Cybersicherheit am Arbeitsplatz
Author
Maren Keller, Mi, 1. Dez. 2021
in IT-Sicherheit

Cybersicherheit am Arbeitsplatz

Sicherheitsrisiken durch Mitarbeiter

Dass Mitarbeiter die Cybersicherheit im Unternehmen gefährden, dürfen die Sicherheitsverantwortlichen einer Firma nicht außer Acht lassen. Gerade jetzt, wo das Arbeiten aus dem Home Office salonfähig geworden ist, dürfen Insider-Bedrohungen nicht ignoriert werden. 

Was Sie tun können, um Ihre Angestellten zu sensibilisieren und so die Cybersicherheit zu erhöhen, erfahren Sie bei uns.

Cybersicherheit in Unternehmen bedroht

Die Cybersicherheit eines Unternehmens ist nicht nur ständiger Bedrohung von außen ausgesetzt. Dazu gehören Cyberangriffe ganz allgemein, aber auch Cybercrime-as-a-Service, Ransomware-as-a-Service und die Frage nach der Cloud-Sicherheit. Alle vier Beispiele führen dazu, dass Angreifer von außen Zugriff auf sensible Firmendaten erhalten. Ein immer größer werdendes Problem sind die sogenannten internen Bedrohungen. Auch sie führen dazu, dass die Cybersicherheit eines Unternehmens nicht mehr gegeben ist.

Dabei gibt es zwei Formen von Insider-Bedrohungen. Zum einen geht sie von boshaften Mitarbeitern aus, aber viel größer ist die Gefahr durch fahrlässig oder unvorsichtig handelnde Mitarbeiter. Das können all diejenigen sein, die Links anklicken, Passwörter festlegen, IT-Systeme konfigurieren oder Software programmieren. Denn: Menschen neigen dazu, Fehler zu machen und lassen sich durch perfide Methode wie dem Social Hacking leicht beeinflussen.

Cybersicherheit: Mann am Küchentisch am Laptop, Frau trinkt Kaffee am Küchentisch. Bild: Pexels/Viktoria Slowikowska

Mitarbeiterfehler, vor allem aus dem Home Office, gefährden die IT-Sicherheit. Bild: Pexels/Viktoria Slowikowska

Insider-Bedrohungen als Sicherheitsrisiko

Für die Angreifer bilde die Gefahren durch Mitarbeiter eine große Chance, denn Mitarbeiterfehler stellen mittlerweile das Haupt-Cyber-Risiko für Unternehmen aller Größen dar. Mit Hilfe von Statistiken, erstellt von Verizon und Origincomms, lässt sich das gut darstellen:

  • Im vergangenen Jahr waren 85% der Sicherheitsverletzungen auf Menschen zurückzuführen.
  • Fast 19% der Verstöße wurden durch sogenannte „sonstige Fehler“ verursacht.
  • Etwa 35% der Verstöße erfolgten durch Social Engineering, einer Form des Social Hackings.
  • Phishing-Angriffe nahmen von 2020 bis 2021 um immerhin 11% zu.
  • Fast 2 Milliarden US-Dollar gingen im Jahr 2021 Jahr allein durch BEC-Angriffe (Business Email Compromise) verloren. Dabei werden Mitarbeiter dazu gebracht werden, Firmengelder an Betrüger zu überweisen, wie etwa beim CEO-Betrug.
  • Eine große Bedrohung stellen außerdem verloren gegangene Geräte dar: Allein den britischen Regierungsbehörden gingen im Jahr 2020 mehr als 1.000 Geräte verloren oder wurden gestohlen.

Unvorsichtige Mitarbeiter tragen also einen großen Teil zur fehlenden IT-Sicherheit des Unternehmens bei, bei dem sie angestellt sind. Die Folge sind finanzielle Schäden, deren Höhe allerdings umstritten ist. Eine Schätzung gibt es: Im Jahr 2019 kostete ein Insider-Vorfall Konzerne durchschnittlich 11,5 Millionen US-Dollar. Das entspräche einem Anstieg von 31% im Vergleich zum Jahr 2017.

Cybersicherheit und Home Office

Die Corona-Krise hat es möglich gemacht. Von jetzt auf gleich mussten Millionen Arbeitnehmer ins Home Office. Die Technik war darauf allerdings nicht vorbereitet – und Cyberkriminelle hatten schnelle neue Opfer für Ihre Angriffe gefunden. Denn an die Stelle der sicheren Unternehmensnetzwerke traten unsichere Heimnetzwerke und die Ablenkung durch gleichzeitige Kinderbetreuung und dem Homeschooling taten ihr Übriges.

