Analphabeten sind gefährlich für das Unternehmen. Sie können solches Brennholz zerbrechen, dass sie mit Zügen herausgenommen werden müssen. Dies gilt für jede Branche sowie für Positions- und Informationssicherheit. Sie gilt in vollem Umfang: Klicken Sie auf einen Anhang oder ein infiziertes Flash-Laufwerk, das von zu Hause mitgebracht wurde. Das ist alles, eine Ransomware-Ransomware gelangt in das Unternehmensnetzwerk, die Arbeit ist gelähmt, die IT-Abteilung sucht nach aktuellen Backups, die wiederhergestellt werden können Vom Virus verschlüsselte Computerfestplatten und Finder berechnen Ausfallzeitverluste.Entsprechend dem bekannten Mahn-Krüger-Effekt sind Analphabeten weiterhin zuversichtlich, dass sie alles richtig machen oder zumindest nichts Schreckliches tun. Und genau das führt oft zu katastrophalen Folgen.
Tatsächlich ist fast jedes Schutzsystem nutzlos, wenn die Mitarbeiter nicht mindestens über die Grundlagen der Informationssicherheit verfügen. Solche Mitarbeiter werden zu den Hauptschwachstellen im Computersystem Ihres Unternehmens.
Cyberkriminelle verstehen diesen Sachverhalt und nutzen Opferunternehmen zunehmend als Anfälligkeit für ihre Angriffe. Der Einsatz von Analphabetismus ist viel einfacher als das Auffinden einer Sicherheitslücke in einem Unternehmensnetzwerk. Aufgrund des Analphabetismus der Informationssicherheit selbst eines Mitarbeiters besteht für ein Unternehmen das Risiko, Geld, Daten und Reputation zu verlieren, rechtliche Ansprüche geltend zu machen oder Geräte zu verlieren.
Experten von Trend Micro sprachen über die Arten von Angriffen, denen Mitarbeiter ausgesetzt sind: Kompromittierung von Geräten, Phishing und böswillige Souvenirs.
Gerätekompromiss
Die Verwendung eigener Geräte und Laptops (Bring Your Own Device, BYOD) für die Arbeit im Unternehmen ist ein modischer Trend, der besonders bei Startups beliebt ist. Es scheint, dass eine solche Organisation des Prozesses die Verkörperung des Win-Win-Prinzips ist: Das Unternehmen muss kein Geld für den Kauf und die Wartung des Arbeitsplatzes ausgeben, und der Mitarbeiter arbeitet an einem Laptop, den er selbst ausgewählt und konfiguriert hat. Wenn er zu Hause arbeiten möchte, muss er keine Arbeitsdateien kopieren, und der Zugriff auf Unternehmenssysteme ist bereits konfiguriert. Die Kosten für den Kauf des Geräts werden durch die Möglichkeit ausgeglichen, länger zu schlafen oder sogar zu Hause zu bleiben und remote zu arbeiten.
Unter dem Gesichtspunkt der Informationssicherheit ist die Verwendung eines Geräts zur Lösung von Arbeits- und Heimaufgaben eine Quelle schwerwiegender Risiken, insbesondere wenn der Mitarbeiter die Grundlagen der Informationssicherheit nicht zu sorgfältig erlernt.
Nach einem anstrengenden Tag möchte ich abgelenkt werden. Das Herunterladen von Filmen und Musik, das Suchen nach Spielen oder Raubkopien kann dazu führen, dass etwas Schädliches auf den Computer gelangt. Wenn Sie dann mit einem Unternehmensnetzwerk verbunden sind, werden alle Unternehmensdaten kompromittiert.
Wenn Sie in ein Café laufen und über ein öffentliches WLAN eine Verbindung zum Unternehmensnetzwerk herstellen, um den Bericht für eine Tasse Kaffee fertigzustellen, können die Anmeldeinformationen abgefangen und zum Stehlen vertraulicher Informationen verwendet werden. Und ein Laptop oder Tablet kann gestohlen oder vom Haus ins Büro gebracht werden. Zusammen mit dem Laptop werden auch die darauf enthaltenen Daten verloren gehen.
