Angestellten liege der „Druck von oben“ mit 44 beziehungsweise 46,9 Prozent sogar auf Platz 1 der Frustrationsgründe. Konzern-Angestellte, für die Cyber-Sicherheit wahrscheinlich schon länger ein essenzielles Thema sei, fühlten sich mit 23,1 Prozent in der Cheffrage deutlich weniger belastet.

Weitere Gründe für Ermüdung der IT-Kräfte u.a. Monotonie und Routine

Zu den weiteren Gründen für eine Ermüdung der IT-Kräfte sorgten Monotonie und Routine (30,7% im Durchschnitt), schwere Nachverfolgung von Cyber-Attacken aufgrund unterschiedlicher Security-Lösungen (24,7%), Überlastung durch ständige Alarme und Warnungen von Cyber-Sicherheits-Tools (19,3%) sowie mangelndes Wissen der Mitarbeiter über Cyber-Bedrohungen und unangepasstes Verhalten (18,7%).

Doch es gebe auch einen Lichtblick: Die Mehrheit (49,3%) der Befragten über alle Unternehmensgrößen hinweg sei in die Offensive gegangen, habe bestehende Probleme bei Vorgesetzten angesprochen – und daraufhin seien Wege gefunden worden, diese ganz oder zum Teil zu lösen. Dieses Vorgehen habe allerdings bei den Unternehmen mit 1.000 und mehr Mitarbeitern nur sehr viel seltener zum Erfolg geführt – dort gäben nur 26,9 Prozent an, positive Erfahrungen gemacht zu haben. In dieser Unternehmensgröße auf Platz 1 liege mit 38,5 Prozent die Angabe, eine Mitteilung sei noch nicht erfolgt, aber geplant. „Negativ fiel auf, dass über alle Unternehmensgrößen hinweg jeder vierte Befragte feststellen musste, dass sich trotz Mitteilung an Vorgesetzte nichts änderte.“

In den allermeisten IT-Abteilungen dringender Handlungsbedarf hinsichtlich Cyber-Sicherheit

„Die Ergebnisse zeigen deutlich, dass in den allermeisten IT-Abteilungen dringender Handlungsbedarf besteht, was die Cyber-Sicherheit angeht“, kommentiert Michael Veit, Cybersecurity-Experte bei Sophos. Dem steigenden Frustlevel stünden leider ganz handfeste Probleme wie der Fachkräftemangel, inhomogene IT-Systeme oder fehlende Budgets gegenüber. „Während bei den größeren Unternehmen eine dedizierte IT-Security-Strategie oftmals schon Normalität ist, fehlt diese bei KMUs oftmals noch oder ist nur halbherzig umgesetzt“, berichtet Veit. Das Ergebnis sei dann „enormer Stress, der durch die aktuelle Umfrage nun noch einmal deutlich gemacht wird“.

Als Lösung für die angesprochenen Probleme und damit auch eine Reduzierung des Frustfaktors bei den Mitarbeitern böten sich vor allem moderne Security-as-a-Service-Lösungen an, mit denen Unternehmen aller Größen schnell und unkompliziert ein Cybersecurity-Expertenteam an Bord holen könnten, um die eigene IT-Abteilung zu entlasten. Veit abschließend als Beispiel: „Mit ,Sophos MDR’ helfen wir so weltweit schon über 24.000 Unternehmen, mehr Ruhe und Verlässlichkeit in den IT-Alltag zu bringen.“

[datensicherheit.de, 18.05.2024] „Vor Kurzem wurde bekannt, dass ein Mitarbeiter eines Entwicklungsunternehmens für Passwortmanager das Ziel eines Deepfake-Phishing-Angriffs wurde, bei dem sich der Angreifer als ,CEO’ des Unternehmens ausgab“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in einer aktuellen Stellungnahme. In diesem Fall sei positiv zu vermelden: „Dank seiner Schulung konnte der Mitarbeiter jedoch die verdächtigen Anzeichen des Angriffs rechtzeitig erkennen und ließ sich nicht täuschen.“ Dieser Vorfall mache indes deutlich, „wie hoch das Risiko solcher Angriffe ist und dass sie Unternehmen jeder Branche betreffen können“. Zugleich zeige er, wie entscheidend die Sensibilisierung der Mitarbeiter für eine wirksame Verteidigung sei.

