Nach Angaben des Deutschen Instituts für Wirtschaftsforschung (DIW) möchte jeder Deutsche zumindest ab und an von zu Hause aus arbeiten. Und obwohl viele ein Recht auf Homeoffice begrüßen würden, so stellt es IT-Abteilungen in Unternehmen doch vor große Herausforderungen.
Schon heute verschwimmen die Grenzen zwischen privater und geschäftlicher Nutzung der Unternehmens-PCs, wenn Mitarbeiter beispielsweise private E-Mails am Firmenrechner lesen oder den Firmenlaptop abends und am Wochenende mit nach Hause nehmen, um auch noch Feierabend noch die eine oder andere Aufgabe erledigen zu können. Laut einer aktuellen Umfrage von Proofpoint unter 6000 Erwerbstätigen aus Deutschland sowie den USA, Großbritannien, Frankreich, Italien und Australien ist die moderne Arbeitswelt – mit oder ohne offizieller Genehmigung des Arbeitgebers und mit oder ohne Segen der Gesetzgebung – heute schon Realität: Im Rahmen der Befragung, deren Ergebnisse im aktuellen Proofpoint Bericht zu Benutzerrisiken nachzulesen sind, gaben 17 Prozent der deutschen Mitarbeiter im Querschnitt aller Branchen und Firmengrößen an, ihr vom Arbeitgeber überlassenes Gerät „regelmäßig“ zu Hause zu nutzen, wobei 38 Prozent dieser Personen kein Passwort für ihr WLAN eingerichtet haben. Neben der rein beruflichen Tätigkeiten wird der Firmen-PC auch verwendet, um private E-Mails abzurufen und zu beantworten (66 Prozent), für Social Media Aktivitäten (28 Prozent), um Medien zu streamen (23 Prozent), online einzukaufen (27 Prozent) oder zu spielen (9 Prozent).
Die erwähnte Studie deckte zudem auf, dass 71 Prozent der deutschen Teilnehmer fälschlicherweise annehmen, dass der Einsatz von Antivirensoftware einen Cyberangriff auf den Computer verhindern kann. Die Kombination privater Nutzung der Firmen-IT gepaart mit diesem eklatanten Mangel an Cybersecurity-Know-how unter den Mitarbeitern, kreiert ein Schlaraffenland für Cyberkriminelle.
Die Antwort muss lauten: Im Kampf gegen Cyberkriminalität hat der Mensch – und nicht die Technologie – im Zentrum der Cybersecurity zu stehen. Es gilt die Technik, Prozesse und Kontrollen so zu kombinieren, dass der Mitarbeiter nicht mehr länger ganz einfach als Trojanisches Pferd missbraucht werden kann.
Der Mitarbeiter im Visier
Doch wieso nehmen Cyberkriminelle bei ihren Angriffen vermehrt einzelne Mitarbeiter ins Visier? Hier spielen zwei primäre Gründe zusammen. Zum ersten liegt es in der menschlichen Natur, den Weg des geringsten Widerstandes zu wählen. Und auch wenn die Cybersecurity Richtlinien eines Unternehmens absolut hieb und stichfest sind, so ist die Wahrscheinlichkeit, dass sich alle Mitarbeiter zu jedem Zeitpunkt zu 100 % daran halten, doch eher gering.
Zum zweiten schlagen natürlich auch Internetbetrüger bevorzugt den einfachen Weg ein. Warum sollte ein Hacker beispielsweise viel Zeit darauf verwenden, ein Programm oder einen Algorithmus zu ersinnen, der ein ausgeklügeltes und fast unüberwindbares Sicherheitssystem bezwingen kann – wenn er über einen relativ einfach umzusetzenden Phishingangriff die Zugangsdaten von einem Anwender quasi frei Haus geliefert bekommt? Cyberkriminelle sind mittlerweile extrem gut darin geworden, die menschlichen Schwachstellen innerhalb eines Unternehmens für sich zu nutzen – was im Umkehrschluss bedeutet, dass der Mitarbeiter häufig das größte Cybersecurity Risiko darstellt.
So kann es sein, dass der Mitarbeiter unwissentlich ein schadhaftes Makro aktiviert, ein Passwort auf einer Phishing-Seite eingibt oder einem so genannten CEO-Betrug (auch Business Email Compromise oder BEC genannt) auf den Leim geht und Daten an einen Cyberbetrüger sendet oder eine Zahlung autorisiert. Neben dem finanziellen Schaden müssen Unternehmen immer auch den Image- und Vertrauensverlust in ihre Risikokalkulation mit aufnehmen, der mit erfolgreichen Angriffen immer einher geht.
Um wettbewerbsfähig zu bleiben, sind Unternehmen gefragt, ihren Mitarbeitern schnellen und einfachen Zugang zu Daten zu gewähren – und alle 5 Minuten mittels Zweifaktorauthentifizierung abzufragen, ob der Mitarbeiter wirklich noch selbst am Rechner sitzt, wäre sicherlich kontraproduktiv und mit Sicherheit nicht das adäquate Mittel. Die Antwort liegt in der besseren Schulung – und erhöhter Wachsamkeit jedes einzelnen. Denn trotz hoher medialer Aufmerksamkeit für Malware- und Ransomware-Attacken, können um nochmals die oben erwähnte Studie zu bemühen, 31 Prozent der Arbeitnehmer Malware nicht korrekt erklären; bei Ransomware steigt der Prozentsatz der deutschen Studienteilnehmer, die diese Frage nicht oder falsch beantwortet haben, auf 74 Prozent. Wenn Mitarbeiter also die Risiken nicht erkennen und das Bewusstsein für die Einhaltung von Sicherheitsrichtlinien fehlt, werden sie über kurz oder lang auf die arglistige Täuschung von Internetbetrügern hereinfallen.
Bei einer People-Centric Cybersecurity Strategie wird modernste Technologie mit ausgeklügelten Trainingsmethoden – die u.a. auch unregelmäßige und unangekündigte Fake-Attacken beinhalten sollten – kombiniert. Neben Netzwerk-, Web- und Endpoint-Sicherheit sollte dabei die E-Mail-Sicherheit, der anfälligste Kommunikationskanal und Angriffsvektor Nummer 1 für Cyberkriminelle, in den Fokus rücken.
Letztlich müssen Unternehmen ihren IT-Abteilungen zugestehen, dass das Projekt „Cybersecurity“ niemals abgeschlossen sein wird. Nur wenn sowohl die Software auf dem jeweils neuesten Stand ist und Mitarbeiter informiert und kontinuierlich wachsam bleiben, lässt sich das Risiko effektiv minimieren. Die Vorteile aus modernen Arbeitsmethoden und -regelungen zu ziehen, sollte nicht zulasten der Sicherheit gehen. Mit einem durchdachten und umfassenden Ansatz in puncto Cybersecurity lässt sich eine Win-Win-Situation erreichen.
Georgeta Toth, Senior Regional Director Zentral- und Osteuropa, Proofpoint GmbH
In ihrer Funktion als Senior Regional Director für Mittel- und Osteuropa ist Georgeta Toth für den Ausbau des Neukundengeschäfts in einer für das Unternehmen strategisch wichtigen Region verantwortlich. Frau Toth verfügt über jahrzehntelange Erfahrung in der Netzwerk- und Cybersicherheitsbranche und war in leitenden Positionen bei Organisationen wie Tufin, Optenet und Arrow ECS tätig. Vor ihrem Wechsel zu Proofpoint war sie Regional Director CE bei Radware, wo sie dem Unternehmen in Zentraleuropa zu einem exponentiellen Wachstum verhalf.