Lockdown, Langeweile und Einsamkeit – das größte Cyberrisiko der kommenden Monate?

Wie das Homeoffice Insider Threats befeuert

Im Zuge der weltweiten Ausbreitung des Coronavirus im Frühjahr 2020 wurden Cybersecurity-Teams vor noch nie dagewesene Aufgaben gestellt.

Mit minimaler Vorlaufzeit mussten plötzlich zig Millionen Angestellte ihrer Tätigkeit aus dem Homeoffice nachgehen, was die Angriffsfläche der meisten Organisationen rapide vergrößerte.  

Anzeige

Neben der dadurch größer gewordenen Abhängigkeit von Cloud-Diensten waren die Cybersecurity-Teams zudem gezwungen, auf veränderte Verhaltensmuster vieler Nutzer zu reagieren. Die für viele Mitarbeiter ungewohnte Arbeitsumgebung zu Hause gekoppelt mit Ablenkungen durch zusätzliche familiäre Herausforderungen angesichts der globalen Pandemie, machten es außerdem deutlich schwieriger, bewährte Sicherheitsverfahren einzuhalten. 

Und es dauerte auch nicht lange, bis Cyberkriminelle dieses Zeitfenster für sich zu nutzten versuchten. Meldungen zu Phishing-Angriffen erreichten ungekannte Höhen. Hunderte von Ködern, die dabei beobachtet werden konnten, wiesen einen Bezug zu Covid-19 auf.  

Anzeige

Der verstärkte Einsatz technischer Sicherheitsmaßnahmen in Verbindung mit angepassten Prozessen sowie dedizierten Schulungen zum Sicherheitsbewusstsein – Stichwort Security Awareness Trainings – halfen vielen Unternehmen dabei, die erste Welle neuer Cyberbedrohungen zu überstehen. Und obwohl sich inzwischen die meisten Arbeitnehmer daran gewöhnt haben, von zu Hause aus zu arbeiten und die Mehrzahl von ihnen dies wohl auch weiterhin – zumindest noch für einige Monate – tun muss, ist die Cybergefahr noch lange nicht gebannt. 

Auf Basis dieser Erfahrungen liegt die Vermutung nahe, dass die nächsten Monate in puncto Cybersicherheit vom Faktor Mensch geprägt sein werden und dieser wahrscheinlich darüber entscheidet, ob Unternehmen zu Opfern von Cyberkriminellen werden: Die Kombination aus langanhaltender Isolation von den Kollegen, Ablenkungen wie dem Homeschooling der Kinder und ein erhöhter Stresspegel aufgrund der Pandemie könnte dazu führen, dass die Achtsamkeit für sicherheitsrelevantes Verhalten bei vielen Mitarbeitern auf der Strecke bleiben. 

Die Psychologie der Pandemie

Wenig Abwechslung im Alltag, die Vermischung von Arbeits- und Privatleben, minimaler persönlicher Kontakt und das noch immer nicht absehbare Ende der Pandemie tragen allesamt zu dem bei, was Psychologen als „Pandemic Malaise“ bezeichnet haben. 

Die Langeweile, die das Resultat eines Alltags ist, der sich scheinbar ständig zu wiederholen scheint, wirkt sich auf das Wohlbefinden und das Verhalten der Menschen aus. Mehrere Studien belegen die Auswirkungen von Langeweile auf Konzentration, Leistungsfähigkeit und Produktivität. Mit anderen Worten: Wenn ein Mensch gelangweilt ist, sinken dessen Werte in all diesen Belangen. Zudem neigt die Person dazu, Fehler zu machen.  

Und als ob dies opportunistischen Cyberkriminellen nicht schon genug Vorteile verschaffen würde, müssen viele Nutzer auch noch mit einer Vielzahl von Ablenkungen im Homeoffice zurechtkommen: Der virtuelle Schulunterricht der Kinder, die gemeinsame Nutzung des Schreibtisches mit dem (Ehe-)Partner oder einem Mitbewohner, die Erledigung von Hausarbeiten und die Verlockungen häuslicher Annehmlichkeiten können den Fokus der Betroffenen regelmäßig von ihrer eigentlichen Tätigkeit ablenken. 

