Laut einer Bitkom-Studie waren im Jahr 2020 neun von zehn Unternehmen das Ziel von Cyber-Angriffen. Besonders ausgenutzt wurde dabei die Tatsache, dass sich viele Mitarbeiter im Homeoffice befanden und nach wie vor befinden. Zahlreiche Unternehmen nutzen dabei nicht alle notwendigen technische Maßnahmen und unterschätzen zudem den Menschen als eigentliche Schwachstelle ihres Sicherheitssystems.
Warum ist der Mensch so ein großer Risikofaktor?
Bei der Netzwerksicherheit eines Unternehmens geht es nur zum Teil um die Technik. Denn immer öfter setzen Cyberkriminelle nicht auf Fehler im IT-System, sondern auf den altbekannten Trickbetrug. Besonders gefährlich: Beim sogenannten „Social Engineering“ werden persönliche Beziehungen zum Opfer vorgetäuscht.
Davon sind inzwischen zahlreiche Varianten verbreitet. Das Spear-Phishing zum Beispiel verschickt Mails nicht an einen breiten Pool an Adressaten, sondern nur an die Belegschaft eines Unternehmens, sodass die Nachrichten realer wirken. Der CEO-Fraud hingegen ist eine Masche, bei der der Täter sich als Manager ausgibt und Mitarbeiter darum bittet, hohe Geldbeträge auf sein angebliches Konto zu überweisen.
Alle Strategien des Social Engineering haben gemeinsam, dass die Täter tiefsitzende menschliche Wünsche wie eben die Hilfsbereitschaft ausnutzen. Ruft beispielsweise ein „Techniker“ an, der angeblich Passwörter braucht, um eine Sicherheitslücke zu beheben, handelt das Opfer im Glauben, etwas Gutes zu tun. Nichts liegt dem Menschen näher – und das macht Social Engineering so gefährlich.
Social Engineering zuverlässig erkennen und verhindern
Das wichtigste Merkmal des Social Engineering ist die Täuschung. Täter geben vor, eine persönliche Beziehung zum Opfer zu haben und dessen Hilfe zu brauchen. Häufig werden dabei die Identitäten höhergestellter Personen wie des CEOs oder des Systemadministrators missbraucht. Das Opfer soll an diese Person Anmelde- oder Kontoinformationen weitergeben.
Wer eine Mail erhält, die auf diese Beschreibung passt, sollte Vorsicht walten lassen. Am besten wird gar nicht erst geantwortet. Ist es ein Fehlalarm, wird der Absender sich wahrscheinlich noch über einen anderen Kanal melden. Auch möglich ist eine Vergewisserung durch einen Anruf beim angeblichen Absender.
Besonders aufpassen sollten Mitarbeiter in jedem Falle bei:
- sehr emotional geschriebenen, angeblich dringlichen Nachrichten
- einem angeblich bekannten Absender, der aber von einer unbekannten Adresse schreibt
- vielen Rechtschreib- oder Grammatikfehlern
- Angeboten mit dem Hinweis auf Exklusivität
Fünf Maßnahmen für mehr IT-Sicherheit im Home Office
Die wichtigste Schutzmaßnahme sind regelmäßige Schulungen, durch die Mitarbeiter über Cyber-Bedrohungen aufgeklärt werden und diese zu erkennen lernen. Dennoch kann selbstverständlich jeder Mensch Fehler machen. Für eine größtmögliche Netzwerksicherheit im Unternehmen sollten deshalb auch mindestens diese vier technischen Maßnahmen ergriffen werden.
- Eine große Sicherheit kann bereits durch eine Firewall, also einen effektiven Netzwerkschutz, erreicht werden. Am sichersten ist dabei das Zero-Trust-Prinzip: Dabei wird zunächst jedes Gerät und jeder Nutzer als nicht vertrauenswürdig eingestuft und erhält nur minimale Berechtigungen.
- Im Home-Office sollten Mitarbeiter sich nur über eine sichere VPN-Verbindung mit dem Netzwerk des Unternehmens verbinden. Durch das VPN wird eine verschlüsselte Kommunikation ermöglicht.
- Der Arbeitgeber muss Sorge dafür tragen, dass Softwareupdates auf den Geräten des Unternehmens regelmäßig eingespielt werden. Auch Benutzerrechte und Konfigurationen müssen immer wieder überprüft und angepasst werden.
- Wer einen Datenschutz- oder Sicherheitsvorfall bemerkt, sollte diesen direkt an die zuständige Stelle melden. Hier liegt es in der Verantwortung des Arbeitgebers, dass die Mitarbeiter wissen, an wen sie sich wenden können.