Viele Gesichter Phishing
Die herkömmliche Art, einen Workflow in Form von stationären Computern zu organisieren, beseitigt teilweise die für BYOD typischen Risiken, aber auch in diesem Fall kann eine unzureichende Informationskompetenz für ein Unternehmen fatal werden. Alle Mitarbeiter verwenden E-Mails, was bedeutet, dass sie potenzielle Opfer von Phishing sind - betrügerische E-Mails, die als E-Mails von Zustelldiensten, Auftragnehmern, technischem Support oder Management getarnt sind.
Mithilfe von Phishing können Cyberkriminelle das Opfer zwingen, die an den Brief angehängte Malware zu starten, ihre Anmeldeinformationen einzugeben, um in das Netzwerk einzutreten, oder sogar eine Zahlung mit den Details von Betrügern anstelle einer echten Gegenpartei vornehmen.
Spear Phishing ist eine besondere Gefahr, bei der Cyberkriminelle zunächst Daten über die Organisation, ihre Struktur, Mitarbeiter und Arbeitsprozesse sammeln und dann Briefe mit echten Namen und Positionen erstellen, die gemäß den Standards der Organisation erstellt wurden. Diese Briefe sind schwieriger zu erkennen, daher ist die Wirksamkeit solcher Mailings viel höher.
Phishing-E-Mails enthalten möglicherweise keine schädlichen Anhänge und sehen völlig harmlos aus, wenn es um Phishing wie die Beeinträchtigung der Geschäftskorrespondenz geht (Business Email Compromise, BEC). In diesem Fall beginnen Betrüger im Auftrag einer anderen Organisation mit der Korrespondenz mit einem der Unternehmensleiter und überzeugen ihn nach und nach von der Notwendigkeit, Geld auf ihr Konto zu überweisen. Trotz der fantastischen Natur des beschriebenen Szenarios
lockten die Angreifer auf diese Weise im Frühjahr 2018
19 Millionen Euro aus der niederländischen Niederlassung der französischen Filmfirma Pathé .
Überraschungsgeräte
Angreifer stehen nicht still. Wir werden neue Formen von Angriffen erleben, die sich an naive Benutzer richten, und nicht alle werden über das Internet verbreitet. Ein Beispiel ist ein Angriff über ein kostenloses Flash-Laufwerk. Bei Partnerveranstaltungen, Präsentationen, Konferenzen und nur als Geschenk erhalten Mitarbeiter häufig Flash-Laufwerke mit Arbeitsmaterialien. Ein Mitarbeiter, der die Grundlagen der Informationssicherheit nicht kennt, wird wahrscheinlich bei der Ankunft im Büro sofort ein USB-Flash-Laufwerk in den Computer einstecken - und möglicherweise eine böswillige Überraschung erhalten. Manchmal wissen die Organisatoren der Veranstaltung nicht einmal, dass der Computer, von dem die Werbematerialien auf dem USB-Stick aufgezeichnet wurden, mit etwas infiziert war.
Diese Technik kann auch verwendet werden, um den Computer eines Opfers absichtlich zu infizieren. Im Jahr 2016 wurde an der Universität von Illinois ein Experiment durchgeführt, bei dem 300 „geladene“ Flash-Laufwerke über den Campus verteilt wurden, um zu überprüfen, wie viele Personen sie verwenden und wie schnell dies geschehen wird. Die Ergebnisse des Experiments überraschten die Forscher: Das
erste Flash-Laufwerk wurde nach 6 Minuten an den Computer angeschlossen , und nur 48% derjenigen, die die Flash-Laufwerke fanden, fanden das Flash-Laufwerk, und alle öffneten mindestens eine Datei darauf.
