Wussten Sie, dass die überwiegende Mehrheit der Cyberangriffe durch menschliches Versagen und mangelndes Wissen der Mitarbeiter verursacht wird? Und die Zahl der Vorfälle nimmt stetig zu. Allein in der ersten Hälfte des Jahres 2023 hat sich die Zahl der betrügerischen Phishing-E-Mails verdreifacht.
Während bis vor kurzem Bedrohungen noch relativ leicht zu erkennen waren, selbst bei schlechter Grammatik oder unverständlichem Kontext, hat das Aufkommen von künstlicher Intelligenz zu einer Zunahme von qualitativ hochwertigeren betrügerischen Nachrichten geführt, mit denen selbst erfahrene IT-Experten zunehmend Probleme haben.
ESET-Produkte haben in nur 6 Monaten drei häufig auftretende Bedrohungen erkannt und blockiert:
- Ein gefälschtes HTML/Phishing.Agent-Anmeldefenster, das als HTML-Anhang per E-Mail verbreitet wurde und beim Öffnen in einem Browser Microsoft Office-Dienste wie Outlook oder SharePoint imitierte.
- Eine DOC/Fraud-Sextortion-E-Mail, in der der Angreifer vorgab, das sensible Sexvideo des Opfers zu besitzen, und eine Summe von 1.500 € in Bitcoins forderte, um das Video nicht zu veröffentlichen. Laut ESET hat dieser Angriff um 277 % zugenommen.
- Und Phishing, das die Marke Slovenská pošta missbraucht, bei der eine E-Mail-Nachricht über die fiktive Lieferung eines Pakets nach Zahlung einer fiktiven Zollgebühr informiert. Der Betrug trat in diesem Jahr 275 % häufiger auf und stieg in der Rangliste der Phishing-Bedrohungen um sieben Plätze auf.
Wir sprachen mit Július Selecky von ESET, ESET Senior Technical Pre-Sales Representative, über die Cyber-Fallen und die daraus resultierende Bedeutung von Aufklärung und Bewusstsein im Bereich der Cybersicherheit für Unternehmen.
Július Selecký, Senior Technical Pre-Sales Representative, ESET
Die Cybersicherheit in Unternehmen liegt heute nicht nur in den Händen der IT-Administratoren, sondern auch der Mitarbeiter und der Unternehmensleitung. Warum sind Aufklärung und Bewusstsein in diesem Bereich so wichtig?
Die Unternehmenssicherheit ruht auf drei Säulen: Menschen, Technologie und Prozesse. Jeder, vom Support-Mitarbeiter bis zur Geschäftsleitung, sollte über wichtige Sicherheitsfragen im Unternehmen informiert sein, und die Widerstandsfähigkeit des gesamten Unternehmens wird dadurch erheblich verbessert. Den Menschen im Unternehmen muss die gleiche Aufmerksamkeit geschenkt werden wie der Sicherheitssoftware oder der Hardware und den Richtlinien. Ihre Ausbildung wird oft vernachlässigt, dabei sind es die Menschen, die die häufigsten Angriffsvektoren sind.
ESET schult seine Mitarbeiter regelmäßig intern, um zum Beispiel Phishing-E-Mails zu erkennen. Wenn wir uns die Statistiken ansehen, steht Phishing, eine E-Mail, die versucht, Zugangsdaten oder Bankverbindungen zu erpressen, ganz oben auf der Liste der Cyber-Bedrohungen. Die Mitarbeiter werden daher regelmäßig getestet, indem sie Nachrichten erhalten, die legitim aussehen, es aber nicht sind. Im Gegenzug bieten wir unseren Kunden ESET-Cybersicherheitsschulungen an, E-Learning-Kurse, die der allgemeinen Sensibilisierung dienen.
Legen slowakische Unternehmen genug Wert auf Cybersicherheit? Wie oft müssen sie neu geschult werden?
