Das Gute, das Schlechte und das Hässliche des Sicherheitsbewusstseins
Unternehmen geben an, dass sie ihre Mitarbeiter in Sachen Sicherheit schulen, aber Cyberangreifer dringen trotzdem immer wieder ein. Braucht Ihr Schulungsprogramm eine Auffrischung?
Wichtige Punkte
- Die gute Nachricht: 97 % der Umfrageteilnehmer geben an, dass ihr Unternehmen ihren Mitarbeitern Schulungen zum Thema Sicherheit anbietet.
- Die schlechte Nachricht: Fast 100 % berichten von Phishing-Angriffen und über 90 % von Versuchen, geschäftliche E-Mails zu kompromittieren.
- Die hässliche Nachricht: Die Taktiken der Cyberkriminellen werden immer raffinierter.
- Es ist an der Zeit, dass die Sicherheitsgemeinschaft das Sicherheitsbewusstsein schult.
Der diesjährige State of Email Security (SOES) Report von Mimecast bietet Einblicke, die dazu beitragen können, die Online-Sicherheit der Mitarbeiter zu erhöhen, was aufgrund der Umstellung vieler Unternehmen auf Remote-Arbeit wichtiger denn je ist. Es ist zwar keine Überraschung, dass die Ausnutzung menschlicher Fehler nach wie vor der bevorzugte Angriffsvektor für böswillige Akteure ist, doch die diesjährige Studie zeigt einige der guten, schlechten und hässlichen Aspekte der anhaltenden Anfälligkeit von Mitarbeitern, der zunehmenden Raffinesse von Angreifern und der laufenden Bemühungen von Unternehmen, das Blatt gegen Cyberkriminalität zu wenden.
Das Gute
Fangen wir mit dem Guten an. Nahezu alle Teilnehmer der SOES-Umfrage (97 %) gaben an, dass ihr Unternehmen ihren Mitarbeitern Schulungen zum Thema Sicherheit anbietet. Fast alle (96 %) gaben an, dass sie entweder eine Strategie für die Cyber-Resilienz ihres Unternehmens haben oder dabei sind, eine solche zu entwickeln. Mehr als ein Drittel (36 %) der Befragten, deren Unternehmen über eine solche Strategie verfügen, gaben an, dass sie regelmäßig und kontinuierlich Schulungen zum Thema Cybersicherheit anbieten. Nachdem wir nun die guten Aspekte behandelt haben, lassen Sie uns den Rest besprechen.
Das Schlechte
Nahezu jedes befragte Unternehmen war Ziel eines Phishing-Angriffs, wobei die meisten Befragten angaben, dass diese Angriffe immer häufiger vorkommen. Obwohl Phishing die häufigste E-Mail-basierte Bedrohung ist, gaben mehr als neun von zehn Befragten an, dass ihr Unternehmen auch Opfer von E-Mail-Datenlecks und Angriffen auf Geschäfts-E-Mails geworden ist. In Übereinstimmung mit anderen Untersuchungen zu Nicht-E-Mail-Bedrohungen nannten die Befragten von[1] die folgenden schlimmsten Sicherheitsfehler, die von den Mitarbeitern ihres Unternehmens begangen wurden:
- Unbeabsichtigte Datenlecks (83 %), wobei Tools für die Zusammenarbeit zu den Hauptverursachern gehören.
- Schlechte Passwort-Hygiene (82 %).
- Übermäßiges Teilen in sozialen Medien (80 %).
- Schatten-IT (80 %).
Auf die Frage, was die größte Herausforderung für die Sicherheit im kommenden Jahr sein wird, nannten 40 % die Naivität der Mitarbeiter. Das mag schlimm klingen, aber sehen wir uns nun das Hässliche an.
Das Hässliche
Fast drei von vier Befragten gaben an, dass die Cyberbedrohungen weiter zunehmen, wobei die meisten berichteten, dass diese Angriffe immer raffinierter werden. Seitliche Phishing-Angriffe sind ein Beispiel für diese zunehmende Raffinesse. Bei diesen Phishing-Angriffen wird zunächst versucht, ein Mitarbeiterkonto zu kompromittieren, um dann dieses Konto zu nutzen, um Phishing-Angriffe gegen wichtige Mitarbeiter von "innerhalb" des Unternehmens zu starten.[2]
In einem typischen Lateral-Phishing-Szenario könnte ein Angreifer das Konto eines Wartungsmitarbeiters kompromittieren, der nur wenige Kontorechte hat und kaum in Sachen Sicherheit geschult wurde. Der Angreifer würde dann dieses kompromittierte Konto verwenden, um eine bösartige E-Mail an ein Konto der Personalabteilung zu senden. Sobald ein HR-Konto kompromittiert ist, kann der Angreifer leicht einen plausiblen Vorwand schaffen, um mit fast jedem anderen Mitarbeiter des Unternehmens Kontakt aufzunehmen, einschließlich des letztendlichen Opfers, bei dem es sich um einen Kreditorenbuchhalter handeln könnte, der befugt ist, Geld zu überweisen, oder einen IT-Administrator, der die Schlüssel zu den Unternehmensdatenbanken besitzt.
