Alle Beiträge von Emmanuel Schalit

Wie kann das Sicherheitsverhalten von Mitarbeitern effektiv verbessert werden?

Laut dem Insider Threat 2018 Report, der durch Dashlane in Auftrag gegeben wurde, stellt die größte Gefahr für die Sicherheit von Unternehmen die versehentliche Preisgabe von Daten durch eigene Mitarbeiter dar. Das höchste Gefahrenpotential resultiert demnach am häufigsten aus Phishing-Versuchen (67 Prozent), schwachen bzw. mehrfach verwendeten Passwörtern (56 Prozent) sowie schlechten Gewohnheiten beim Teilen von Passwörtern (44 Prozent).

Darüber hinaus wurden laut eines Datensicherheitsberichtes von Verizon bei 81 Prozent der erfolgreichen Hackerangriffe gestohlene und / oder schwache Passwörter verwendet, während 98 Prozent aller sozialen Angriffe auf Phishing zurückzuführen sind. Diesen Trends kann mit entsprechenden Cybersecurity-Trainings effektiv entgegengearbeitet werden.

Mitarbeiter sensibilisieren

Ein bekanntes Sprichwort sagt: „Gib einem Menschen einen Fisch und du ernährst ihn für einen Tag. Lehre einen Menschen zu fischen und du ernährst ihn für sein Leben.“ Das Gleiche trifft auch auf Cybersecurity-Trainings zu. Denn diese sind nur von vorübergehender Wirksamkeit, wenn Mitarbeitern Verhaltensvorschriften auferlegt werden, ohne ihnen den dahinterliegenden tieferen Sinn nahezubringen.

IT-Sicherheit muss demnach nicht nur Thema in vereinzelten Seminaren sein, sondern vielmehr einen ganzheitlichen Ansatz bilden, der die Unternehmenskultur grundlegend prägt. Unternehmen – egal, ob in einem Start-up oder Großkonzern – sollten Sicherheitsfördernde Maßnahmen dauerhaft in ihr berufliches Tun integrieren, indem der Standpunkt und das Verhalten der Mitarbeiter in Bezug auf Datensicherheit langfristig beeinflusst wird.

Die Schulungen zur Sensibilisierung im Bereich der Cybersecurity bei Mitarbeitern sollten deshalb unter eine der beiden Kategorien fallen:

Kategorie 1: Methoden erarbeiten, durch die Mitarbeiter in ihrem Verhalten Probleme bzw. Risiken für die Cybersicherheit frühzeitig identifizieren sowie verstehen können.

Kategorie 2: Verfahren einführen, die den Mitarbeitern langfristige Lösungen aufzeigen, um ihr Wissen im Bereich Cybersicherheit zu erweitern und ihr Verhalten daran anzupassen.

Um das Verständnis der Mitarbeiter für Cybersicherheit langfristig zu verbessern, sollte es Antworten auf die Fragen Warum?, Wie? und Was?  geben.

  • Warum ist Cybersicherheit so wichtig?
  • Wie greifen Cyberkriminelle Unternehmen an und wie können Mitarbeiter dem vorbeugen?
  • Was können Mitarbeiter tun, um Datensicherheit in ihrem Arbeitsalltag zu einer Priorität zu machen?

Es gibt viele Gründe für einen leichtfertigen Umgang mit Passwörtern und sensiblen Daten am Arbeitsplatz. Dies liegt meist entweder daran, dass Mitarbeitern die Motivation fehlt, Cybersecurity als Priorität anzuerkennen oder dass sie nicht über ausreichendes Wissen verfügen, um das Thema als persönlich relevant einzustufen. Daher ist es umso bedeutender, die komplex erscheinende Herausforderung der Cybersecurity für die Mitarbeiter in einen Kontext zu bringen, indem ihre Tragweite verständlich erklärt und konkrete Beispiele für einfache Verhaltensänderungen am Arbeitsplatz benannt werden.

