Skip to content

Risikofaktor Mitarbeiter

Gastbeitrag: Nathalie André, E-SEC GmbH – http://www.e-sec.com

 

Risikofaktor Mitarbeiter

Durch Social Engineering-Attacken und Angriffe auf die Informationssicherheit drohen Unternehmen kaum überwindbare Schäden. Eine nachhaltige Sicherheitsstrategie ist unerlässlich – jedoch steckt der Schlüssel zum Erfolg nicht allein in der technischen Absicherung, sondern in sensibilisierten Arbeitskräften. Denn Schäden resultieren meist aus dem Fehlverhalten der eigenen Mitarbeiterinnen und Mitarbeiter.

Während technische Schutzmaßnahmen, wie Virenscanner und Firewalls, zwar viele Angriffe von außen verhindern, schützen diese nicht vor dem Fehlverhalten des eigenen Personals. Sensible Daten werden gestohlen, Kundeninformationen werden herausgegeben oder ausspioniert, unverschlüsselte Laptops und Smartphones gehen verloren. Um Sicherheitsvorfälle dieser Art zu minimieren, gilt es das Bewusstsein der Mitarbeiterinnen und Mitarbeiter nachhaltig zu steigern. Unternehmen benötigen hierzu einen systematischen Ansatz und flexible Awareness-Maßnahmen.

Die wichtigste Voraussetzung um Informationen des Unternehmens zu schützen ist, dass Mitarbeitende Gefahrenquellen erkennen und interne Guidelines verstehen sowie aktiv umsetzen. Die E-SEC GmbH hat mit der E-SEC® Virtual Training Company eine innovative Software-Lösung geschaffen, mit welcher Richtlinien zur Informationssicherheit nicht nur spannend vermittelt, sondern auch interaktiv trainiert und abgefragt werden. User navigieren durch eine virtuelle 3D-Welt und üben in alltagsbezogenen Situationen korrekte Verhaltensweisen zu Richtlinien und gesetzlichen Bestimmungen.

Im Kurs Informationssicherheit der E-SEC® Virtual Training Company lernt das Personal beispielsweise das richtige Verhalten bei Spionage-Angriffen, die Datenklassifizierung von sensiblen Dokumenten, den sensiblen Umgang mit mobilen IT-Geräten sowie Passwort-Richtlinien. Alle Lern- und Prüfungsinhalte können via Editor selbst angepasst und bearbeitet werden. Ein weiterer Vorteil der Schulungssoftware: während bei einer Präsenzschulung maximal 20 Personen teilnehmen können, können mit der Software bis zu 1 Mio. User zeit- und ortsunabhängig geschult werden.

Durch ein aktives Sicherheitsbewusstseins der Angestellten können kostspielige Vorfälle bestmöglich minimiert bzw. verhindert werden. Mitarbeiterinnen und Mitarbeiter sind der zentrale Schlüssel der Informationssicherheit im Unternehmen.

Informationen zur E-SEC® Virtual Training Company finden Sie unter: http://www.e-sec.com/de-at/virtualtrainingcompany/elearningsoftware.

Situatives Awareness Training gegen Cyberangriffe

OSZE-Studie warnt vor Cyberangriffen auf die Energieversorgung

Industrieanlagen und Kraftwerke sind oft nur unzureichend gegen Cyberangriffe mit Schadsoftware geschützt und damit ein potenzielles Ziel für Terroristen. Davor warnt eine Studie der OSZE, die Politik und private Energieversorger gleichermaßen zur Zusammenarbeit beim Schutz kritischer Infrastruktur auffordert und dafür einen Maßnahmenkatalog veröffentlicht hat.

Unter anderem stuft die OSZE die Verknüpfung von Informations- und Kommunikations-(ICT-) Systemen untereinander als besonders kritisch ein, weil diese die Gefahr einer Kettenreaktion erhöhe. Abhilfe könnten SCADA-Systeme schaffen. Sie bieten die Möglichkeit, mehrere Prozesse gleichzeitig zu kontrollieren, gleichzeitig bedeutet dies jedoch ein erhöhtes Potenzial für Angriffe.

