Die häufigsten Methoden, mit denen Ihre Mitarbeiter gehackt werden und wie man sie verhindert.
Ein Leben ohne Internet und Datenkonnektivität ist nur noch schwer vorstellbar, sind wir von diesen Dingen doch sehr abhängig. Untersuchungen zeigen, dass wir durchschnittlich 6,7 Stunden am Tag online sind, und mit der raschen Verbreitung des Internets der Dinge wird es immer schwieriger, mit der Masse an Daten und Informationen Schritt zu halten.
Kleine Unternehmen sind für Cyberkriminelle „Big Business“ 50 % aller Cyberangriffe richten sich gegen kleine Unternehmen. Hacker machen sich die gängige Vorstellung zu Nutze, dass kleine Unternehmen in Sachen Cyberabwehr nicht auf dem gleichen Niveau liegen wie große Organisationen.
Entgegen der landläufigen Meinung sind kleine Unternehmen nicht weniger anfällig für Cyberangriffe als große Organisationen; auf sie entfallen fast 50 % aller Attacken. Bedenken wir, dass Mitarbeiter in 56% der Zeit sensible Geschäftsdaten auf ihren Laptops, Smartphones und Tablets bei sich tragen, so wird schnell klar, dass die Einführung von Cyber Security Maßnahmen zum Schutz der Widerstandsfähigkeit des Unternehmens unerlässlich ist.
Einen formalen Rahmen für die unternehmensweite Implementierung bildet die ISO 27001, die international führende Norm für ISMS (Managementsysteme für Informationssicherheit). Sie bietet Organisationen ein Best-Practice-Gerüst zur Identifizierung, Analyse und Implementierung von Kontrollen, mit denen Risiken hinsichtlich Informationssicherheit gemanagt und die Integrität geschäftskritischer Daten sichergestellt werden. Bereits vor einer Zertifizierung Ihres Unternehmens nach der ISO 27001 macht es Sinn, eine Kultur der „Cyber Awareness“ innerhalb des Unternehmens bei Ihren Mitarbeitern zu etablieren. Hier sind die fünf häufigsten Methoden, mit denen Mitarbeiter gehackt werden, sowie einfache Vorgehensweisen, wie Sie dies verhindern können und durch deren Umsetzung die Widerstandsfähigkeit Ihres Unternehmens gegen die Bedrohung durch Cyberangriffe gestärkt wird. Die Bedeutung einer ISO 27001-Zertifizierung für Ihr Unternehmen Wenn Informationssicherheitssysteme nicht ordnungsgemäß verwaltet und gepflegt werden, laufen Unternehmen Gefahr, ernsthafte finanzielle Schäden und Reputationsverluste zu erleiden. Die ISO 27001 trägt dazu bei, dass Ihre Organisation über die richtigen Kontrollen verfügt, um das Risiko schwerer Bedrohungen der Datensicherheit zu reduzieren und die Ausnutzung jeglicher Systemschwächen zu vermeiden.
1. Email-Phishing
Phishing ist eine der häufigsten Methoden, die von Cyberkriminellen verwendet wird, um Menschen online zu schaden. Betrüger versuchen, über Emails an sensible persönliche Informationen zu gelangen und Schadsoftware auf Geräten zu installieren.
Je nach anvisiertem Opfer werden verschiedene Arten von Email-Phishing-Angriffen verwendet:
Phishing im großen Stil
Die Angreifer werfen ein breites Netz aus, in der Hoffnung, dass sich möglichst viele Opfer darin verfangen.
Spear Phishing
Maßgeschneiderte Angriffe, die unter Nutzung persönlicher Daten auf eine bestimmte Gruppe oder einzelne Personen gerichtet sind.
Whaling („Walfang“)
Eine Form des Spear-Phishing, die auf Führungskräfte innerhalb einer Organisation (z.B. CEOs oder CFOs) abzielt.
Ebenfalls gibt es das Voice Phishing (oder Vishing), bei dem finanzielle oder persönliche Details über das Telefon erfragt werden. Eine gängige Masche der Betrüger ist hierbei, sich als Mitarbeiter einer Behörde auszugeben und so das Opfer einzuschüchtern. Nicht selten sind es automatisierte Anrufe. Eine weitere Methode ist das SMS-Phishing (oder Smishing), bei der Betrüger Textnachrichten verwenden, um Menschen dazu zu verleiten, private Informationen preiszugeben oder ihre Smartphones mit Malware zu infizieren.
2. Phishing in sozialen Medien
Social Media bildet den perfekten Nährboden für Cyberkriminelle. Frühere Berichte schätzten die jährlichen Kosten der Internetkriminalität allein in den USA auf 100 Milliarden US-Dollar.