Eines der groß angelegten Beispiele für einen echten Angriff (
DarkVishnya ), bei dem Sicherheitsbeamte der Bank kein verstecktes Gerät bemerkten, das mit dem Netzwerk verbunden war. Um den Angriff auszuführen, betraten die Angreifer die Bankbüros unter dem Deckmantel von Kurieren oder Besuchern und schlossen dann leise einen als USB-Flash-Laufwerk getarnten Bash Bunny-Minicomputer, ein kostengünstiges Netbook oder einen Raspberry Pi-basierten Einplatinencomputer mit einem 3G / LTE-Modem an das lokale Netzwerk der Bank an. Das Gerät hat sich als Umgebung getarnt, um die Erkennung zu erschweren. Außerdem haben die Angreifer eine Fernverbindung zu ihrem Gerät hergestellt, das Netzwerk der Bank nach Schwachstellen durchsucht, es durchdrungen und Geld gestohlen. Infolgedessen litten mehrere Banken in Osteuropa, und der Schaden durch DarkVishnya-Angriffe belief sich auf mehrere zehn Millionen Dollar.
Die beeindruckende Leistung eines Angriffs mit verlorenen Flash-Laufwerken zeigt, wie leichtfertig Menschen in Bezug auf Sicherheit sind und wie wichtig es ist, Benutzer über das richtige Verhalten in solchen Situationen zu informieren.
Was tun?
Trotz der Fülle an Software- und Hardwareschutz auf dem Markt lohnt es sich, einen Teil des Budgets für die Bekämpfung von Angriffen gegen Mitarbeiter bereitzustellen. Hier sind die wichtigsten Empfehlungen:
-
Um zu trainieren. Alle Mitarbeiter müssen verstehen, dass die Unkenntnis der Grundsätze der Informationssicherheit nicht von der Haftung befreit ist, und daher daran interessiert sein, ihr Bewusstsein in dieser Angelegenheit zu schärfen. Seitens des Unternehmens sollten die Kosten für die Organisation und Durchführung von Schulungsseminaren zum Thema Informationssicherheit als Investitionen in die Reduzierung von Risiken und die Vermeidung von Schäden betrachtet werden.
-
Zug. Theoretisches Wissen wird durch populärere Informationen schnell aus dem Gedächtnis verdrängt. Trainingsangriffe werden dazu beitragen, die Fähigkeiten in der Praxis zu stärken. Mit ihrer Hilfe können Sie Mitarbeiter identifizieren, die die Informationen nicht gelernt haben, und für sie eine Umschulung durchführen.
-
Implementieren Sie die Richtlinie "Etwas sehen, etwas sagen". Angesichts einer Cyber-Bedrohung kann ein Mitarbeiter aus Angst vor einer Entlassung bis zum letzten darüber schweigen oder versuchen, sie unabhängig zu beseitigen. Durch die rechtzeitige Benachrichtigung über einen Vorfall wird die Verbreitung von Malware im gesamten Unternehmensnetzwerk verhindert. Auf dieser Grundlage ist es wichtig, die Servicebestimmungen so zu gestalten, dass der Mitarbeiter, der den Angriff meldet, dankbar ist und der Informationssicherheitsdienst die Bedrohung beheben und damit beginnen kann, sie zu beseitigen.
Fazit
Jedes Computersystem ist anfällig, und das schwächste Glied darin ist in der Regel eine Person. Die Aufgabe eines jeden Unternehmensleiters besteht darin, die mit Angriffen auf Mitarbeiter verbundenen Risiken im Bereich der Informationssicherheit zu minimieren. Bei der Lösung dieses Problems helfen Schulungen, Schulungen und die ordnungsgemäße Organisation der Verarbeitung von Cyber-Vorfällen. Im Idealfall sollte ein grundlegendes Verständnis der Cybersicherheit Teil einer Unternehmensphilosophie sein.