Auch intelligente Stromnetze (Smart Grids), die bestehende Stromnetze ersetzen sollen, um die Erzeugung und Speicherung des Stroms besser koordinieren zu können, bieten neue Angriffsflächen. Da es keine internationalen Standards gebe, wie Betreiber mit den Sicherheitsrisiken umzugehen haben, bestehe hier Handlungsbedarf.

Als mögliche Schutzmaßnahmen empfiehlt die OSZE Schulungen, Sensibilisierungen und ganzheitliche Konzepte zum Schutz vor Innentätern bis hin zu staatlich gesteuerten Aktivitäten, die Abhängigkeiten und Kaskadeneffekte reduzieren. Laut Timo Kob, vom IT-Sicherheitsdienstleister HiSolutions AG, der an der Studie mitgearbeitet hat, solle sie ein Rahmenwerk für die stetige Weiterentwicklung umfassender Maßnahmen gegen Cyberangriffe bilden.

Erst vor wenigen Monaten hatte heise security eine Sicherheitslücke in hunderten deutschen Industrieanlagen aufgedeckt. Besondere Gefahr geht von komplexer Malware wie Stuxnet oder Flame aus, die mittlerweile weltweit verbreitet ist.

Quelle heiseSecurity

Situatives Security Awareness Training stellt hier die Basis für die Mitarbeiter Sensibiliserung dar. Die Energieversorger sind heute nicht in der Lage die Angriffe nur durch den Einsatz weiterer komplexer Technik abzuwehren. Hier gilt es den Mitarbeiter in speziellen Situationen zu trainieren und zu unterweisen. Erst der Kontext zwischen Art des Angriffs, der Situation und des Unternehmensbereiches erlauben es, den Mitarbeiter gezielt auf die Angriffsmöglichkeiten zu trainieren. Bei jedem Cyberangriff steht der Mitarbeiter im Focus der Angreifer, daher muss das Hauptaugenmerk nicht auf den Einsatz immer komplexerer Technik gerichtet sein, sondern auf jede einzelne Person im Unternehmen. Technik und Mitarbeiter müssen hier in Einklang gebracht werden und eine Vertrauensbasis entsteht.

Die zehn größten Bedrohungen im Internet

Die zehn größten Gefahren im Internet

      Die größte Bedrohung für Internetnutzer sind derzeit so genannte Drive-by-Downloads. Dabei handelt es sich um Schadprogramme, die sich Nutzer beim Besuch manipulierter Webseiten einfangen können. Auf dem zweiten Platz liegen Würmer und Trojaner. Trojaner führen auf infizierten Computern unerkannt gefährliche Funktionen aus und digitale Würmer verbreiten sich selbst über das Internet. Mit Viren-Baukästen können aber auch Laien enorme Schäden anrichten      

         

Das berichtet der Hightech-Verband BITKOM im Rahmen eines Rankings der zehn größten Gefahren aus dem Internet im Jahr 2013. Basis der Angaben ist ein aktueller Bericht der European Network and Information Security Agency. „Die Cybergangster agieren immer raffinierter“, sagte BITKOM-Präsident Prof. Dieter Kempf am Vortag des „Safer Internet Day“. „Drive-by-Downloads sind besonders tückisch, weil sie kaum zu erkennen sind und allein der Besuch einer manipulierten Webseite für den Angriff auf den eigenen Rechner ausreicht.“ Weitere Gefahren sind Attacken auf Datenbanken und Webanwendungen, massenhaft gekaperte und ferngesteuerte Computer (Botnets) oder betrügerische Mails und Webseiten (Phishing). Der BITKOM erläutert die wichtigsten Bedrohungen und zeigt, wie sich Nutzer schützen können.

Drive-by-Downloads von Schadsoftware Beim Besuch manipulierter Webseiten laden sich Internetnutzer unbewusst Schadsoftware auf den eigenen Rechner. Dabei werden in der Regel Sicherheitslücken von Browsern oder Zusatzprogrammen (Plugins) ausgenutzt. Drive-by-Downloads gelten inzwischen als wichtigster Verbreitungsweg für Computerviren und haben damit sogar die E-Mail verdrängt. Nutzer können sich schützen, indem sie immer die neuesten Versionen ihres Browsers und der genutzten Plugins wie Flash, Java sowie des Adobe Reader verwenden.