Tests und Audits zur Identifikation von Sicherheitslücken

Um Sicherheitslücken im eigenen Unternehmen bestmöglich erfassen und somit auch an die Mitarbeiter spiegeln zu können, bietet sich die interne Durchführung von Tests und Audits an. Gerade Mitarbeiter-Accounts stellen eine große Angriffsfläche für Phishing-Attacken dar. Ziel dieser digitalen Attacken ist meist das Abgreifen von Passwörtern und Nutzerdaten. Um insbesondere in Sachen „Business E-Mail Compromise“ und klassischen Phishing-Attacken die Wachsamkeit der Mitarbeiter zu überprüfen, gibt es verschiedene Phishing-Tests wie PhishMe oder KnowBe4. Diese bewerten die Anfälligkeit einzelner Mitarbeiter gegenüber Betrüger-E-Mails und zeigen die allgemeine Sicherheitsperformance des Unternehmens auf.

Sicherheitsaudits bieten ähnliche Vorteile wie Phishing-Tests, allerdings in einem größeren Umfang. Sie können die risikoreichen Achillessehnen des IT-Systems identifizieren und die Unternehmensabwehr verbessern. Schulungsbedürftigen Mitarbeitern können mithilfe der Ergebnisse die Gefahren anschaulich erläutert werden. Zudem wird eine Grundlage für zukünftige Audits zur Verbesserungsmessung geschaffen.

Unabhängig von Tests und Audits gibt es auch informellere Wege, um Mitarbeiter über Cybersecurity aufzuklären. Neben Impulsvorträgen mit motivierenden Ratschlägen und konkreten Verhaltenstipps, kann die Wachsamkeit jedes einzelnen auch durch die detaillierte Schilderung eines Notszenarios gesteigert werden. Wie knackt ein Hacker ein schwaches Passwort? Welche sensiblen Unternehmensdaten kann er damit stehlen? Was könnten die wirtschaftlichen Folgen für das Unternehmen sein und wie wirkt sich dies ggf. auf die Mitarbeiter aus? Generell ist zu empfehlen, das Thema Cybersecurity für die Mitarbeiter greifbar aufzuarbeiten.

Mitarbeitern Lösungen bereitstellen

Um eine Unternehmenskultur zu etablieren, in der Sicherheit priorisiert wird, sind langfristige Maßnahmen zur Weiterbildung und Unterstützung der Mitarbeiter gefragt. Diese Maßnahmen können sich ganz unterschiedlich gestalten.

A) Fortlaufende Sicherheitstrainings und Kommunikation

Die oben erläuterten Methoden der Phishing-Tests und Sicherheitsaudits helfen nicht nur dabei herauszustellen, welche Mitarbeiter einen besonders hohen Verbesserungsbedarf in ihrem Sicherheitsverhalten haben. Sie sind vor allem langfristig aufschlussreich. Von Phishing-Test zu Phishing-Test können Mitarbeiter ihren persönlichen sowie den allgemeinen Security-Fortschritt einsehen. Durch ein Audit oder Sicherheitslückentest können Unternehmen somit feststellen, wo die Schulungen Früchte tragen und wo ggf. noch weitere Sensibilisierung und Weiterbildung notwendig sind.

Zudem unterstützen regelmäßige Sicherheits-E-Mails, in denen die neusten Tricks und Methoden von Hackern erläutert werden, bei einem sicheren Tagesgeschäft. Diese E-Mails können monatlich oder bei konkretem Bedarf verschickt werden, z. B. wenn aktuell ein bestimmter Phishing-Trick in der Umgebung des Unternehmens gehäuft vorkommt.

Darüber hinaus sollte das Thema Cybersecurity bereits fest in die Einarbeitungsphase neuer Mitarbeiter integriert werden. In einer kurzen Präsentation könnten beispielsweise die Risiken von Phishing-Mails sowie die Notwendigkeit sicherer Passwörter veranschaulicht werden.

