Das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) hat die Initiative „IT-Sicherheit für die Wirtschaft“ ins Leben gerufen, die sich insbesondere an kleine Unternehmen richtet, um dieses Problem anzugehen.
Eine neue Norm, die DIN SPEC 27076, wurde am 27. April veröffentlicht, um kleinen und Kleinstunternehmen einfache Schritte zur Erhöhung ihrer Sicherheitsvorkehrungen anzubieten. Die Norm strebt keine ganzheitliche oder gar theoretische Vollständigkeit an, sondern wurde mit Blick auf Praktikabilität und Durchführbarkeit für ein nicht fachkundiges Publikum konzipiert.
Als Innovationsführer bei der Vermittlung von Security Awareness begrüßen wir diese Entwicklung. Jede Organisation, die Schwierigkeiten hat, grundlegende Sicherheitsmaßnahmen zu ergreifen, ist gegenüber Cyberangriffen wenig bis gar nicht gewappnet. Wenn diese Angriffe stattfinden, stehen Angreifern Tür und Tor offen, um sich Zugang zu Daten und Finanzunterlagen zu verschaffen. Jede Cybersicherheitsverteidigung muss ein solides Fundament an technischen Maßnahmen umfassen – es ist wichtig, vom Netzwerk über die Anwendung bis hin zum Benutzer zu denken. Es muss ein „Defense in Depth“-Ansatz umgesetzt werden.
Die menschliche Ebene, der sogenannte Human Layer, ist die oberste Schicht eines jeden Ansatzes für eine umfassende Verteidigung. Sie ist es unabhängig davon, ob Unternehmen diese Tatsache anerkennen oder noch nicht handeln, um das Security Bewusstsein zu verbessern und das gewünschte Sicherheitsverhalten zu kultivieren. Auch ohne die Sicherheitskultur einer Organisation zu beeinflussen, sind Praktiken zur Verwaltung physischer und digitaler Vermögenswerte bereits vorhanden. Es ist absolut notwendig, dass Organisationen dieser Tatsache zuvorkommen. Die Sicherheitskultur ist, genau wie die Sicherheitskultur, Teil der Organisationskultur. Sie muss aktiv gelebt und tagtäglich verwaltet werden.
Im Anforderungskatalog der SPEC76076 wird ab Seite 17 ausdrücklich empfohlen, dass Dienstleister, die nach dieser Spezifikation kleine Unternehmen in Sachen IT-Sicherheit beraten wollen, die Geschäftsführung sensibilisieren müssen. Im weiteren Verlauf wird außerdem gefordert, dass im Falle eines Sicherheitsvorfalls im Unternehmen jedem Beschäftigten klar sein muss, wie er sich zu verhalten hat und wem er was und wann zu melden hat. Darüber hinaus sollen „alle Unternehmensangehörigen, die die Unternehmens-IT nutzen, mit der IT und dem Netzwerk sicher umgehen und verdächtige Vorkommnisse und Nachrichten (z. B. Phishingmails) identifizieren können. Hierfür bedarf es Einweisungen, Schulungen und Sensibilisierungsmaßnahmen.“
Jüngste Analysen von Phishing-Taktiken zeigen, dass Cyberkriminelle zunehmend E-Mail-Themen verwenden, die mit IT- und Online-Diensten zu tun haben. Beispiele dafür sind Aufforderungen zur Passwortänderung, Einladungen zu Zoom-Meetings oder Sicherheitswarnungen. Diese Methoden sind effektiv, weil die Betreffzeilen sich auf den Arbeitsalltag eines Endbenutzers und die zu erledigenden Aufgaben auswirken würden. Im ersten Quartal zeigt der Bericht von KnowBe4, dass auch Urlaubs-Phishing-E-Mails verschickt wurden, wobei Anreize wie Terminänderungen, Geschenkgutscheine und Wellness-Pakete als Köder für ahnungslose Endbenutzer dienten. Weitere Analysen wie die von den Sicherheitsforschern von Check Point weisen darüber hinaus aus, dass vor allem DHL als bekannter Name für E-Mail-Phishing genutzt wird.