Vertrauliche Informationen besitzt jedes Unternehmen. Sie sind wichtig für den Unternehmenserfolg und deshalb besonders schützenswert. Durch die zunehmende Digitalisierung und Vernetzung steigt jedoch jährlich die Zahl der Cyberangriffe und somit das Risiko für Unternehmen. Dazu kommt, dass in vielen Organisationen die Mitarbeitenden nicht oder zu wenig sensibilisiert sind in Bezug auf die IT-Sicherheit.
Heutzutage ist es für Unternehmen unumgänglich die IT-Infrastruktur mit entsprechender Security Soft- und Hardware vor Cyberangriffen zu schützen. Ein Teil der Angriffe kann mit solchen Massnahmen blockiert werden. Cyberkriminelle verbessern ihre Methoden jedoch stetig und verfügen teilweise über enorme Ressourcen. Dadurch gelingt es Angreifenden immer wieder Sicherheitsmassnahmen zu umgehen und Unternehmen zu kompromittieren. Dabei ist und bleibt der grösste Risikofaktor für die IT-Sicherheit von Unternehmen der Mensch selbst.
Ein effektives Mittel, um an Unternehmensdaten heranzukommen, ist Phishing. Das Wort Phishing setzt sich aus „Password" und „Fishing" zusammen und verdeutlicht das Angeln nach Passwörtern. Phishing-Nachrichten fordern den Empfänger auf, aus einem meist plausiblen Grund geheime Zugangsdaten preiszugeben. Achtsame und vorsichtige Mitarbeitende können solche Phishing-Mails erkennen und lassen sich hier nicht austricksen bzw. klicken nicht auf im E-Mail enthaltene Links.
Spear-Phishing bezeichnet einen gezielten Angriff auf eine spezifische Person in einem Unternehmen. Dabei werden zuvor gesammelte Informationen verwendet, um eine Vertrauensbasis zu schaffen. Diese Angriffe sind viel schwieriger zu erkennen, als wenn es sich um generische Phishing-Mails handelt. Mehr Informationen zum Thema Spear-Phishing finden Sie in unserem Blog-Beitrag vom März 2021.
Auch Social Engineering ist ein Mittel, welches von Cyberkriminellen gerne eingesetzt wird. Dabei geht es um die zwischenmenschliche Beeinflussung einer Person. Die Gutgläubigkeit und die Hilfsbereitschaft von Menschen werden schamlos ausgenutzt. Cyberkriminelle versuchen das Vertrauen des Opfers zu gewinnen, um so an vertrauliche Informationen, wie Kreditkartendaten und Passwörtern, zu gelangen. Firmenwebseiten oder das Handelsregister geben bereits viele Informationen preis. Ebenfalls interessant sind soziale Netzwerke wie LinkedIn oder Facebook für Cyberkriminelle. Sie finden dort Informationen über Identitäten und Funktionen von Mitarbeitenden. Vielfach sind geschäftliche Beziehungen zu anderen Unternehmen und Partner ersichtlich. Eine beliebte Betrugsmasche ist „CEO-Fraud“, welche im Blog von Secnovum gut beschrieben wird.
Social Engineering findet nicht nur im Internet statt. Eine der bekanntesten Maschen ist beispielsweise der Enkel-Trick. Dabei versuchen Trickbetrüger über Telefonanrufe ältere Menschen davon zu überzeugen, sie seien Verwandte und benötigen dringend Geld. Um die Opfer zu täuschen, werden Informationen aus Todesanzeigen und ausserdem aus dem Internet benutzt.
Die meisten erfolgreichen Cyberattacken können auf menschliches Fehlverhalten zurückgeführt werden. Mit dem Sicherheitsbewusstsein (Security Awareness) sind die wenigsten Mitarbeiter schon von vornherein ausgestattet. Es ist aber eine Fähigkeit, die man lernen und trainieren kann. Die Sensibilisierung der Mitarbeitenden zu erhöhen ist das Ziel von Security Awareness-Trainings. Sie erstreckt sich nicht nur auf Phishing- oder Social Engineering-Angriffe, sondern greift auch in anderen Fällen, z.B. wenn unbefugte Personen in Firmenräumen unterwegs sind.