B) Business-Passwort-Manager

Eine Passwort-Manager-Software ist die beste Möglichkeit, dafür zu sorgen, dass Mitarbeiter ihre schlechten Passwort-Gewohnheiten ablegen. Dazu gehören:

  • Die Mehrfachverwendung von Passwörtern: Viele Mitarbeiter nutzen für mehrere Online-Accounts dieselben Passwörter, auch bei privaten und geschäftlich sensiblen Konten gibt es Überschneidungen. Sollte also ein privates Konto gehackt werden, bedeutet dies auch automatisch ein hohes Sicherheitsrisiko für das Unternehmen.
  • Schwache Passwörter: Das Passwort 12345 ist äußerst leicht zu knacken, dennoch ist es eines der beliebtesten Kennwörter Deutschlands. Da das menschliche Gedächtnis nicht dafür konzipiert ist, sich lange, einzigartige Aneinanderreihungen von Zahlen, Buchstaben und Symbolen zu merken, wird häufig auf sehr simple Codes zurückgegriffen. Mit einem Passwort-Manager können komplexe Passwörter für jedes Konto erstellt werden. Somit wird das Risiko eines Hackerangriffs miniert. Und sollte dennoch ein Online-Account gehackt worden sein, ist es nicht möglich, das geknackte Passwort bei anderen Konten zu verwenden.
  • Speichern von Passwörtern: Passwörter in einem Notizbuch bzw. Word-Dokument zu vermerken oder in einem Browser zu speichern ist alles andere als sicher. Mit einem Passwort-Manager können Mitarbeiter alle Passwörter – privat und geschäftlich – an einem digitalen Ort verschlüsselt lagern und von unterwegs darauf zugreifen, ohne Sorge haben zu müssen, dass ein Dritter an diese sensiblen Daten gelangt.
  • Teilen von Passwörtern: Mitarbeiter teilen ihre Passwörter auf unzähligen Wegen mit ihren Kollegen, ungeachtet, dass dies ein hohes Risiko darstellt. Mit einem Passwort-Manager ist es möglich, Passwörter auf sichere Art zu teilen und nur bestimmten Mitarbeitern den Zugriff auf gewisse Konten zu gewähren.

Vergleicht man den finanziellen Schaden, den Datenmissbrauch aufgrund von ungenügender Passwortsicherheit erzeugt, mit den Kosten für einen professionellen Passwort-Manager, kann festgehalten werden: Prävention lohnt sich. Um sicherzugehen, dass Mitarbeiter den Passwort-Manager auch nutzen, sollte ein benutzerfreundliches Tool gewählt werden, das im gesamten Unternehmen zum Einsatz kommt.

C) Zwei-Faktor-Authentifizierung

Der Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher, unabhängiger Faktoren, wie z. B. die Kombination aus Fingerabdruck und Zahlenpin, stärkt die Sicherheit des Unternehmens. Zwei-Faktor-Authentifizierungen sind nur dann erfolgreich, wenn beide benötigten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Zugriffsberechtigung nicht zweifelsfrei feststellen. Dadurch können sensible Daten vor Cyberkriminellen geschützt werden.

D) Sicherheit@Unternehmen.com

Durch das Etablieren von einem allgemeinen E-Mail-Alias können die geschulten Mitarbeiter verdächtige E-Mails unmittelbar weiterleiten und von einem Profi überprüfen lassen. Ein eingestellter Hinweis wie beispielsweise „[Extern] für Mails, die von außerhalb des eigenen Netzwerks verschickt wurden, lässt Mitarbeiter zudem erkennen, ob Nachrichten intern, vom Unternehmen, verschickt wurden oder Spam-E-Mails sind.

Verhaltensmuster langfristig anpassen

Bei all den geschilderten Methoden handelt es sich um Vorschläge, mit denen Unternehmen ihr Ziel erreichen können, die Mitarbeiter für das Thema Cybersecurity zu sensibilisieren. Diese Anwendungen können als Grundlage dienen, um Fragen nach dem Warum, Wie und Was zu beantworten, und somit zu kurz- und langfristigen Verbesserungen führen. Mitarbeiter müssen von Unternehmen so geschult werden, dass sie verstehen, welche Probleme sich aus ihrem derzeitigen Sicherheitsverhalten ergeben. Nur dann können Verhaltensmuster langfristig angepasst und optimiert werden. Denn letztendlich ist jedes Unternehmen nur so sicher, wie sein fahrlässigster Mitarbeiter.