Solche wiederkehrenden Unterbrechungen des Arbeitsflusses können zu einer in Fachkreisen als kognitive Ermüdung bezeichneten Reaktion führen. Diese steigert das Risiko von Fehlern, Versäumnissen und geistigen Aussetzern erheblich. 

All das sind schlechte Nachrichten für die Sicherheitsverantwortlichen der Unternehmen und gute Nachrichten für böswillige Angreifer. 

Cyberkriminelle setzen generell bei ihrem Vorgehen auf Fehler ihrer Opfer. Denn bereits ein hastig geöffneter Dateianhang, ein wiederverwendetes Passwort oder ein übersehenes Detail reichen aus, um einem Unternehmen großen Schaden zuzufügen. Und das Risiko ist alles andere als theoretisch. 

Diese Art von Nachlässigkeit ist die häufigste Ursache für Insider-Bedrohungen und macht fast zwei Drittel der gemeldeten Vorfälle aus. Die Folgen können für die Betroffenen verheerend sein: Sie kosten Unternehmen 4,5 Millionen US-Dollar pro Jahr – durchschnittlich 307.111 US-Dollar pro Vorfall. 

Unerbittliche Gegenspieler

Moderne Cyberkriminelle sind sich wohl bewusst, dass der schnellste Weg in die IT-Systeme eines Unternehmens über dessen Mitarbeiter führt. Bereits vor der Pandemie zielten über 94 Prozent aller Cyberangriffe unter Ausnutzung der E-Mail als Angriffsvektor auf den Menschen als „Türöffner“ ab, wobei 99 Prozent dieser Attacken eine menschliche Interaktion voraussetzten, um aus Sicht der Täter erfolgreich zu sein. 

Die Verunsicherung, Langeweile und die Ablenkung der potenziellen Ziele hat diese ohnehin bedrohliche Situation zusätzlich verschärft. Spätestens als das Coronavirus einer breiten Öffentlichkeit bekannt wurde, wurden auch schon die ersten Covid-19-bezogenen Phishing-Köder registriert. Diese versprachen Tests, Heilmittel, staatliche Ausgleichzahlungen für entgangene Einkünfte oder gar einen Impfstoff als Gegenleistung für persönliche Informationen und Anmeldedaten. 

Diese veränderte Bedrohungslage ließ auch die Behörden hierzulande aufhorchen. Bereits im Mai letzten Jahres warnte das deutsche Bundeskriminalamt (BKA) vor einer bundesweiten Phishing-Welle mit Bezug zum Coronavirus. In seiner „Sonderauswertung Cybercrime in Zeiten der Corona-Pandemie“ veröffentlichte das BKA im September 2020 ferner Zahlen zu polizeilichen Meldungen der einzelnen Bundesländer, die in Zusammenhang mit der durch das Coronavirus ausgelösten Pandemie standen. Demnach kam es bundesweit zu 141 Fällen von Cybercrime „im engeren Sinne“ worunter nach Angaben der Behörde das Ausspähen und Abfangen von Daten, Datenveränderungen sowie -sabotage zu verstehen sind. Darüber hinaus verzeichneten die Strafverfolger deutschlandweit 471 Fälle von Cybercrime „im weiteren Sinne“. Unter diese Kategorie fallen Straftaten, bei denen IT-Systeme zur Planung, Vorbereitung und Ausführung verwendet wurden.

