Mit Schirm, Charme und Drohne: Der Faktor Mensch in der Informationssicherheit
Als im Januar dieses Jahres FBI, Europol und andere veröffentlichten, dass sie sich in die Systeme der Ransomware-Gruppe „Hive“ eingehackt hatten, war das Erstaunen über eine zunächst nebensächliche Zahl groß. Was war geschehen?
„Hive“ hatte es geschafft, Schadsoftware, sogenannte Ransomware, in über 1.500 Organisationen in 80 Ländern einzuschleusen. Diese verschlüsselte wichtige IT-Systeme der Opfer, so dass der Geschäftsbetrieb stark eingeschränkt wurde oder sogar zum Erliegen kam. Erst nach einer hohen Lösegeldzahlung hatte „Hive“ den Zugriff auf die Daten wieder freigegeben. Im ersten Geschäftsjahr hatte die Gruppe so über 100 Millionen US-Dollar erpresst.
Nachdem die Behörden heimlich Zugang zu den Systemen der Gruppe gewonnen hatte, halfen sie den Opfern, den Zugriff auf die Daten ohne die hohen Zahlungen wieder herzustellen. Als sie einen Abgleich der „Kundenliste“ mit den Meldungen bei Behörden machten, stellten sie fest, dass nur etwa 20% der Opfer eine Meldung gemacht haben.
Vom Verbergen zum Teilen: Warum Scham bei Cyberangriffen überwunden werden muss
80% der Organisationen haben niemandem Bescheid gegeben, dass sie erpresst wurden und den Zugriff auf wichtige Daten verloren haben. Häufige Gründe dafür sind Angst vor Imageverlust oder einen Vertrauensverlust bei den Kunden. Man könnte also sagen, dass sich Organisationen schämen.
Dabei wäre ein offener Umgang mit derartigen Angriffen so wichtig, damit andere Organisationen daraus lernen und ihre Mitarbeiter:innen vor den Angriffsmethoden warnen können. Denn Angreifende sind kreativ und versuchen mit immer neuen Methoden und Tricks an ihr Ziel zu kommen. Dabei nutzen sie beispielsweise die Unwissenheit, die Arbeitslast, die Hilfsbereitschaft oder die Gutgläubigkeit von Mitarbeiter:innen aus.
Methoden der Angreifer: Beispiele
Wisst Ihr, was Eure Mitarbeiter:innen über Eure Firma auf Bewertungsportalen wie kununu schreiben? Bekommt Ihr dort beispielsweise das Feedback, dass Ihr an Eurer Führungskultur arbeiten solltet, könnten Phishing-Mail-Angriffe besonders erfolgreich werden, wenn sie dieses Anliegen aufgreifen. Wird ein Thema angesprochen, das die Empfänger:innen emotionalisiert, sind sie viel bereitwilliger, Dokumente mit Makros zu öffnen oder auf Fake-Anmeldeportalen ihre Zugangsdaten aus der Firma einzugeben.
Wahrscheinlich wissen Eure Mitarbeiter:innen bereits, dass es gefährlich sein kann, gefundene oder zugesandte USB-Sticks ungeprüft in Computer zu stecken. Der darauf enthaltende Schadcode könnte aktiviert werden und große Schäden verursachen. Aber wie sieht es mit begehrten Ladekabeln aus? Tests zeigen, dass die Bereitschaft viel größer als bei USB-Sticks ist, diese Kabel einzustecken. Nur weil etwas nicht wie ein klassischer USB-Stick aussieht, kann es dennoch das gleiche Gefahrenpotenzial bergen.
Wenn sich Cyberkriminelle vor Ort Zutritt zu einer Firma verschaffen wollen, dann sind es meistens nicht die Kapuzenpullover-tragenden Nerds, wie man sie aus Filmen oder TV-Serien kennt. Die Angreifenden wissen, dass die Erfolgsquote mit sympathischen, attraktiven Personen, denen man gerne hilft, steigen. Sie nutzen also unsere Vorurteile und Hilfsbereitschaft aus.
Wichtig: Dem schlechten Gefühl Raum geben
Egal, ob Organisationen wirklich angegriffen wurden oder wir in unseren Awareness-Kampagnen der teccle group entsprechende Angriffe simuliert haben: Es gibt eine häufige Rückmeldung, wenn Mitarbeiter:innen alles noch einmal Revue passieren lassen. Diese heißt:
„Ich hatte in der Situation ein komisches Gefühl. Aber ich habe trotzdem gehandelt, weil…“
Die Gründe können vielfältig sein: Zeitdruck, Angst vor Ablehnung, hierarchischer Druck, Hilfsbereitschaft oder Konfliktscheue. Dabei wäre es wichtig, dass Mitarbeiter:innen bewusst wird, dass es wichtig ist, diesem schlechten Gefühl Raum zu geben. Sobald sich dieses Gefühl einstellt, heißt es: Wachsam sein, Handlungsoptionen bedenken, die Situation verlassen, Hilfe hinzuziehen.
Mit guter Awareness wird die Eintrittswahrscheinlichkeit eines Risikos und das Schadensausmaß herabgesetzt. Der Faktor Mensch spielt dabei die zentrale Rolle, wenn es um Informationssicherheit in Unternehmen geht. Mit den Sensibilisierungsprodukten unserer Marke SECUTAIN helfen wir Euren Mitarbeiter:innen, Angriffssituationen souveräner zu meistern und den Schutz Eurer Informationen und Eurer Organisation zu verbessern.
Ihr möchtet mehr über SECUTAIN und unsere Awareness-Angebote erfahren? Dann nehmt gleich Kontakt auf.