Wie sicher ist Künstliche Intelligenz für Unternehmen?

Künstliche Intelligenz – in all ihren Formen – wird in unserer Gesellschaft bald nicht mehr wegzudenken sein. In diesem Fall sprechen wir vor allem über die Funktionen von persönlichen Assistenten, die von Nutzern über Sprachbefehle aktiviert werden. Solche Assistenten wie Siri oder Alexa können verschiedene unliebsame Aufgaben des Nutzers übernehmen, etwa nach Informationen recherchieren, Telefonnummern wählen oder Daten aufrufen.

Jeder, der häufig soziale Netzwerke nutzt, kennt die Memes und Witze über diese Geräte. Die meisten dieser Parodien zeigen Familien, die ganz unbekümmert mit ihren KI-Geräten interagieren und etwas sagen wie, „Hey Abhörgerät, such mir ein gutes Rezept für Kekse!“ oder „Nur weil du paranoid bist, heißt das nicht, dass sie nicht hinter dir her sind …“. Über diese Witze können wir eben nur lachen, weil sie auf eine mögliche Wahrheit anspielen.

Und die Wahrheit ist, dass KI-Geräte auch zu Abhörgeräten werden können. Es ist sogar erwiesen, dass es eine Möglichkeit gibt, ein Amazon Echo zu hacken. Allerdings sind die meisten Verbraucher nicht besorgt genug darüber, abgehört zu werden. Und viele verzichten nur ungern auf ihre persönlichen Assistenten.

Wie steht es mit Künstlicher Intelligenz im Büro?

Diese Form von Künstlicher Intelligenz wird am Arbeitsplatz in jedem Fall Fuß fassen. Amazon bietet beispielsweise seinen Sprachassistenten Alexa jetzt auch speziell für Unternehmen an – Alexa for Business.

Scheinbar endlos die Möglichkeiten, die diese Art von Künstlicher Intelligenz in Sachen Effizienz am Arbeitsplatz darstellen. Sie können komplizierte Umsatzdaten und Berichte des Ertragszyklus-Managements nachschlagen oder einen Kunden anrufen, ohne dabei die laufenden Tätigkeiten unterbrechen zu müssen. All diese Aufgaben können durch einfaches Fragen automatisch erledigt werden. Somit wird Zeit für Wichtigeres gespart.

Ein weiterer Vorteil von intelligenten Sprachassistenten? Viele Angestellte sind mit der Technologie bereits vertraut, da diese im Privatleben ähnliche Programme und Technolgien verwenden.

Privat siegt die Bequemlichkeit über das Risiko. Ist das auch auf Unternehmen übertragbar?

Cybersicherheitsrisiken für Unternehmen – zahlt sich Künstliche Intelligenz wirklich aus?

Ein deutlicher Vorteil von KI besteht darin, dass Mitarbeiter Aufgaben effizienter erledigen können. Die Kehrseite der Medaille ist jedoch das erhöhte Risiko bei der Verwendung dieser Art von Technologie.

Zum einen stellt sie eine weitere Angriffsmöglichkeit für Hacker dar, wobei die Auswirkungen eines Angriffs hier verheerend sein können. Sich den Zugang zu einem persönlichen KI-Assistenten zu erschleichen, würde bedeuten, dass Hacker jeden Sprachbefehl im Büro aufnehmen und Zugriff auf alle mit dem Gerät verbundenen Konten hätten. Dies könnte zu einer großen Datenschutzverletzung führen, die nur schwer aufzudecken ist. In einem weiteren möglichen Szenario sendet der Hacker hochfrequente Töne und Befehle an das Gerät aus, um etwa Dateien an einen bestimmten Standort zu senden oder eine Seite aufzurufen, die Malware direkt auf Geräte im Büro herunterlädt.