Das liegt wahrscheinlich daran, dass wir in sozialen Medien mit einem trügerischen Gefühl von Privatsphäre und Vertrautheit agieren, wenn wir mit Menschen kommunizieren, die wir bereits kennen. Wenn in Ihrem Unternehmen Teams einen großen Teil Ihrer Arbeit in sozialen Netzwerken verbringen, z. B. der Kundenservice, das Digitalmarketing oder die Unternehmenskommunikation, müssen diese potenziell schädliche Beiträge identifizieren können. Die Auswirkungen, wenn Betrüger die Marke Ihrer Organisation nutzen, um echten Kunden zu schaden, können extrem schädlich sein. Nicht nur in finanzieller Hinsicht, sondern auch das Image bzw. die Reputation betreffend.
3. Öffentliche WLAN-Hotspots
Öffentliche WLAN-Netzwerke gibt es überall – in Cafes, Hotels, Flughäfen und anderen öffentlichen Bereichen. Auch „cyberaffine“ Mitarbeiter können aufgrund der Notwendigkeit, ständig online sein zu müssen, zum Opfer werden und eine Verbindung zu unsicheren WLAN-Netzwerken aufbauen.
Daten, die über ein ungesichertes öffentliches WLAN-Netzwerk übertragen werden, können leicht von jemand anderem im selben Netzwerk gehackt werden. Nach dem ersten Zugriff können Angreifer auf Geräte aus der Ferne zugreifen – auf persönliche Fotos oder auf streng vertrauliche E-Mails von Ihrem CFO. Wenn Hacker an Passwörter gelangen, nutzen sie diese, um auf andere Konten zuzugreifen, einschließlich Social Media Profile, von denen aus sie schwerere Verstöße wie Online-Identitätsdiebstahl begehen.
4. Online-Transaktionen, Mobile Apps und Software-Downloads
Wir neigen zu der Annahme, dass „harmlose“ Online-Aktivitäten wie das Herunterladen von Software, Zahlungsvorgänge und der Zugriff auf arbeitsbezogene Daten auf unseren Smartphones keine Sicherheitsrisiken darstellen.
Oft sind sich die Mitarbeiter dieser Risiken nicht bewusst und installieren Malware versehentlich auf Firmengeräten oder ermöglichen Hackern und Cyberkriminellen unbeabsichtigt Zugang zu Firmennetzwerken.
5. Betrügerische Mitarbeiter
Ebenfalls neigen wir dazu, nachlässig zu werden, wenn es um die Geräte an unserem Arbeitsplatz geht. Wir vertrauen unseren Kollegen, müssen uns aber in Zeiten von Cyber-Spionage der theoretischen Möglichkeit bewusst sein, dass wir ein Büro mit einem Mitarbeiter teilen könnten, der versucht, die IT-Systeme des Unternehmens zu gefährden.
Wie Sie Ihr Unternehmen vor Cyberangriffen schützen
74% der Unternehmen glauben, dass die eigenen Mitarbeiter in Bezug auf Cyber Security die größte Schwachstelle darstellen. Wenn auch Sie dies erkannt haben und Ihre Mitarbeiter mit den richtigen Werkzeugen ausstatten, dann erhöhen sich die Chancen Ihres Unternehmens, widerstandsfähig zu bleiben und somit sich sich selbst und die digitalen Ressourcen zu schützen.
Beachten Sie diese grundlegenden Tipps zur Stärkung der Cyber-Resilience:
Ordnen Sie ein grundlegendes Training zur Informationssicherheit an. Stellen Sie sicher, dass jeder Ihrer Mitarbeiter ein grundlegendes Verständnis hinsichtlich Informationssicherheit und ihrer Bedeutung für das Unternehmen hat. Bestandteil des Trainings sollte die Erläuterung einfacher Vorgehensweisen sein, die in ihren Alltag passen, z.B. die Geräte beim Verlassen des Arbeitsplatzes sperren, niemals fremde USB-Geräte an Laptops anschließen sowie die Identifizierung von Online-PhishingAktivitäten. Ein einfaches Mantra zur Bekämpfung von E-Mail-Phishing lautet z. B. „Im Zweifelsfall weg damit!“ („When in doubt, throw it out!“). Schulungen sind wichtig, sollten aber niemals die alleinige Maßnahme gegen substanzielle Cyberrisiken sein.
