Hier wird gephished!

Die Kenntnisse der Mitarbeitenden im Bereich Cybersicherheit sind als ebenso wichtig einzuschätzen wie andere Sicherheitsrichtlinien und -kontrollen, die in einem Unternehmen verankert wurden. Denn in den allermeisten Fällen richten sich Cyberattacken im ersten Schritt gegen Einzelne im Team. In der Tat benötigen 99 Prozent aller Cyberangriffe die Interaktion mit einer Person, um Schaden anzurichten. Insofern gilt die Regel: Je mehr die Endnutzer verstehen, welche Auswirkungen ihre Aktionen auf die Sicherheit des Unternehmens – Daten, Systeme, Finanzen – haben können, desto besser ist die allgemeine Sicherheitslage zu bewerten.

Leider ist es um das Verständnis vieler Mitarbeitenden hinsichtlich Cybersicherheit aber schlechter bestellt, als IT-Sicherheitsverantwortliche dies oft wahrhaben wollen. Zu diesem Ergebnis kamen unsere Analysten im Rahmen der aktuellen «Beyond the Phish»-Studie, für die 130 Millionen Antworten von Mitarbeitern aus 16 Branchen auf Fragen rund um Phishing, Datenschutz, Ransomware und Social-Media-Sicherheit ausgewertet wurden.

Über alle Themengebiete und Branchen hinweg wurden insgesamt 22 Prozent der Fragen falsch beantwortet, was darauf hinweist, dass jeder fünfte Mitarbeiter Wissenslücken im Bereich Cybersicherheit hat. Manche dieser Lücken sind jedoch grösser beziehungsweise schwerwiegender als andere. So konnte ein Viertel (25 Prozent) aller Studienteilnehmer Phishing-Angriffe nicht korrekt als solche identifizieren. Wenn man bedenkt, dass Phishing bei 32 Prozent der bestätigten Datenpannen und sage und schreibe 78 Prozent der Vorfälle von Cyberspionage als Angriffsvektor diente, ist dieser hohe Prozentsatz zu gleichen Teilen erstaunlich und beunruhigend.

Phishing ist eine allgegenwärtige Gefahr, der sich Unternehmen aller Branchen und Grössen gegenübersehen. Laut dem «2019 State of the Phish»-Report von Proofpoint gaben 83 Prozent der teilnehmenden Infosecurity-Experten aus aller Welt an, im Jahr 2018 mittels Phishing angegriffen worden zu sein. Dennoch wiesen Mitarbeiter verschiedenster Branchen bei diesem Thema grosse Wissenslücken auf. Die Branchen Verteidigung und Versicherungen schnitten mit «nur» 23 Prozent falschen Antworten noch am besten ab. Schlusslichter im Branchenvergleich waren das produzierende Gewerbe und der Transportsektor mit 27 Prozent inkorrekt beantworteter Fragen.

Es wäre jedoch falsch, sich nur auf die Ergebnisse dieser Umfrage zu stützen, um das Sicherheitsbewusstsein der Anwenderinnen und Anwender abschliessend zu bewerten. Auch sollten Themen wie die Verwendung sicherer Passwörter, Datenschutz und nicht zuletzt die Ergebnisse simulierter Angriffe, wie sie im Rahmen von Security Awareness Trainings durchgeführt werden, miteinbezogen werden.

Zu hoffen, Phishing wäre nur ein vorübergehendes Phänomen, wäre an dieser Stelle absolut verkehrt. «Einer klickt immer», heisst es. Und solange sich Cyberkriminelle darauf verlassen können, dass dies auch stimmt, solange stellen Phishing-Angriffe ein äusserst lukratives Geschäft für sie dar und werden aller Voraussicht nach in ihrer Intensität und Raffinesse noch zunehmen.

Wissenslücken zu erkennen, ist eine Sache. Eine ganz andere ist es, diese zu schliessen. Um den Kenntnisstand der Mitarbeitenden hinsichtlich komplexer Themenbereiche zu verbessern und ihr Verhalten nachhaltig zu ändern, ist nur eine Vorgehensweise wirklich effektiv: Umfassende und kontinuierliche Schulungen, die immer die aktuelle Bedrohungslage thematisieren, der sich ein Unternehmen gegenübersieht. Diese Trainings sollten regelmässige Bewertungen ebenso beinhalten wie die ergänzende Vermittlung von Fachwissen und Aktivitäten der Lernverstärkung wie die oben erwähnten simulierten Angriffe.

Um die Hypothese «Trainings machen einen deutlichen Unterschied» mit Zahlen zu untermauern, wurden zwei Gruppen der Studienteilnehmer miteinander verglichen. Zum einen die Gesamtheit der Endnutzer und zum anderen eine Gruppe all jener Endnutzer, die an den oben beschriebenen, umfangreichen Trainingsmassnahmen teilgenommen hatten. Die Ergebnisse fielen noch deutlicher aus, als wir dies erwartet hätten. Nicht nur lagen die Resultate der Endnutzer, die umfangreiche Trainings erhielten, über dem Durchschnitt; zum Teil waren die Verbesserungen signifikant! Positiv zu bewerten sind im Themenkomplex Phishing insbesondere die Ergebnisse der Trainingsgruppe in den Bereichen Account-Authentifizierung und Sicherheit beim Umgang mit mobilen Endgeräten. Je mehr Menschen in Unternehmen mit Phishing-Angriffen konfrontiert werden, bei denen versucht wird, Passwörter abzugreifen – zum Beispiel für Cloud-Konten (das sogenannte Credential Phishing), desto mehr müssen Unternehmen ihre Mitarbeitenden mit allen Kenntnissen ausstatten, sodass jeder Einzelne jederzeit die richtige Entscheidung treffen kann. Alles andere könnte fatale Folgen für das Unternehmen haben und weitaus höhere Kosten nach sich ziehen.

Unternehmen, denen es nicht gelingt, eine Kultur des gesunden Misstrauens sowie der individuellen Verantwortlichkeit im Spannungsfeld Cyberkriminalität zu etablieren, werden Angriffen fast hilflos ausgeliefert sein. Der Mensch muss zu einer tragenden Säule bei der Abwehr von Angriffen aus dem Internet werden.

Um die Mitarbeitenden quasi zur «lebenden» Firewall zu machen, sollten IT-Security-Verantwortliche folgende Massnahmen umsetzen:

Wenn sich dieses Bewusstsein in den Köpfen der Mitarbeitenden verankert hat und ihr Kenntnisstand deutlich verbessert werden konnte, wird sich ihr Verhalten nachhaltig ändern. Und genau hier wird der Unterschied zwischen einem erfolgten Angriff und einer (für den Cyberkriminellen) erfolgreichen Attacke zu finden sein.