Der Mensch im Mittelpunkt oder warum Ihre Mitarbeitenden eine Schlüsselrolle in der IT-Sicherheit einnehmen.

In der zunehmend digital vernetzten Arbeitswelt spielt die Anwender-Sicherheit eine zentrale Rolle bei der Absicherung unternehmerischer Ressourcen und Daten. Während traditionelle Sicherheitsmaßnahmen oft nur die technische Infrastruktur schützen, erkennen immer mehr Unternehmen, dass der wahre Schlüssel zur Cybersicherheit im Verhalten ihrer Mitarbeitenden liegt. Ein unachtsamer Klick oder das Teilen sensibler Informationen kann selbst die besten Sicherheitsmaßnahmen untergraben. In diesem Blogartikel geben wir eine Übersicht über das Social Engineering, welches die größten Schwachstellen sind und wie Sie Ihr Unternehmen durch sensibilisierte und trainierte Mitarbeitende schützen.

Inhalt

Was ist Social Engineering?

Laut dem Global Risk Report 2022 des World Economic Forums sind 95 % aller Cybersicherheits-Vorfälle auf menschliches Fehlverhalten zurückzuführen. Dies zeigt, dass der menschliche Faktor häufig die größte Schwachstelle in der Cybersicherheit eines Unternehmens ist. Social Engineering lautet der übergeordnete Begriff für die Manipulation von Menschen, die eingesetzt wird, um vertrauliche Informationen zu erlangen oder unerlaubten Zugang zu Systemen zu erhalten: Ein einziger Klick auf einen gut getarnten, schädlichen Link in einer Phishing-E-Mail, kann ausreichen, um Mitarbeitende unbeabsichtigt zur größten Sicherheitslücke Ihres Unternehmens werden zu lassen.

Die bekanntesten Techniken von Social Engineering haben wir für Sie zusammengefasst:

Technik Beschreibung
Phishing Cyberkriminelle verwenden gefälschte Nachrichten oder Websites, um Menschen dazu zu bringen, sensible Informationen wie Passwörter, Kreditkartendaten oder persönliche Daten preiszugeben.
Pretexting Täuschung durch eine erfundene Identität oder eine fiktive Geschichte, um vertrauliche Informationen zu erhalten. Der Angreifer gibt sich beispielsweise als IT-Mitarbeiter, Polizist oder Bankangestellter aus, um Vertrauen zu gewinnen und Informationen zu erlangen.
Baiting Verlocken von Opfern durch einen „Köder“, wie z. B. ein angeblich interessantes Angebot oder ein kostenloses Geschenk, um sie dazu zu bringen, schädliche Software herunterzuladen oder vertrauliche Informationen preiszugeben.
Quid Pro Quo Versprechen einer Gegenleistung, wie z. B. technischer Support oder ein Geschenk, im Austausch für vertrauliche Informationen oder den Zugang zu einem System.
Vishing (Voice Phishing) Phishing-Angriffe über Telefonanrufe, bei denen der Angreifer versucht, durch falsche Behauptungen oder Manipulationen vertrauliche Informationen zu erlangen.
Spear Phishing Eine gezielte Phishing-Attacke auf bestimmte Personen oder Organisationen, bei der die Angreifer spezifische Informationen über ihr Ziel verwenden, um die Täuschung glaubwürdiger zu gestalten.
 Tailgating (Piggybacking) Unbefugtes Betreten eines gesicherten Bereichs, indem man einem autorisierten Benutzer folgt, oft durch einfaches „Nachlaufen“ durch eine Tür, die Zugangskontrollen erfordert – Tailgaiting gehört aber im Gegensatz zu dem anderen Techniken in den Bereich physical Security.

Der SAC IT-Impuls: Die erste Verteidigungslinie stärken

Die Lösung liegt auf der Hand: Unternehmen müssen ihre Mitarbeitenden befähigen, sicherheitsbewusster zu handeln und auf Bedrohungen zu achten. Mit gezielten Maßnahmen zur Erhöhung der User Awareness wird die erste Verteidigungslinie gegen Cyberbedrohungen gestärkt: Ihre Mitarbeitenden. Diese können aktiv dazu beitragen, potenzielle Angriffe zu verhindern und die IT-Sicherheit insgesamt zu verbessern. Die erhöhte User Awareness stärkt das achtsame Verhalten Ihrer Mitarbeitenden und bringt viele Vorteile für Ihr Unternehmen:

  • Erhöhte IT-Sicherheit:
    Aufmerksame und informierte Mitarbeitende sind weniger anfällig für Cyberangriffe.

  • Stabilere IT-gestützte Abläufe:
    Je sicherer die IT, desto stabiler laufen die Geschäftsprozesse.

  • Schutz sensibler Informationen:
    Das Risiko, dass vertrauliche Daten in die falschen Hände geraten, wird deutlich reduziert.

Quick Wins: Kleine Schritte, große Wirkung

Neben dem regelmäßigen Training für Ihre Mitarbeitenden gibt es auch konkrete Schritte und praktische Maßnahmen, die sofort umgesetzt werden können. Wir empfehlen die Arbeit in zwei Säulen:

Wissen aufbauen

Schulungen und Informationsmaterialien sind der erste Schritt. Zeigen Sie Ihren Mitarbeitenden, worauf sie achten müssen.

  • Drei Checkpunkte für mehr E-Mail-Sicherheit – 3 Punkte zum E-Mail-Sicherheitscheck

  • Sichere Passwörter – Tipps für starke Passwörter

  • So funktioniert die Zwei-Faktor-Authentifizierung – Erklärungen und Anleitungen zur Zwei-Faktor-Authentifizierung

2. Selbstcheck für Mitarbeitende

Implementieren Sie eine Checkliste, mit der Ihre Mitarbeitenden am Ende jedes Arbeitstages oder jeder Arbeitswoche überprüfen können, ob sie sicherheitsbewusst gehandelt haben. So könnte diese Checkliste aussehen:

  • Habe ich verdächtige E-Mails korrekt identifiziert und nicht darauf reagiert?

  • Nutze ich für verschiedene Zugänge unterschiedliche, sichere Passwörter?

  • Setze ich Zwei-Faktor-Authentifizierung ein, wo immer möglich?

  • Gehe ich mit sensiblen Daten verantwortungsbewusst um?

Zusammenfassung

Die Aufklärung und Sensibilisierung der Mitarbeitenden ist neben dem Schutz der technischen Infrastruktur fundamentales Element, um Ihr Unternehmen vor Cyber-Attacken zu schützen. Hilfreich dabei können kontinuierliche, automatisierte Trainings ein.

Mehr zum Mitarbeiter-Training der SAC erfahren Sie hier: User Awareness Training.