Intelligente Informationen leicht erhältlich

Cyberkriminelle arbeiten heute schnell, effektiv, automatisiert, bestens vernetzt und hoch professionell. Dank der steigenden Digitalisierung von Informationen über Menschen und Unternehmen sind sie hervorragend über ihre anvisierten Opfer informiert. Über soziale Medien, Blogs und Websites finden sie in der Schweiz praktisch alles, was ihnen die Planung und Durchführung eines Angriffs erleichtert. Wer arbeitet wo, wen hat das Unternehmen gerade in der Chefetage eingestellt, was sind die interessanten Themen aktuell – alles Informationen, die einfach abrufbar sind.

Haben Cyberangreifende noch vor wenigen Jahren Geschäftsdaten gestohlen, verkauft oder missbraucht, so setzen sie diese heute vorwiegend als Druckmittel für Lösegeldforderungen ein. Angriffe mit einer Ransomware (Erpressung) zählen zur Bedrohung Nummer 1 aus dem Cyberspace (siehe Kasten). Angreifer kennen Unternehmen genau, wissen, welche Beträge sie verlangen können, damit ein unvorbereitetes Unternehmen bezahlt, statt den Angriff auszuhalten und angemessen zu reagieren. 

Wir sind Menschen und das nutzen Kriminelle aus. Wie auch immer ein Cyberangriff konzipiert ist, er instrumentalisiert häufig menschliche Fehler oder Schwächen. Informationen, die einzelne Personen und das Unternehmen als Ganzes auf digitalen Kanälen und Medien von sich preisgeben, gehören mitunter zu Quellen der Angreifenden. Zusätzlich, lückenhaft aufdatierte Systeme, unbekannte und ungepflegte Schattenanwendungen und eine negative Fehlerkultur im Unternehmen erleichtern gewaltsames Eindringen. Nachfolgend widmen wir uns jenen menschlichen Aspekten, die Cyberkriminellen den Zutritt und Kreuzzug durch die IT eines Unternehmens erleichtern (vgl. Abbildung).

Menschliches Fehlverhalten und systembedingte Lücken öffnen Cyberhasardeuren Tür und Tor.

Social Media

Bei sozialen Medien ist der Name Konzept: sie sind sozial und medial. Demnach funktionieren sie, weil Menschen untereinander interagieren, Informationen teilen und verbreiten. Damit stellen sie ein wahres Eldorado für Cyberkriminelle dar. Diese zapfen hier gleich zwei nützliche Informationsquellen an:

• Private Informationen: In den sozialen Medien teilen Mitarbeitende und Führungskräfte ihre Freizeiterlebnisse und informieren über Aus- oder Urlaubszeiten, Hobbys, familiäre und sportliche Aktivitäten, kulturelle und sprachliche Vorlieben und Aufenthaltsorte. Dies vereinfacht eine personalisierte Kontaktaufnahme und weckt Interesse der Opfer.
• Geschäftsinformationen: Auf Business-Netzwerken und vielen Firmenwebsites finden sich präzise Angaben über Organisationsstruktur, Rollen, Funktionen, Aufgabenbereiche und Kompetenzen im Unternehmen. Hinterlegt sind Bilder, Namen, E-Mail-Adressen und direkte Telefonnummern. Im Hinblick auf ein gutes Employer Branding sprechen die Unternehmen hier zudem über unternehmerischen Zweck, Werte und ihre Firmenkultur.

Der rasante Vormarsch der sozialen Medien hat die Unternehmen in ein wahres Dilemma gestürzt. Zum einen müssen sie Präsenz zeigen, um sich Arbeitgebenden, Investierenden, Kunden, Lieferfirmen und einer breiten Öffentlichkeit als Vertrauensinstanz und zeitgemässer Dialogpartner zu präsentieren. Zum anderen verraten sie damit Informationen, die personalisierte und massgeschneiderte Angriffe begünstigen. Für ein Unternehmen ist es wichtig zu verstehen, dass solche Daten zu Verfügung stehen und Internas längst keine Geheimnisse mehr sind.

Phishing 

Ein Angriff über eine Phishing-E-Mail ist noch immer Zutrittsmethode Nummer eins. Mit Phishing-Attacken geben sich Cyberkriminelle über gefälschte Websites, E-Mails oder mobile Kurznachrichten als vertrauenswürdiger Kommunikationspartner aus, um das Gegenüber zu einer schädlichen Aktion zu bewegen und die Cybersicherheit zu gefährden. In der Folge veranlassen Mitarbeitende beispielsweise eine Transaktion, geben Benutzerdaten und Passwörter bekannt oder aktivieren direkt eine Schadsoftware (Malware). Phishing nutzt gleich zwei durch und durch menschliche Eigenschaften: Gutgläubigkeit und den Wunsch, noch schnell etwas zu erledigen. In den seltensten Fällen klickt jemand einen schädlichen Hyperlink vorsätzlich an.