Das Leben um uns herum ist eng mit Informations- und Kommunikationstechnologien verbunden. Cybervorfälle schwächen Unternehmen, den Staat oder die gesamte Wirtschaft und das Vertrauen der Menschen in diese Institutionen. Es ist unmöglich, ohne eine Stärkung der Cybersicherheit voranzukommen, weshalb ihr immer mehr Bedeutung beigemessen wird. Einmalige Schulungen nützen jedoch wenig. Die Ausbildung muss regelmäßig erfolgen, denn die Menschen müssen die Sicherheit im Blick behalten, damit sie sie automatisieren können.
Ein geeignetes Schulungsformat ist eine einmal im Jahr stattfindende allgemeine Grundschulung für alle, die in Ihrem Unternehmen einen PC benutzen. Dazu kommen zusätzliche Schulungen im Laufe des Jahres, z.B. zu bestimmten IT-Sicherheitsthemen oder mit Fokus auf die Mitarbeiterrollen (IT-Administratoren, Entwickler, Buchhaltung, Management usw.).
Und worauf sollten Unternehmen besonders achten, wenn sie ihre Mitarbeiter über IT-Sicherheit aufklären?
Das Softwareentwicklungsunternehmen wird sich auf die sichere Entwicklung konzentrieren, die Hotelkette auf die Verhinderung von Abrechnungsbetrug, die Industrieanlage auf den sicheren OT-Betrieb, usw. Das Risikomanagement eines Unternehmens sollte aus einer Reihe von Aktivitäten bestehen, die auf den Daten des jeweiligen Unternehmens und einer fachkundigen Risikoanalyse basieren, und nicht aus kontextlosen und chaotischen Reaktionen auf aktuelle Buzzworms.
Die Ausbildung ist jedoch nur ein Teil der Ausbildung! Der andere, noch wichtigere, ist die praktische Erfahrung. Es ist eine erwiesene Tatsache, dass Theorie ohne Praxis nutzlos ist. Zum Beispiel werden auch Mitarbeiter, die von betrügerischen E-Mails gehört haben und wissen, dass sie einen verdächtigen Link enthalten, bei der ersten Prüfung ihre Daten dort hineinschreiben. Oder Mitarbeiter, die von einem Passwort-Manager gehört haben und wissen, dass es eine gute Idee ist, ihn zu verwenden, aber nur ein Drittel von ihnen tut es tatsächlich.
Wie erklären Sie also den Führungskräften Ihres Unternehmens die Notwendigkeit von IT-Sicherheit?
So wie das Verschließen von Türen, das Einstellen von Alarmen und Kameras dazu dient, einen physischen Raum zu schützen, so ist es auch mit der Cybersicherheit, nur eben in der digitalen Welt. Wenn ich noch nicht in diese virtuellen Schlösser investiert habe, sehe ich aus, als ob ich irgendwo im letzten Jahrhundert stecken geblieben wäre. Aber in vielen Fällen braucht es eine unangenehme persönliche Erfahrung, bei der nicht nur gewöhnliche Angestellte, sondern auch das obere Management Opfer von Angriffen werden.
Kürzlich wählten Angreifer über LinkedIn ein bestimmtes Unternehmen aus und boten einem Mitarbeiter eine attraktive Stelle an. Wenn er sich dafür bewerben wollte, musste er einen Test ausfüllen, der ihm in einer bestimmten Datei zugesandt wurde. Doch als er die Datei bei der Arbeit öffnete, enthielt sie gefährliche Malware. Sobald sie gestartet wurde, gelangte sie in das Firmennetzwerk, scannte es, fand heraus, wie viele anfällige Computer es gab, und verbreitete sich weiter. Auf diese Weise verschafften sich die Angreifer Zugang zu den Unternehmensdaten. Wäre der betreffende Mitarbeiter geschult worden, hätte er gewusst, dass er diese Art von Datei nicht auf einem Arbeitscomputer, sondern in einem isolierten Bereich ausführen sollte, und ein ähnlicher Vorfall wäre nicht passiert.
