Hacks, Scams und sonstiger Sicherheitsvorfälle sind ein dauerndes und mitunter teueres Ärgernis für Unternehmen. Dabei sind sich viele Untersuchungen zum Thema einig: Das Gros der Bedrohungen kommt von Innen.
Der verschwiegene Hackerangriff
Viel schlimmer noch ist allerdings, dass viele Unternehmen von den Sicherheitsvorfällen, die durch Innentäter verursacht werden gar nichts mitbekommen. In 40 Prozent aller Unternehmen weltweit haben Mitarbeiter schon einmal Vorfälle mit IT-Security-Bezug unter den Teppich gekehrt. Zu diesem Ergebnis kommt eine Studie von Kaspersky Lab und B2B International, die zu diesem Thema Mitarbeiter aus 5000 Unternehmen aus aller Welt befragt haben.
Trotzdem ist den Firmen das erhöhte Sicherheitsrisiko durch die eigenen Mitarbeiter durchaus bewusst: Mehr als die Hälfte aller Unternehmen (52 Prozent) glaubt fest daran, dass die eigene Belegschaft den größten Security-Schwachpunkt darstellt. Dabei sind es in der Regel nicht einmal böse Absichten, die Mitarbeiter dazu bringen, die IT-Sicherheit mit Füßen zu treten.
Nachlässigkeit und Unwissenheit von Mitarbeitern stellen die größten Risiken im Business-Umfeld dar, wenn es um zielgerichtete Attacken geht. Der Studie zufolge sind 28 Prozent aller Cyberangriffe auf Phishing und Social Engineering zurückzuführen, weitere 30 Prozent entfallen auf Exploits und den Verlust von mobilen Endgeräten. Laut Kaspersky waren im vergangenen Jahr 46 Prozent aller Cybersecurity-Vorkommnisse auf uninformierte oder nachlässige Mitarbeiter zurückzuführen.
Als Hauptprobleme identifiziert die Studie von Kaspersky und B2B das Verschweigen von Sicherheitsvorfällen und die unautorisierte Nutzung von mobilen Endgeräten im Firmennetzwerk. Insbesondere erstgenannter Fall kann zu weiteren Konsequenzen führen, denn es besteht die Möglichkeit, dass weiterer Schaden entsteht. Versucht etwa ein Mitarbeiter selbstständig, die gerade eingefangene Ransomware auf dem Firmenrechner dadurch zu besiegen, dass er einfach das Lösegeld zahlt, ist noch lange nicht sichergestellt, dass das System danach komplett bereinigt ist.
Die Malware könnte weiterhin aktiv sein und sich auch auf andere Rechner ausbreiten. Die Studienmacher mahnen daher die Unternehmen, das Problem des "Unter-den-Teppich-Kehrens" offen anzusprechen - und zwar nicht nur bei den Mitarbeitern, sondern auch in Management- und HR-Kreisen. Schließlich müsse es ja einen Grund für das Verschweigen geben. Dieser könne etwa in einem Klima der Angst liegen.
Die Nutzung von mobilen Endgeräten im Unternehmensnetzwerk sorgt weiterhin für Kopfschmerzen: Immer noch ist laut der Studie jedes dritte Unternehmen weltweit besorgt über die Thematik "Bring your own device" (ByoD). Hierbei spielt auch der mögliche Verlust von mobilen Devices eine Rolle. Laut Studie sind mehr als die Hälfte aller Sicherheitsvorfälle bei den befragten Unternehmen auf den Verlust eines solchen Geräts zurückzuführen.
Sorgen bereitet den Unternehmen aber auch, dass es bei ByoD im Wesentlichen an den Mitarbeitern selbst liegt, verantwortungsvoll und im Sinne der Security-Policy mit Unternehmensdaten umzugehen. Das wiederum scheint leider alles andere als selbstverständlich: 44 Prozent der befragten Firmen gab an, dass die Mitarbeiter den Sicherheits-Richtlinien nicht Folge leisten.
Die gute Nachricht: Die Mehrheit der befragten Unternehmen will tätig werden. In erster Linie durch die Einführung neuer Security-Softwarelösungen (43 Prozent), doch auch die Weiterbildung über Trainings und Awareness-Programme steht hoch im Kurs (35 Prozent).
Top 10: Mitarbeiter, die die IT-Sicherheit bedrohen
Für Sam Elliot vom Security-Anbieter Bomgar sind Mitarbeiter und externe Partner mit entsprechenden Zugriffsrechten in der Regel die Hauptverdächtigen, wenn es um (gewollte oder ungewollte) Angriffe durch Innentäter geht. Elliot warnt insbesondere vor diesen zehn Mitarbeiter-Kategorien:
10. Die Charity-Organisation
Der Weg ins Verderben kann mit integren Absichten beschritten werden: "Wie man beim Hack von JP Morgan Chase im Jahr 2014 gesehen hat, kommt die Kreativität bei solchen Angriffen nie zu kurz", betont Elliot. "Viele große und kleine Wohltätigkeitsorganisationen erhalten im Rahmen von Kooperationen Zugriff auf die Mitarbeiter-Datenbanken von Unternehmen oder halten sensible Informationen über teilnehmende Mitarbeiter vor."