Foto: KnowBe4

Dr. Martin J. Krämer warnt: Deepfakes nutzen generative KI, um Audio- und/oder visuelle Muster zu kombinieren und so authentisch wirkende Aufnahmen zu erstellen!

Kontaktierter Mitarbeiter erkannte Deepfake-Angriff und machte Meldung

Bei dem besagten Vorfall habe ein Mitarbeiter mehrere Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht erhalten, welche alle durch den Einsatz von Deepfake-Technologie die Stimme des „CEO“ nachgeahmt hätten. Der betreffende Mitarbeiter habe jedoch verdächtige Merkmale des Angriffs bemerkt: „Die Kommunikation fand außerhalb der üblichen Geschäftskanäle statt und es wurde eine künstliche Dringlichkeit vermittelt.“ Daraufhin habe er den Vorfall umgehend dem internen Sicherheitsteam gemeldet.

IT-Sicherheitsexperten warnten zudem vor der zunehmenden Verbreitung von Deepfake-Technologien und betonten, wie wichtig es sei, das Bewusstsein für derartige Angriffe zu schärfen. Dr. Krämer führt hierzu aus: „Deepfakes nutzen generative Künstliche Intelligenz, um Audio- und/oder visuelle Muster zu kombinieren und so authentisch wirkende Aufnahmen zu erstellen.“ Diese Technologie sei nicht nur mit politischer Desinformation in Verbindung gebracht worden, sondern gebe auch im privaten Sektor zunehmend Anlass zur Sorge, da sie leicht zugänglich sei und potenziell für betrügerische Aktivitäten genutzt werden könne.

Deepfake-Phishing-Angriffe haben für Unternehmen erhebliches Schadens-Potenzial

„Einmal erfolgreich durchgeführt, könnten solche Angriffe schwerwiegende Konsequenzen haben“, warnt Dr. Krämer. Von der Offenlegung vertraulicher Informationen bis hin zu finanziellen Verlusten oder sogar dem Zugang zu sensiblen Systemen und Datenbanken könnte ein Deepfake-Phishing-Angriff erhebliche Schäden verursachen. Die Tatsache, dass der Mitarbeiter in diesem Fall die verdächtigen Merkmale des Angriffs erkannt und reagiert habe, zeige, dass eine umfassende Schulung und Sensibilisierung für solche Bedrohungen unerlässlich seien.

„Die potenziellen Auswirkungen von Deepfake-Angriffen auf Unternehmen sind vielfältig und können von Rufschädigung bis hin zu finanziellen Verlusten reichen.“ Daher sei es entscheidend, dass Unternehmen nicht nur auf reaktive Maßnahmen setzten, sondern auch proaktiv handelten, um sich gegen diese Bedrohungen zu wappnen. Dr. Krämer betont: „Das umfasst nicht nur technologische Lösungen, sondern auch eine Sensibilisierung der Mitarbeiter für die Risiken von Deepfakes und die Förderung einer Sicherheitskultur und Wachsamkeit in der gesamten Organisation!“ Letztendlich erfordere der Kampf gegen Deepfake-Bedrohungen eine ganzheitliche Strategie, die sowohl technologische Innovationen als auch menschliche Intelligenz umfasse.

Weitere Informationen zum Thema:

datensicherheit.de, 20.02.2024
Deepfakes: Vielfältige Betrugsversuche / Es gibt aber auch konstruktive Anwendungen für Deepfake-Prinzipien

datensicherheit.de, 19.09.2023
Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI / Deepfake-Wahlwerbespots könnten mit computergenerierten Bildern von Kandidaten erstellt werden

datensicherheit.de, 22.06.2022
Deepfakes bald Standardrepertoire Cyber-Krimineller / Vor allem Soziale Plattformen als neue Spielwiese zur Verbreitung von Deepfake-Material genutzt