Seien Sie sich bewusst, dass niemand sicher ist.Wenn Sie verstanden haben, dass jeder Mitarbeiter ein potenzielles Angriffsziel darstellt, dann ist das schon die halbe Miete. Helfen Sie Ihren Mitarbeitern, die realen Gefahren eines Cyberangriffs zu erkennen und ernst zu nehmen und fassen Sie diese einfach und verständlich zusammen.
Implementieren Sie einen Datensicherungszeitplan. Wenn Sie kritische Daten oft genug und auf externen Netzwerken sichern, sind die Chancen höher, dass im Falle eines Cyberangriffs eine aktuelle Kopie in Reichweite ist und die Daten von der Ursache des Lecks getrennt gehalten werden.
Verschlüsseln Sie so viel wie möglich. Das Speichern von Daten in einem verschlüsselten Format ist mittlerweile so einfach wie der Kauf eines vorverschlüsselten USB-Speichergerätes. Auch in vielen Versionen von Windows ist eine Verschlüsselung integriert, und es gibt viele kostenlose Verschlüsselungs-Tools.
Passen Sie die Zugriffsberechtigungen der Mitarbeiter an. Nicht selten nimmt ein Hacker eine absichtliche Infiltration vor, indem er als Teilzeitmitarbeiter oder auf einer niedrigen Ebene eingestellt wird. Richten Sie also die Zugriffsberechtigungen an der jeweiligen Ebene aus. Richtet sich der Hackerangriff nun an einen Mitarbeiter mit leitender Funktion, dann kann die Beschränkung seines Einflusses auf andere Teile des Systems dazu beitragen, das Ausmaß des Schadens gering zu halten. Kurz gesagt: Geben Sie Ihren Mitarbeitern lediglich Zugang zu den Systemen und Daten, die sie tatsächlich verwenden bzw. bearbeiten.
Geben Sie nie Ihr Passwort weiter Jeder Mitarbeiter, der auf ein System zugreift, sollte über eindeutige Anmeldeinformationen verfügen. Dieses Vorgehen ermöglicht es nicht nur, die Aktivitäten der Mitarbeiter im Falle einer Sicherheitsverletzung zu überprüfen, sondern ermutigt auch dazu, Passwörter besser zu schützen. Es gibt wirklich keinen Grund, jemand anderem Ihr Passwort zu verraten. Und wenn Sie es doch tun, stellen Sie sicher, dass es so schnell wie möglich geändert wird.
Implementieren Sie eine Passwort-Richtlinie. Komplexe Passwörter sind wichtig, führen aber oft dazu, dass Mitarbeiter sie aufschreiben oder in verschiedenen Variationen wiederverwenden. Eine einfache Methode ist es, an einen Satz wie „Thomas ist der beste Papa auf der ganzen Welt“ zu denken und diesen abgekürzt als Passwort zu verwenden -> TidbPadgW!. Ziehen Sie für extrem sensible Systeme stärkere Formen der Authentifizierung wie Biometrie oder MultiFaktor-Authentifizierung in Betracht.
Beachten Sie die dunkle Seite der sozialen Medien Phishing in sozialen Medien kann für Organisationen ein Albtraum sein. Identitätsdiebstahl im Internet hat ernsthafte Konsequenzen und ein einziges gefälschtes Profil kann einen über Jahrzehnte aufgebauten Markenwert zerstören. Implementieren Sie entsprechende Maßnahmen, um die Einhaltung tolerierbarer Sicherheitsschwellen sicherzustellen und vermitteln Sie den Mitarbeitern, wie sie betrügerische Phishing-Versuche auf den verschiedenen Social Media-Kanälen identifizieren können.
Installieren Sie Sicherheitssoftware. Dies versteht sich eigentlich von selbst, kann aber nicht oft genug wiederholt werden. Alle digitalen Geräte, einschließlich Tablets und Smartphones, die vertrauliche Informationen enthalten oder die mit anderen Geräten verbunden sind, die diese enthalten, benötigen Sicherheitssoftware. Es gibt online diverse gängige und preiswerte Pakete, die unter anderem Antiviren-, Firewall- und Anti-Spam-Software sowie andere nützliche Technologien enthalten. Diese sollten auf „Auto-Update“ gesetzt werden, um sicherzustellen, dass die Programme ständig und automatisch auf den neuesten Stand gebracht werden. Durch diese Vorgehensweise sorgen Sie dafür, dass Ihre Sicherheitssoftware stets aktuelle Abwehrmechanismen gegen neue Cyber-Bedrohungen und zunehmend fortschrittliche Malware umfasst.