9. Der Cloud-Manager
Daten in der Cloud vorzuhalten kann ein Risiko darstellen: "Je mehr Daten ihren Weg in die Cloud finden, desto wichtiger werden die privilegierten User, die die Infrastruktur managen," so Elliot. "Diese Personen haben umfassenden Zugriff auf Unternehmens-Daten und stellen deshalb lukrative Ziele für Hacker dar."
8. Der befristet Beschäftigte
Gerade bei zeitlich befristeten Verträgen ist Nachlässigkeit der falsche Ansatz: "In der Einzelhandelsbranche und anderen serviceorientierten Bereichen der Industrie werden Saison- und Zeitarbeiter eingestellt - auch in den IT-Abteilungen. Diese werden oft mit zeitlich begrenzten Zugriffsrechten auf Online-Systeme und entsprechender Hardware ausgestattet. Für diese Mitarbeiter sollten die gleichen IT-Sicherheitsregeln gelten, wie für alle anderen", empfiehlt der Experte.
7. Der externe Partner
"Viele Unternehmen - insbesondere große - setzen für ihr Tagesgeschäft auf ein komplexes Netzwerk von externen Händlern", erklärt Elliot. "Wie bereits mehrere schlagzeilenträchtige Fälle gezeigt haben, stellt es ein Risiko dar, diese Händler via VPN mit direktem Zugriff auf das Unternehmensnetzwerk auszustatten. Denn diese Zugänge könnten Hackern als Gateway dienen. Unternehmen sollten den Zugriff ihrer Händler limitieren und kontrollieren."
6. Der Social Media Manager
Viele Social-Media-Experten glauben daran, dass jede Art von Aufmerksamkeit gut ist. "Social-Media-Admins sind ständig online und stehen in der Netz-Öffentlichkeit. Über diese Personen findet man wahrscheinlich schnell erste Kontaktinformationen über Karriere-Netzwerke wie LinkedIn", gibt Elliot zu bedenken. "Kriminelle Hacker könnten außerdem versuchen, sich selbst als Social Media Manager auszugeben, um Zugriff auf Systeme oder Informationen zu bekommen."
5. Der neue IT-Entscheider
Unwissenheit schützt vor Schaden nicht: "Hacker agieren oft überraschend raffiniert und informieren sich zunächst online, um dann über Social-Engineering-Taktiken ihr Glück zu versuchen," weiß der Experte. "Neue IT-Administratoren, die noch nicht mit Protokollen und Prozessen vertraut sind, könnten von Cyberkriminellen ins Visier genommen, beziehungsweise in die Falle gelockt werden."
4. Der Ex-Mitarbeiter
"Eine Sicherheitslücke, die so gut wie alle Unternehmen betrifft, ist die Löschung von Zugangsdaten, nachdem Mitarbeiter ausgeschieden sind", so Elliot. "Wer diese Zugänge nicht löscht, geht das Risiko ein, angegriffen zu werden. Die Angriffsfläche so zu reduzieren, gehört zum Einmaleins der IT-Sicherheit."
3. Der Security-Berater
Extern bleibt extern: "Eine ganzheitliche IT-Sicherheitsstrategie erfordert oft auch die Unterstützung von mehreren Security-Anbietern", ist sich Elliot sicher. "Bevor Sie jedoch Zugangsdaten verteilen, sind Sie gut damit beraten, zu überprüfen, wie es eigentlich um die Sicherheit des Anbieters selbst bestellt ist."
2. Die Assistenz der Geschäftsleitung
Kleine Info, große Sache: "In vielen Unternehmen besitzt die Assistenz der Geschäftsleitung umfassende Zugriffsrechte - unter anderem auf Personal- und Finanzdaten. Das macht sie zu einem besonders attraktiven Ziel für kriminelle Hacker."
1. Der CEO
Der Mann oder die Frau an der Spitze, sollte auch auf Ihrer Security-Liste ganz oben stehen: "Das FBI hat den monetären Verlust durch Scams, die gezielt auf das C-Level ausgerichtet waren, für die letzten drei Jahre auf circa 2,3 Milliarden Dollar geschätzt", sagt Elliot. "Diese Art der Angriffe auf die Daten von Geschäftsführern zeigt, dass die kriminellen Hacker auf sämtlichen Hierarchie-Ebenen angreifen."
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.