Die Folge: Arbeitnehmer arbeiten isolierter und erfahrene IT-Mitarbeiter, die bei der Überprüfung verdächtiger E-Mails helfen, sind nicht immer verfügbar. Zudem stieg bei vielen Mitarbeitern aufgrund der ungewohnten Situation der Stresspegel – und wer gestresst ist, achtet weniger auf mögliche Gefahren in E-Mails und versäumt es häufiger, die IT-Abteilung über den Verstoß zu unterrichten.

Einen ähnlichen Effekt kann übrigens auch die Arbeitszeit auf die Cybersicherheit haben. Laut Daten des britischen Office of National Statistics saßen Arbeitnehmer im Home Office im Jahr 2020 fünf Stunden länger am PC als Ihre Kollegen im Büro.

Laptop, Buch, Handy und Maus mit Ketten vor Zugriffen von außen geschützt. Bild: Pexels/Pixabay

Minimieren Sie die Risiken und erhöhen Sie damit die IT-Sicherheit Ihrer Fírma. Bild: Pexels/Pixabay

Phishing und andere Bedrohungen im Home Office

Aber nicht nur Angriffe durch Phishing sind ein weitgreifendes Problem beim Arbeiten im und aus dem Home Office. Es gibt noch weitere Angriffsmöglichkeiten für Cyberkriminelle.

Besonders beliebt ist das RDP-Hijacking. Dabei erlangen die Angreifer als vermeintlich berechtige Nutzer Zugang  und Kontrolle über IT-Systeme. Das gelingt ihnen besonders dann, wenn Passwörter und Anmeldeinformationen entweder schwach sind oder geklaut wurde. Das Remote Desktop Protocol (RDP) ist eigentlich dafür da, Administratoren dabei zu unterstützen, Windows-Systeme zu managen und User bei Problemen zu helfen. Wie Sie sichere Passwörter erstellen und somit nicht zum Opfer des RDP-Hijackings werden, lesen Sie in unserem Ratgeber Passwortsicherheit.

Weitere Schwachstellen, die im Home Office die Cybersicherheit gefährden sind Laptops und Software, die nicht regelmäßig Sicherheitsupdates bekommen, Wifi- oder Smart Home-Geräte, die kein sicheres Passwort haben, und Geräte, die Sie gemeinsam mit mehreren Personen nutzen. Ob Kollegen, Mitbewohner oder Kinder – werden manipulierte Webseiten besucht oder gefährliche Anzeigen geklickt, ist die Gefahr groß, sich unwissentlich bösartige Software au den Rechner zu laden.

Cybersicherheit am hybriden Arbeitsplatz erhöhen

Menschen neigen zu Fehlern und unerwünschtes Verhalten schleicht sich schnell ein. Dadurch besteht die Gefahr, dass Arbeitnehmer während der Home-Office-Zeit „erlernte“ schlechte Angewohnheiten an den Arbeitsplatz im Büro mitnehmen. Auch die Gefahr, dass Geräte verloren gehen, weil Arbeitnehmer Ihre Ausstattung regelmäßig vom Büro ins Home Office transportieren, ist kaum vermeidbar.

Aber natürlich können Sie als Firmenchef die Risiken minimieren. Und zwar egal, ob Sie fünf Mitarbeiter haben oder 50. Tun Sie folgendes:

  • Führen Sie die verpflichtende Nutzung der Multi-Faktor-Authentifizierung (MFA) für alle Konten und Geräte ein.
  • Führen Sie Richtlinien ein, die automatische Updates für alle Geräte vorschreiben.
  • Weisen Sie ihre Mitarbeiter in das Thema sichere Passwörter ein – auch für zu Hause genutzte Geräte und den Router.
  • Setzen Sie Tools zum Schutz vor Datenverlust ein, verwenden Sie Passwort-Manager .
  • Schränken Sie die Zugriffsrechte der Mitarbeiter ein, sodass jeder Mitarbeiter nur auf die Programme, Ordner und Dateien zugreifen kann, die er zum Arbeiten benötigt.
  • Setzen Sie auf Zero Trust, um die Cybersicherheit zu erhöhen.
  • Überprüfen Sie Ihre Arbeitskultur. Sind Mitarbeiter im Home Office vor Burn out geschützt?

Um Insider-Bedrohungen zu verhindern und somit die Cybersicherheit, die Sicherheit Ihres Unternehmens zu erhöhen, müssen Sie ein Auge auf die schwächsten Glieder Ihrer Kette haben. Denn das alte Sprichwort „eine Kette ist nur so stark wie ihr schwächstes Glied“ kann in Sachen Cybersicherheit nicht treffender sein. PC-SPEZIALIST unterstützt Sie bei der IT-Sicherheit Ihrer Firma. Wenden Sie sich an den PC-SPEZIALIST in Ihrer Nähe und fragen Sie gezielt nach unserem IT-Basisschutz für Firmen.

_______________________________________________

Weiterführende Links: welivesecurity, Verizon, Origincomms, staffingindustry, Computerwoche

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.