Während Privatnutzer keine Hackerangriffe dieser Art zu befürchten haben, kann ein Unternehmen nicht über das mögliche Risiko hinwegsehen. Wenn bei einem Angriff der Datenschutz gefährdet wird, könnte das rechtliche Folgen für ein Unternehmen haben und den Ruf zu einem erschreckenden Maß beeinträchtigen.

Mehr als 40 Prozent der Cyber-Angriffe sind auf kleinere Unternehmen gerichtet. Und Großunternehmen fallen regelmäßig Hacker-Angriffen zum Opfer. Erpressungstrojaner kosten Großunternehmen, Gesundheitseinrichtungen und sogar Privatpersonen jährlich Millionen von Dollar. Da viele Einrichtungen über keine gute Daten-Wiederherstellungsstrategie oder ordentliche Cybersicherheit verfügen, bezahlen sie letztlich die Erpressungsgelder. Sogar Polizeibehörden zählten bereits zu den Opfern.

Dies stellt ein großes Risiko für Unternehmen jeder Größe dar. Eine Mehrheit von 60 Prozent jener von Hacker-Angriffen betroffenen Unternehmen, müssen innerhalb eines Jahres ihr Geschäft aufgeben. Die Erpressungstrojaner und Cyber-Angriffe, mit denen Unternehmen bislang zu kämpfen hatten, haben sich noch nicht in diese Form der Künstlichen Intelligenz einschleusen können. Allerdings wird diese KI-Form erst jetzt richtig zugänglich. Es ist anzunehmen, dass Hacker die Schwächen dieser Geräte in Zukunft gezielt ausnutzen.

Geschäftsinteressen effektiv schützen

Künstliche Intelligenz hat längst in Form von persönlichen Assistenten die Berufswelt erobert und wurde unter anderem über Mitarbeiter eingeführt. Hacker können derzeit Angestellte in hochrangigen Positionen durch deren persönliche Assistenten-Geräte ins Visier nehmen. Der Technologie aus dem Weg zu gehen ist schlichtweg unmöglich.

Glücklicherweise ist extremes Misstrauen nicht völlig gerechtfertigt. Geräte, wie Smartphone oder Computer,  die Sprachanwendungen und Video-Chats unterstützen sind im täglichen Einsatz. Kein Grund also, sich direkt von einem Gerät zu trennen, das eventuell gefährdet sein könnte. Stattdessen muss sich das Bewusstsein für die Gefahren schärfen. Mitarbeiter sollten daher immer auf dem neuesten Stand sein um Gefahrensituationen erfolgreich abzuwehren. 

Welche verschiedenen Arten von Cyber-Attacken neue Technologien, wie die Sprachassistenten, mit sich bringen, ist schwer abzusehen. Die folgenden Methoden helfen dabei Unternehmen abzusichern:

  • Bieten Sie Schulungen für Mitarbeiter an. Eine enorme Menge an Daten wird missbraucht, weil sich Hacker Zugang durch nachlässige Mitarbeiter verschaffen. Dies kann passieren, wenn Kollegen keinen Passwortschutz haben, zu schwache Passwörter verwenden oder auf infizierte Links klicken. Gerade weil dies häufig unabsichtlich geschieht, können schon regelmäßige Aktualisierungen der Sicherheitsprotokolle helfen.
  • Bewerten und verbessern Sie die Sicherheit Ihrer eigenen Website. Hacker sind normalerweise keine Schurken-Genies, die allein durch Codes in das System einbrechen können. Sie verschaffen sich oft durch die reale Welt Zugang, so zum Beispiel durch den Computer eines Mitarbeiters, der nicht passwortgeschützt ist.
  • Haben Sie eine Strategie für jedes Szenario parat. Unternehmen sollten gemeinsam mit den IT-Teams einen Notfallplan entwickeln, um sicherzugehen, dass jeder Angriff so wenig Schaden wie möglich anrichtet.

Künstliche Intelligenz trägt einen großen Teil zur Verbesserung der Produktivität bei. Genau wie mit allen anderen neuen technischen Fortschritten, sollten Unternehmen die Initiative ergreifen und ihre Sicherheitslage überdenken.