Trojaner/ Würmer Würmer und Trojaner gehören zu Klassikern unter den Schadprogrammen. Vor allem die Gefährlichkeit von Trojanern steigt wieder, da Cyberkriminelle zunehmend soziale Netzwerke und mobile Plattformen als Verbreitungsweg nutzen. Die Programme nisten sich unerkannt in einem Computersystem ein und führen dann gefährliche Aktionen aus, zum Beispiel übertragen sie Passwörter, die der Nutzer am Gerät eingibt. Einen guten, aber keinen absoluten Schutz bieten die jeweils aktuellsten Antivirenprogramme. Nutzer sollten zudem darauf achten, keine Software aus unsicheren oder unbekannten Quellen zu installieren.

Attacken auf Datenbanken und Websites Angriffe auf Datenbanken per SQL-Injection und auf Webseiten mittels Cross Site Scripting (XSS) sind weit verbreitet. XSS trifft vor allem die Anbieter von Online-Diensten, da Cyberkriminelle mit dieser Methode das Aussehen von Webseiten verändern können. Möglich ist aber auch das Auslesen von Login-Daten. Anwender können sich nur schützen, indem sie zum Beispiel Javascript oder Flash deaktivieren, was aber den Surfkomfort mindert. Noch wichtiger ist, dass Betreiber von Webseiten ihre Seiten sehr sorgfältig programmieren und überwachen.

Viren-Baukästen Viren-Baukästen (Exploit Kits) sind Programme, die die Entwicklung individueller Schadsoftware ermöglichen und Cyberangriffe praktisch automatisieren. Die Programme können Drive-by-Downloads initiieren und nutzen eine Vielzahl weiterer Verbreitungswege, um Computer zu infizieren. Typisch für Viren-Baukästen ist ihre einfache Handhabung, die sie auch für technische Laien benutzbar macht.

Botnetze Ein Botnetz ist ein Netzwerk infizierter Computer. Die Rechner werden über das Internet zusammengeschaltet und von einem Botmaster kontrolliert. Aus Botnetzen können Spam- und Phishing-Mails versendet oder Webserver mit massenhaften Anfragen lahmgelegt werden (s.u.). Zudem können Cyberkriminelle auf den befallenen Computern Passwörter und andere Daten abgreifen. Das größte bislang entdeckte Botnetz umfasste rund 30 Millionen einzelne Rechner. Der Trend geht inzwischen zu kleineren Botnetzen, die nach Bedarf für kriminelle Zwecke eingesetzt werden. Nutzer sollten zum Schutz aktuelle Software und die neuesten Virenscanner inklusive Firewall verwenden. Die Webseite www.botfrei.de überprüft, ob der eigene Rechner Teil eines Botnetzes ist und reinigt ihn bei Bedarf.

Denial-of-Service-Attacken Denial of Service bedeutet „Verweigerung eines Dienstes“. Cyberkriminellen geht es darum, einen Webserver lahmzulegen, damit bestimmte Webseiten nicht mehr aufzurufen sind. Angreifer erreichen dieses Ziel, indem sie den Server mit massenhaften Anfragen beschäftigen und dieser unter der Last zusammenbricht. Neben erpresserischen Absichten wird diese Form des Angriffs auch häufig bei Protestaktionen eingesetzt. Die Angriffe können von einem einzelnen Computer oder von vielen ausgeführt werden, zum Beispiel aus einem Botnetz. Die Abwehr dieser Attacken muss von den Server-Administratoren gewährleistet werden.

Phishing Bekannt wurde Phishing durch den Versand von E-Mail-Links zu gefälschten Bank-Seiten, auf denen die Opfer Kontozugangsdaten (PIN) und Transaktionsnummern (TAN) eingeben sollten. Inzwischen senden Kriminelle per E-Mail meist einen Trojaner, der die Daten heimlich ausspäht und überträgt. Angriffsziele sind neben Banken auch Bezahldienste, Online-Händler, Paketdienste oder soziale Netzwerke. Zuletzt sind Phishing-Angriffe verstärkt auf Smartphones beobachtet worden. Schutz bietet vor allem ein gesundes Misstrauen. Banken und andere Unternehmen bitten ihre Kunden nie per E-Mail, vertrauliche Daten im Netz einzugeben. Diese Mails am besten sofort löschen. Das Gleiche gilt für E-Mails mit Dateianhang oder Anfragen in sozialen Netzwerken.