Können wir also die größten aktuellen Cyber-Bedrohungen nennen, auf die Unternehmen unbedingt achten sollten?
Die Erfahrung zeigt, dass die häufigsten Risiken, die auch bei der Ausbildung berücksichtigt werden sollten, Social Engineering und Phishing, ungewollte Datenlecks oder schwache Authentifizierungsmechanismen sind. Jede Art von Organisation birgt andere Risiken, die durch menschliches Verhalten entstehen.
ESET hat auf seinem Informations- und Bildungsportal Bezpecnevofirme.eset.com die Top 10 der Cyber-Bedrohungen veröffentlicht. An erster Stelle stehen dabei Fallstricke wie die inkonsequente Verwaltung von Unternehmenssystemen, Phishing und andere betrügerische Nachrichten, Ransomware-Angriffe und Risiken, die durch die Zunahme des hybriden Arbeitens entstehen. Für normale Bürger und Haushalte hat ESET das Portal Bezpecnenanete.eset.com eingerichtet.
Unternehmen verwenden oft mehrere verschiedene Server, z.B. einen Mailserver, Webserver, DNS, VPN usw. Wie kann man solche Geräte schützen oder ihre Schwachstellen rechtzeitig erkennen?
Hier ist es wichtig, ein System zum automatischen Scannen von Schwachstellen zu implementieren, das sogenannte Vulnerability Assessment, das ESET auch als Service zum Auffinden und Verwalten von Schwachstellen anbietet. Auf diese Weise können Schwachstellen in Systemen (Servern), die Angreifer ausnutzen, um dem Unternehmen zu schaden, frühzeitig erkannt werden. Der Kunde erhält einen Bericht mit einer Beschreibung der identifizierten Schwachstellen und einer Bewertung ihres Schweregrads. Anschließend empfehlen wir nach Rücksprache mit den ESET-Experten Schritte zur Beseitigung der identifizierten Schwachstellen. In diesem Zusammenhang können sich Unternehmen auch an einen speziellen ESET-Partner wie GAMO wenden.
Um möglichst vielen Kunden diese zusätzliche Schutzebene zu bieten, haben wir bei ESET beschlossen, Vulnerability and Patch Management auch in unsere Schutzlösungen zu integrieren. Es kann proaktiv Schwachstellen in Betriebssystemen und gängigen Anwendungen überwachen und ermöglicht außerdem die automatische Bereitstellung von Patches auf Endgeräten, die über unsere einheitliche PROTECT-Plattform verwaltet werden.
Hybride Arbeit ist ein neues Phänomen nach der Pandemie. Lassen Sie uns abschließend noch ein wenig über die wichtigsten Risiken sprechen, die damit verbunden sind.
Dies ist eine echte Herausforderung für IT-Sicherheitsspezialisten. Hybride Arbeit, d.h. an einem Tag im Büro und am nächsten zu Hause zu arbeiten, bringt eine Reihe von Risiken mit sich, wie z.B. einen problematischen Schutz des Unternehmensnetzwerks, ein schlecht gesichertes Netzwerk zu Hause oder einen schlecht gesicherten Zugriff auf Unternehmenssysteme vom Home-Office aus. Es besteht auch ein höheres Risiko, dass Geräte verloren gehen oder gestohlen werden, dass private Geräte für die Arbeit verwendet werden oder dass ein Mitarbeiter auf Phishing hereinfällt. Eine vollständige Festplattenverschlüsselung auf den Geräten des Unternehmens, eine zuverlässige Sicherheitssoftware auf den Endgeräten mit Anti-Diebstahl-Funktionen und wiederum die Schulung der Mitarbeiter könnten helfen.
Natürlich gibt es keine 100%ige Lösung, bei deren Umsetzung Sie sagen können, dass Sie geschützt sind. Meistens handelt es sich immer um eine Reihe umfassender Maßnahmen, die Cyber-Risiken erheblich reduzieren können.