Kreuz-Kontamination über persönliche Geräte ist eine reale Gefahr Mitarbeiter, die über ihre privaten Laptops oder Smartphones auf Unternehmenssysteme zugreifen, riskieren eine Kreuz-Kontamination. Wenn Sie Ihren Mitarbeitern erlauben, eigene Geräte für berufsbezogene Aktivitäten zu verwenden, stellen Sie die Sicherheit dieser Geräte durch die Nutzung entsprechender Technologien sicher.
Ziehen Sie eine ISO 27001-Zertifizierung in Betracht. Unterschätzen Sie nicht den Wert, den eine Fachkraft für Informationssicherheit für Ihr Unternehmen haben kann. Die Kosten für die Einstellung eines Experten werden sich schnell amortisieren. Sie sparen Zeit, Geld und Ärger. Die Frage ist nämlich nicht ob, sondern wann Ihre Organisation zu einer Zielscheibe wird. Unabhängige Third-Party-Anbieter wie LRQA können Sie bei der Entwicklung eines Konzeptes zur Sicherstellung der Netzsicherheit im gesamten Unternehmen unterstützen. Kleine Unternehmen machen einen kostspieligen Fehler, indem sie davon ausgehen, dass ihre Daten im Vergleich zu größeren Organisationen von geringerer Bedeutung sind. Hacker nutzen dies aus, was erklärt, warum kleine Unternehmen so häufig betroffen sind. Mit einem systematischen Ansatz wird Ihre Organisation in der Lage sein, entsprechende Risiken zu antizipieren und zu verhindern, sowie im Falle des Auftretens eines tatsächlichen Problems besser mit diesem umzugehen. Die weitverbreitetste Möglichkeit hierfür ist die ISO 27001-Zertifizierung. Einfach ausgedrückt ist die ISO 27001 die weltweit einheitliche Sprache, wenn es darum geht, informationsbezogene Risiken zu beurteilen, zu bearbeiten und zu managen.
Einige Vorteile der ISO 27001-Zertifizierung:
Als einzige auditierbare internationale Norm, die die Anforderungen eines ISMS spezifiziert, stellt die ISO 27001 die Einhaltung gesetzlicher, vertraglicher und regulatorischer Anforderungen sicher
Flexibilität der Integration von ISO 27001 mit anderen wichtigen Managementsystemen wie ISO 9001 und ISO 14001 durch gemeinsame High Level Struktur
Management-Framework für alle Organisationen, unabhängig von Größe, Branche oder Standort
Erlangung von Wettbewerbsvorteilen und damit einer besseren Marktposition
Kostenminimierung sowie Schutz vor finanziellen Verlusten im Zusammenhang mit Datenverletzungen
Verbesserte „Cyber Awareness“ in der gesamten Organisation, indem Cyberrisiken im Tagesgeschäft der Mitarbeiter klar benannt werden
Weitere Informationen können Sie kostenfrei anfordern unter: info@lrqa.de oder unter: http://www.lrqa.de/kontakt-und-info/anfrage-an-lrqa.aspx
Lloyd´s Register Deutschland GmbH ( http://www.lrqa.de ) wurde 1985 gegründet und ist eine der international führenden Gesellschaften für die Auditierung von Managementsystemen und Risikomanagement. Lloyd´s Register bietet Schulungen und Zertifizierung von Managementsystemen mit Schwerpunkten in folgenden Bereichen: Qualität, Umweltschutz, Arbeitssicherheit, Energiemanagement, Auditierung von Lieferketten. Mit mehr als 45 Akkreditierungen und Niederlassungen in 40 Ländern kann Lloyd´s Auditierungen in 120 Ländern durchführen. Weltweit betreuen 2.500 Auditoren mehr als 45.000 Kunden. LRQA gehört zur Lloyd´s Register Gruppe. Lloyds Register wurde 1760 als erste Gesellschaft zur Schiffsklassifizierung gegründet und bietet heute Dienstleistungen im Bereich Risikomanagement. Die Lloyd´s Register Gruppe ist ein gemeinnütziges Unternehmen gemäß englischem Charity-Recht, d.h. die Gewinne werden für eine gemeinnützige Stiftung verwendet bzw. wieder direkt ins Unternehmen investiert. Hierdurch ist LRQA wirtschaftlich unabhängig. Weiter Information erhalten Sie durch info@lrqa.de oder 0221- 96757700. Den LRQA-Newsletter erhalten Sie unter: http://www.lrqa.de/kontakt-und-info/news-abonnieren.aspx Weitere Infos unter: http://www.lrqa.de/standards-und-richtlinien/angebot-anfordern.aspx
Kontakt
Lloyd´s Register Deutschland GmbH
Carl Ebelshäuser
Adolf – Grimme – Allee 3
50829 Köln
+49 (0)221 96757700
info@lrqa.de
http://www.lrqa.de