Datenklau und Datenverluste Im Jahr 2012 gab es erneut spektakuläre Fälle, bei denen Cyberkriminelle Nutzerdaten von bekannten Online-Diensten erbeuten konnten. Neben den persönlichen Angaben ist vor allem der Verlust von Kreditkartendaten kritisch. Zudem können sich Hacker mit den gewonnenen Informationen auch bei anderen Diensten mit falscher Identität einloggen. Hauptgründe für Datenverluste sind Hacker-Angriffe und eingeschleuste Schadsoftware. Daneben spielen auch physische Angriffe und das so genannte Social Engineering eine Rolle. Dabei versuchen Kriminelle das Vertrauen von Mitarbeitern oder deren Angehörigen zu gewinnen, um Zugang zu kritischen Informationen zu erlangen. 

Rogueware/Scareware Diese Computerviren bedienen sich der Mittel Täuschung und Angst. So wird dem Nutzer eine Infektion seines Computers gemeldet, die erst gegen Bezahlung behoben wird. Weit verbreitet sind Schadprogramme, die Logos von Bundespolizei, Landeskriminalämtern oder Institutionen wie der Gema verwenden. Der Virus legt das Computersystem lahm. Die Sperrung erfolge aufgrund einer illegalen Handlung und werde erst gegen Zahlung einer Strafe wieder aufgehoben. Auf solche Erpressungsversuche sollten sich Nutzer keinesfalls einlassen. Zudem sollten Antivirenprogramme und Firewall auf dem neuesten Stand sein.

Spam Spam ist das einzige Cybercrime-Phänomen, das tendenziell abnimmt. Dennoch sind etwa 90 Prozent aller E-Mails Spam. Ein Grund für den Rückgang ist die Ausschaltung einiger großer Botnetze in den vergangenen Jahren. Deutlich besser geworden sind die Spamfilter der E-Mail-Provider. Trotzdem ist weiter höchste Vorsicht geboten, da zunehmend gefährliche Schadsoftware in Spam-Mails enthalten ist. Nutzer sollten keine Mails unbekannter Herkunft öffnen und auch bei Nachrichten von bekannten Online-Diensten genau hinschauen.

Quelle: BITKOM

Jeder zweite Angestellte entwendet Daten

Jeder zweite Angestellte entwendet Daten

Die Hälfte aller Mitarbeiter, die in den vergangenen zwölf Monaten ihren Arbeitsplatz gewechselt oder ihre Stelle verloren hat, behält vertrauliche Unternehmensdaten des ehemaligen Arbeitgebers. Jeder Vierte aus dieser Gruppe hat darüber hinaus vor, diese Daten auch beim neuen Arbeitgeber zu nutzen.

Das Marktforschungsunternehmen Ponemon Institute hat im Oktober 2012 im Auftrag von Symantec 3.317 Personen aus den USA, Großbritannien, Frankreich, Brasilien, China und Korea befragt. Die Umfrage deckt auf, dass viele Angestellte davon ausgehen, dass es in Ordnung sei, geistiges Eigentum weiter zu verwenden, wenn sie das Unternehmen verlassen. Zudem glauben sie, dass ihre Arbeitgeber sich dafür nicht interessierten.

Nur 47 Prozent der Befragten gaben an, dass ihr Unternehmen aktiv wird, wenn ein Mitarbeiter vertrauliche Daten missbräuchlich verwendet. 68 Prozent gaben zudem an, dass ihre Betriebe nichts dagegen unternähmen, dass vertrauliche, wettbewerbsrelevante Daten von Dritten durch eigene Angestellte genutzt werden.

Das zentrale Fazit der Studie lautet daher, so Symantec, dass Unternehmen es nicht verstünden, eine Kultur des verantwortlichen Umgangs mit geistigem Eigentum unter ihren Mitarbeitern zu etablieren.

Zentrale Punkte der Studie

Die Studie hat ergeben, dass Mitarbeiter auch außerhalb des Firmennetzwerks Unternehmensdaten kopieren und sie dann nicht mehr löschen. 62 Prozent der insgesamt 3.317 Befragten finden es in Ordnung, Arbeitsdokumente auf privaten PCs, Smartphones, Tabets oder online in Filesharing-Anwendungen abzulegen. Die Mehrheit löscht diese Daten nie, da sie keine Gefahr darin sehe, die Informationen zu behalten.