Cyberresiliente Unternehmen sensibilisieren ihre gesamte Crew in regelmässigen Abständen auf Phishing und dessen Ausgestaltung. Aktuell existieren diverse Softwarelösungen, mit denen sich eine Phishing-Alarmtaste in die verwendete E-Mail-Anwendung integrieren lässt. Darüber wird eine verdächtige E-Mail automatisch oder in unklaren Fällen durch Experten geprüft und festgestellt ob es sich  um ein legitimes, ein Spam-Mail oder ein Phishing-Mail handelt. Ein schneller Test-Klick auf diesen täglichen Begleiter ist auf jeden Fall günstiger als ein übereilter Klick in einem Phishing-Mail.

Passwörter 

Hand aufs Herz: Wie viele verschiedene Passwörter haben Sie für sämtliche privaten und geschäftlichen Log-ins? Irgendwann geht der Kreativität schlicht die Fantasie aus und der Überblick verloren. Die meisten Menschen verfügen über ein enges Set mit einfachen, merkfähigen Passwörtern. Diese legt man gerne irgendwo gut zugänglich ab, damit man schnell und unkompliziert darauf zugreifen kann. Damit wird das Hacken von Passwörtern zum Kinderspiel. Schlimmer noch ist die Wiederverwendung von Passwörtern, so führt ein Angriff auf ein System schnell dazu, dass Zugänge auch auf etlichen weiteren Systemen und Diensten möglich ist.

Ein solides Passwortmanagement gehört zu einer guten Cybersecurity wie die Schlüsselverwaltung zum Facility Management. Deshalb empfiehlt sich für jedes Client-Benutzerkonto ein eigenes, langes und sicheres Passwort, das nach einer gewissen Zeit erneuert wird. Ausserdem lohnen sich eine professionelle Verwaltung und Vergabe der Passwörter, sowie der Einsatz von Zwei- oder Multi-Faktor-Authentifizierung als zusätzliche Schutzebene. Für Unternehmen und Private ist  der Einsatz einer sichereren Passwortmanagementlösung, über den sich Passwörter mit mehreren Geräten synchronisieren lassen zu empfehlen. 

Schatten-IT

Mit zunehmender Arbeitsmobilität und der Verbreitung von Homeoffice und Telearbeit werden private Endgeräte wie Handys, Tablets, Laptops, Router, Scanner, Memory-Sticks und Drucker oft auch für geschäftliche Zwecke eingesetzt und darauf Apps oder Cloud-Dienste installiert oder Geschäftsdaten heruntergeladen. Immer öfter sieht man auch den Einsatz von privaten Speicherorten (NAS, Cloud) um Geschäftsinformationen zu speichern oder zu sichern (Backup). Man spricht hier von Schatten-IT, da die Sicherheit dieser Systeme und Anwendungen nicht vollständig vom Unternehmen kontrolliert und gewährleistet werden kann. Zwar ist davon auszugehen, dass Mitarbeitende in bestem Wissen und Gewissen handeln – also nicht bewusst unsichere oder datenschutzrechtlich kritische Infrastruktur und Software installieren. Dennoch ist Schatten-IT weit verbreitet und stellt erhebliche Sicherheitslücken und ein erhöhtes Cyberrisiko dar.

Auch innerhalb Firmen wächst häufig Schatten-IT, zum Beispiel durch das Business eingeführte Software und Dienste, zum Beispiel auch in der Cloud – vorbei an der Firmen-IT und -Sicherheit.

Es ist in jedem Fall angebracht, Klarheit darüber zu erlangen, wer, wie, welche Schatten-IT verwendet und welche Risiken damit einhergehen. In der Folge sind Infrastrukturen und Programme im Einsatz hinsichtlich deren Sicherheitsstandards zu prüfen und entweder offiziell zu erlauben oder Alternativen zu definieren. Zuletzt sollte man Richtlinien und Kontrollen etablieren und vor allem Awareness über die Risiken bei den Mitarbeitenden schaffen. 

Fehlerkultur 

«Wer einen Fehler gemacht hat und ihn nicht korrigiert, begeht einen zweiten.» Diese Erkenntnis ist zwar so alt wie ihr Urheber Konfuzius selbst, aber dennoch topaktuell. Denn die vorherrschende Fehlerkultur eines Unternehmens ist entscheidend für dessen Reaktionsfähigkeit bei einem Cybervorfall. Wer sich davor fürchtet, für ein ungewolltes Anklicken eines schadhaften Links bestraft zu werden und es deshalb nicht meldet, schadet dem Unternehmen unter Umständen mehr, als wenn sofort die zuständige Stelle informiert wird. Diese kann schnell eine Diagnose stellen, ein klares Bild über den angerichteten und noch bevorstehenden Schaden erhalten und entsprechende Bereinigungsmassnahmen einleiten.

Hundertprozentige Sicherheit gibt es nicht. Ein Unternehmen muss akzeptieren, dass es den unheilvollen Klick nicht verhindern kann, auch bei einem noch so intakten Vertrauensverhältnis mit den Mitarbeitenden. Vielmehr sollte es eine positive Fehlerkultur etablieren. Zentral ist, dass die Betroffenen einen solchen Klick unverzüglich melden, damit der dafür aufgebaute Notfallplan umgehend greift. In dieser Hinsicht zählt wörtlich jede Sekunde.