Schutz der Unternehmens-IT Drei Tipps für mehr Cybersecurity im Homeoffice

Beim Hackerschutz ist abgesehen von der technischen auch die „menschliche“ Firewall ein entscheidender Faktor.

22.10.2020

Die Arbeit aus dem Homeoffice bietet Cyberkriminellen neue Möglichkeiten, in Unternehmensnetzwerke einzudringen. Besonders Phishing-E-Mails sind eine beliebte Taktik. Wie Mitarbeiter mehr Awareness für solche Übergriffe bekommen, erklärt CISO Renee Tarun anhand von drei praktischen Tipps.

Unabhängig davon, ob sie sich dessen bewusst sind oder nicht, können Mitarbeiter ein erhebliches Risiko für die Sicherheit von Unternehmensnetzwerken und deren gespeicherte Daten darstellen. Denn um Cyberkriminellen die Tür zu öffnen, reicht es schon aus, auf einen Link zu klicken oder eine Datei herunterzuladen, ohne vorher zu prüfen, ob diese schädlich ist.

Beschäftigte, die von zuhause aus arbeiten und nicht an den Schreibtisch nebenan gehen können, um eine zweite Meinung zu einer verdächtig aussehenden E-Mail einzuholen, sind anfälliger für solche Social-Engineering-Angriffe. CISOs müssen ihren Mitarbeitern deshalb vermitteln, welche Rolle sie bei der Sicherheit ihres Unternehmensnetzwerks spielen.

Unabhängig von ihrer Position sollten alle Beschäftigten die Auswirkungen eines Sicherheitsereignisses verstehen und wissen, wie es das Unternehmen und sie persönlich beeinflussen kann. Denn aufmerksame Mitarbeiter funktionieren als menschliche Firewall und können Cyberbedrohungen abwehren.

Die folgenden drei Maßnahmen eignen sich, um alle Mitarbeiter für eine unternehmensweite Sicherheitskultur zu motivieren.

1. Schulungen zur Cyber-Sensibilisierung priorisieren

Weil sie funktionieren, sind Social-Engineering-Angriffe in Unternehmen weit verbreitet. Laut des Data Breach Investigations Report 2019 von Verizon haben etwa ein Drittel aller Datenschutzverletzungen auf die eine oder andere Weise mit Phishing zu tun.

Um Mitarbeiter für dieses Risiko zu sensibilisieren, müssen CISOs über häufige Angriffsarten, wie Phishing, Spear-Phishing, Smishing oder andere Betrügereien im technischen Support aufklären. Mitarbeiter müssen die Bedrohungen sowie deren Warnsignale erkennen. Dies ist entscheidend, damit sie nicht Opfer gefälschter E-Mails oder bösartiger Websites werden. Das NSE-Schulungsinstitut von Fortinet bietet einen kostenlosen Schulungsservice für IT-Security-Awareness an, um Mitarbeiter über die zunehmenden Risiken von Cyberattacken und die Erkennung von Bedrohungen aufzuklären.

Zusätzlich sollten auch simulierte Phishing-Übungen Teil der Sensibilisierungsmaßnahmen sein. Sie dienen dazu, das Wissen zu testen und festzustellen, welche Mitarbeiter möglicherweise mehr Unterstützung benötigen.

2. Partnerschaft zwischen Sicherheitsteam und Abteilungen schaffen

Cybersicherheit kann nicht allein auf den Schultern der Sicherheits- und IT-Teams lasten. Während das Sicherheitsteam der Experte in Bezug auf die Risikobestimmung und die Bedrohungen ist, liegt es bei anderen Abteilungen, benutzerfreundliche Richtlinien zu entwickeln. Diese müssen sowohl im Büro als auch vom Remote-Arbeitsplatz aus leicht zu befolgen sein.

Alle Personen müssen die Sicherheitsrichtlinien und bewährten Praktiken kennen. Mitarbeiter, die sich als Teil des Teams fühlen, vermeiden eher Verhaltensweisen, die zu den genannten Problemen führen. Beispielsweise achten sie stärker darauf, ihre Standardpasswörter zu ändern und sichere Passwörter zu nutzen.

Je mehr Mitarbeiter diesem Beispiel folgen, desto stärker wird die menschliche Firewall, die als erste Verteidigungsfront des Unternehmens fungiert.

3. Eindeutige Best Practices festlegen

Nachdem die Mitarbeiter darüber aufgeklärt sind, worauf sie im Falle eines Social-Engineering-Angriffs achten müssen, benötigen sie eine Anleitung für das weitere Vorgehen. Eine verdächtig aussehende E-Mail ist einfach zu ignorieren oder zu löschen, aber was ist mit den normal erscheinenden E-Mails, bei denen Unsicherheit herrscht?

In diesem Fall sollten CISOs ihre Mitarbeiter dazu ermutigen, sich konkrete Fragen zu stellen: Kenne ich den Absender? Habe ich diese E-Mail erwartet? Ruft diese E-Mail eine starke Emotion wie Aufregung oder Angst hervor? Werde ich dazu aufgefordert, dringend zu handeln?

Die Empfänger sollten folgende Schritte unternehmen, um sich selbst und ihr Unternehmen zu schützen:

  • Bevor auf einen Link geklickt wird, mit dem Mauszeiger darüber schweben, um zu sehen, ob er echt ist.

  • Unerwartete Anhänge nicht öffnen, sondern stattdessen den Absender anrufen und überprüfen, ob er die E-Mail tatsächlich gesendet hat.

  • Alle verdächtigen E-Mails dem IT- oder Sicherheitsteam melden.

Die aktive Aufklärung der Mitarbeiter hilft jedem CISO, negative Auswirkungen zu vermeiden.

Schlussbemerkungen

CISOs legen den Grundstein für eine starke Sicherheitskultur, indem sie der Schulung aller Mitarbeiter und der Zusammenarbeit zwischen den Abteilungen und dem Security-Team Priorität einräumen. Verdächtiges Verhalten zu erkennen, Geräte auf dem neuesten Stand zu halten und sicheres Cyber-Verhalten zu üben, sollte in die Prozesse aller Aufgabenbereiche integriert werden, um zu gewährleisten, dass die menschliche Firewall funktioniert.

Bildergalerie

  • Renee Tarun ist Deputy CISO/Vice President Information Security bei Fortinet.

    Renee Tarun ist Deputy CISO/Vice President Information Security bei Fortinet.

    Bild: Fortinet

Firmen zu diesem Artikel
Verwandte Artikel