Die meisten Angestellten halten es zudem nicht für falsch, Daten von einem früheren Arbeitgeber weiter zu nutzen. 56 Prozent gehen sogar davon aus, dass es legal sei, die geheimen Informationen eines Wettbewerbers zu nutzen. Durch diese Fehleinschätzung liefen die aktuellen Arbeitgeber Gefahr, unwissentlich Empfänger gestohlenen geistigen Eigentums zu werden, warnt Symantec.

Viele Angestellte schreiben darüber hinaus geistiges Eigentum nicht dem Unternehmen zu, sondern der Person, die es geschaffen hat: Für 44 Prozent der Teilnehmer hat beispielsweise ein Software-Entwickler, der Quellcode schreibt, Anteil am Eigentum seiner Arbeit oder Erfindung. 42 Prozent der Befragten haben daher auch kein Problem damit, diesen Quellcode ohne Erlaubnis in Projekten für andere Unternehmen wieder zu verwenden.

Mangelndes Sicherheitsbewusstsein in Unternehmen

Nur 38 Prozent der befragten Angestellten haben angegeben, dass für ihre Vorgesetzten Datenschutz für das Geschäft von Bedeutung sei. Auch geht rund die Hälfte der Befragten davon aus, dass es in Ordnung sei, Unternehmensdaten mitzunehmen, weil ihre Arbeitgeber Regeln nicht strikt durchsetzten.

Empfehlungen

Symantec empfiehlt Unternehmen eine Reihe von Maßnahmen, um das Problem einzudämmen. Ein zentraler Punkt sei die Weiterbildung von Mitarbeitern: Unternehmen müssten es ihren Mitarbeitern klar machen, dass es falsch ist, vertrauliche Daten zu verwenden.

Darüber hinaus sollten Unternehmen Vertraulichkeitsvereinbarungen auch durchsetzen. Bei fast der Hälfte aller Datendiebstähle durch Insider hatte das Unternehmen eine Vereinbarung für geistiges Eigentum mit dem Mitarbeiter geschlossen. Doch die bloße Existenz solcher Vereinbarungen sei sinnlos, wenn die Mitarbeiter sie nicht verstünden und sie nicht umgesetzt werden. Die Vereinbarungen mit Mitarbeitern müssten konkreter formuliert werden, rät Symantec.

Außerdem sollte vor einem Wechsel des Arbeitsplatzes in den Abschlussgesprächen mit den Mitarbeitern auf deren weiter bestehende Verantwortung für den Schutz von vertraulichen Informationen und auf deren Rückgabe hingewiesen werden. Angestellte müssten verstehen, erklärt Symantec, dass Regelverstöße geahndet werden und dass ein Datendiebstahl sowohl für sie als auch für den neuen Arbeitgeber negative Folgen haben kann.

Ergänzend empfiehlt Symantec Kontrolltechnik. Unternehmen sollten eine Lösung einsetzen, mit der kontrolliert werden kann, wer unerlaubt auf geistiges Eigentum zugreifen kann und wer diese nutzt. Diese Lösung sollte Mitarbeiter informieren, wenn eine Regelverletzung auftritt und so das Sicherheitsbewusstsein schärfen und einen Informationsdiebstahl verhindern.

Quelle Symantec

Hallo Security Awareness interessierte!!

Jetzt ist es endlich soweit mein Security Awareness Blog steht im Rohgerüst und ich habe jetzt eine neue Aufgabe.

Jedem meine Erfahrungen aus dem Bereich Security Awareness mitzuteilen aber auch Anregungen interessierter hier zu veröffentlichen.

Jetzt geht es los ich werde pöh a pöh den Blog anpassen da ich noch etwas unerfahren im bloggen bin.

Also seht es mir im Moment noch nach wenn es nicht sehr perfekt aussieht aber ich bin der Meinung der Inhalt ist wichtig und nicht das look and feel.

Grüße aus dem Allgäu

Martin Braun

Folgen

Erhalte jeden neuen Beitrag in deinen Posteingang.