Die Umfrageteilnehmer berichteten über eine Zunahme von Angriffen, die sich intern unter ihren Benutzern verbreiten und infizierte Anhänge (44 %) und bösartige URLs (40 %) enthalten. Insgesamt berichteten mehr als acht von zehn SOES-Teilnehmern, dass ihr Unternehmen im vergangenen Jahr Opfer eines solchen Angriffs war. Das sind ganze 10 % mehr als im Vorjahr und deutlich mehr als seit Beginn der jährlichen SOES-Studie.
Leveling Up Security Training
Im Film Batman Begins informiert Polizeipräsident Gordon Batman darüber, dass als Reaktion auf das Erscheinen von Batman eine neue Art von Kriminellen (der Joker) aufgetaucht ist und dass eine Art Wettrüsten begonnen hat. In der realen Welt lernen die Angestellten, sich vor den alten Betrügereien zu schützen (ein reicher Onkel, von dem Sie noch nie etwas gehört haben, möchte Ihnen eine Milliarde Dollar vererben), und wie der Joker rüsten auch die Cyber-Kriminellen ihr Spiel auf.
Dieser zunehmende Grad an Raffinesse ist für die mehr als 80 % der Befragten, die von lateralem Phishing betroffen sind, offensichtlich. Eine fortgeschrittenere Technik, die eng mit dem lateralen Phishing verwandt ist und als "Clone-Phishing" bezeichnet wird, kopiert E-Mails, die zuvor von einem legitimen Kontonutzer gesendet wurden, und "sendet" diese kopierten E-Mails (die Malware enthalten) erneut an andere Mitarbeiter in der Kontaktliste.2 Clone-Phishing ist unglaublich wirkungsvoll, da es etablierte Kontakte nutzt und das Opfer mit einem einheitlichen sprachlichen Stil angreift.
Angesichts der ständigen Weiterentwicklung von Cyberangriffen verwendet Ihr Unternehmen immer noch die gleichen Sicherheitsschulungen wie im letzten Jahr? Wenn ja, schaden Sie möglicherweise mehr, als Sie nützen. Bedrohungen und Taktiken ändern sich, und die Schulungen müssen aktualisiert werden, um relevant zu bleiben und diesen Veränderungen zu begegnen. Das ständige Versenden der gleichen Phishing-Simulationen kann nach hinten losgehen, da die Mitarbeiter in ein falsches Gefühl der Sicherheit bekommen. Ziehen Sie in Erwägung, schwierige E-Mails an Mitarbeiter zu senden , die bereit für die Herausforderung sind. Fragen Sie sich selbst: Wie viele Mitarbeiter in Ihrem Unternehmen wurden darin geschult, eine seltsame E-Mail, die von einem E-Mail-Konto der Personalabteilung kommt, zu hinterfragen?
Ein weiterer wenig hilfreicher Trend ist, dass die befragten SOES-Mitarbeiter angaben, dass Gruppenschulungen mit IT-Mitarbeitern seit der pandemiebedingten Umstellung auf Fernarbeit um 8 % zurückgegangen sind. Zugegeben, Lunch-and-Learn-Sitzungen für Gruppen von Mitarbeitern können für IT-Mitarbeiter im Zeitalter von Zoom-Meetings eine Herausforderung sein. Gruppenschulungen haben jedoch einen Mehrwert, der über die Informationsweitergabe hinausgeht. Untersuchungen haben ergeben, dass Mitarbeiter oft eingeschüchtert sind, wenn sie sich mit Informationssicherheitsmitarbeitern treffen, zu denen sie keine persönliche Beziehung haben, und dass sie zögern, ihnen ihre Bedenken mitzuteilen, aus Angst, "dumm dazustehen".[3]
Die Quintessenz
Untersuchungen von Mimecast zeigen, dass bei mehr als 90 % der Sicherheitsverletzungen menschliches Versagen eine Rolle spielt. Zahlreiche Forschungsstudien haben außerdem ergeben, dass Mitarbeiter, die konsequent Schulungen zum Thema Cybersicherheit erhalten, mit fünfmal höherer Wahrscheinlichkeit bösartige Links erkennen und nicht anklicken. Dies ist ein guter erster Schritt, aber die Schulungen müssen mit den aktuellen Bedrohungen Schritt halten, um effektiv zu sein. Seien Sie bei der Entwicklung Ihrer Schulungen kreativ und denken Sie wie der Gegner.
[1] "Confronting Information Security's Elephant," Springer
[2] "Every ROSE Has Its Thorn," Black Hat
[3] Canham, M. & Dawkins, S. (Papier in Vorbereitung)
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!