Auch andernorts hinterlässt die im Zuge der Corona-Pandemie verschärfte Bedrohungssituation ihre Spuren. Allein bei der Polizei der City of London wurden innerhalb eines Monats nach dem ersten britischen Lockdown 3.916 Anzeigen mit Bezug zu Cyberkriminalität erstattet. Dies entspricht einem Anstieg von 72 Prozent gegenüber dem Vormonat. Die Schäden beliefen sich auf fast 3 Millionen Pfund. Zahlen der britischen Finanzbehörde HMRC, die Ende letzten Jahres veröffentlicht wurden, belegen ebenfalls diese Beobachtung. Demnach gab es einen Anstieg der Phishing-Angriffe um 73 Prozent zwischen März und September. 

Die Verlockungen, mit denen die Opfer beim Phishing in die Falle gelockt werden sollen, sind im Zuge der Corona-Pandemie vielfältiger geworden. Benutzer sind einem anhaltenden Sperrfeuer von Angriffen ausgesetzt, bei denen selbst die Missachtung einfachster Verhaltensregeln ein Unternehmen unmittelbar in Gefahr bringen können. Doch genau diese Vernachlässigung simpler Security-Maßnahmen geschieht leider regelmäßig. 

Jede vierte Person, die eine Phishing-E-Mail empfangen hat, räumt später ein, diese auch geöffnet zu haben. Schlimmer noch: 10 Prozent davon haben zusätzlich auch noch einen gefährlichen Dateianhang geöffnet. 

Das mangelnde Sicherheitsbewusstsein ist hier der Kern des Problems. In einer kürzlich von Proofpoint durchgeführten Studie konnten 36 Prozent der befragten Angestellten in Deutschland den Begriff Phishing nicht korrekt zuordnen, geschweige denn entsprechende Kenntnisse vorweisen, um dieser Bedrohung mit den richtigen Gegenmaßnahmen zu begegnen. Gleichzeitig gaben 25 Prozent der hierzulande ebenfalls für die Studie befragten Security-Verantwortlich an, dass ihr Unternehmen 2020 von mindestens der Hälfte der Belegschaft einen Wechsel ins Homeoffice gefordert hatte – weitere zwar 43 Prozent baten ihre Angestellten darum, nicht ins Büro zu kommen. Allerdings boten im selben Atemzug lediglich 52 Prozent der bei der Studie zu Wort gekommenen Unternehmen all ihren Angestellten ein Cybersecurity Awareness Training an – eine große Zahl von Nutzern wurde folglich nicht entsprechend für aktuelle Cyberbedrohungen sensibilisiert. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Personen-orientierter Angriff vs. Personen-orientierte Verteidigung

Eine Verteidigungsstrategie, die sich auf den Menschen konzentriert, ist keineswegs ein neues Konzept. Aber im selben Maß wie Cyberkriminelle ihre Bemühungen verstärken, Mitarbeiter in Unternehmen anzugreifen, müssen auch die Sicherheitsverantwortlichen ihre Arbeit intensivieren, um sie zu verteidigen.

Das Herzstück dieses Ansatzes ist ein umfassendes, wiederkehrendes und kontextbezogenes Security Awareness Training. Denn es reicht nicht aus, dass Nutzer lediglich per Definition wissen, um was es sich bei Phishing oder Ransomware handelt. Vielmehr müssen sie wissen, wie sie diese Bedrohungen in der realen Welt erkennen können und wie ihr Verhalten die Erfolgschancen eines Angriffs deutlich reduzieren kann.

Leider ist das ein Bereich, in dem viele Unternehmen noch immer erhebliche Defizite aufweisen. 28 Prozent der deutschen Unternehmen geben an, dass sie nur zwei Mal im Jahr oder seltener ein umfassendes Trainingsprogramm durchführen. 

Dieser Umstand muss sich ändern, um nachhaltig eine personen-orientierte Verteidigung in puncto Cybersecurity zu etablieren. Denn die besten technischen Schutzmaßnahmen lassen sich durch einen einzigen Klick auf einen präparierten Link komplett aushebeln. 

Adenike

Cosgrove

Cybersecurity Strategist

Proofpoint

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.