Sie sind hier: HomeTelekommunikation

IT-Sicherheit: Mangelndes Wissen bedroht Unternehmen

Fortsetzung des Artikels von Teil 1.

Besserer Umgang mit Kennwörtern

Die Ergebnisse zum Sicherheitsbewusstsein bei der Nutzung von Kennwörtern stimmen gerade im Hinblick auf deutsche Nutzer optimistisch. Nur eine Minderheit von 15 Prozent nutzt noch immer dasselbe Passwort oder wählt aus nur zwei verschiedenen. Das ist zweifelsohne kein besonders sicherer Ansatz, denn wird beispielsweise bei einem Cloud-Anbieter eingebrochen und Daten entwendet, haben Cyberkriminelle damit automatisch auch Zugriff auf (fast) alle anderen Konten des Nutzers. Besser handelt die Mehrzahl der Nutzer. Zwischen fünf und zehn Passwörter haben 45 Prozent der Befragten im Einsatz. Das ist zwar besser, aber birgt immer noch ein erhebliches Risiko, denn mit einigen Versuchen wären Cyberkriminelle auch bei dieser Gruppe in der Lage in Besitz vertraulicher Informationen zu gelangen oder könnten im Namen der Benutzer in den sozialen Netzwerken agieren. Den sichersten Weg wählen in Deutschland 40 Prozent der Befragten, die für jedes Konto ein eigenes individuelles Kennwort verwenden.

Abhilfe beim Passwort-Chaos bietet ein Kennwortmanager, der Online-Passwörter verwaltet. Dieser scheint bei den Befragten aber noch nicht allgemein akzeptiert oder bekannt zu sein. So halten 45 Prozent der Studienteilnehmer aus Deutschland ihn für schlicht unnötig und 29 Prozent geben zu, sich mit ihnen nicht auszukennen. Nur 20 Prozent nutzen diese Form von Hilfsmittel und empfinden damit die Verwaltung der Kennwörter als einfacher. Im Vergleich dazu liegt die Nutzung in den USA bereits bei 39 Prozent. Vom Arbeitgeber gefordert wird der Einsatz eines Kennwortmanagers im direkten Vergleich ähnlich häufig (bei 7 Prozent in den USA und 6 Prozent der Befragten in Deutschland).

Schwachpunkte in der Wahrnehmung
Die Befragung zeigt, dass das Thema IT-Sicherheit sich langsam etabliert. Jedoch gibt es hier noch etliche Schwachpunkte bezüglich Wissen und Wahrnehmung. Um sich gegen Angriffe zu schützen, müssen Anwender gut geschult sein. Sie müssen im höchsten Maße sensibilisiert werden – einfache Handlungsanweisungen reichen oftmals nicht aus. Denn nur wenn sicheres IT-Verhalten bei Mitarbeitern „in Fleisch und Blut“ übergehen, ist eine solide Basis für die Absicherung der Unternehmens-IT geschaffen. Benutzer, die einen sicheren Umgang mit der Informations- und Telekommunikationstechnologie im privaten Umfeld nicht aktiv leben, werden entsprechende Vorgaben im Unternehmen nur halbherzig umsetzen können.

Werner Thalmeier, Proofpoint Bildquelle: © Proofpoint

Der Autor, Werner Thalmeier, ist Senior Director Systems Engineering EMEA bei Proofpoint.

Raffinierte Täuschung
Die Herangehensweise von Cyberkriminellen ist vielschichtig. Beispielsweise können beim Phishing vermeintlich vertrauenswürdige Mail-Versender durch raffinierte Tricks die Herausgabe sensibler Informationen, beispielsweise Zugängen zu Girokonten, erreichen oder zu Aktivitäten wie der Durchführung von Zahlungsanweisungen verleiten. In der Praxis kommt es häufig vor, dass Cyberkriminelle einzelnen Mitarbeitern Mails mit entsprechenden Anweisungen senden. Die Mails sind zwar meist vom angeblich privaten Mail-Account des Vorgesetzten versendet worden, also im Grunde per se unglaubwürdig, aber sie enthalten in vielen Fällen einige persönliche Informationen. Diese haben die Kriminellen meist aus dem Umfeld des vermeintlichen Absenders, beispielsweise aus den sozialen Medien, und nutzten sie für die Erhöhung der Glaubwürdigkeit. Manchmal wirkt eine solche Täuschung sehr echt.

Die Methoden sind so geschickt, dass es meist mit einer Infomail, einem Eintrag ins Intranet oder einem Rundschreiben nicht getan ist. Hier muss Wissen in einem Security-Awareness-Training aktiv vermittelt und vertieft werden. Auch ist es mit einer einmaligen Veranstaltung beziehungsweise Initiative nicht getan. Wissen und Verhalten muss ständig erneuert und trainiert werden, wenn Mitarbeiter ihr bisheriges riskantes Verhalten nachhaltig verändern sollen. Die Tatsache, dass immerhin 64 Prozent der Studienteilnehmer nichts mit dem Begriff Ransomware anfangen konnten, obwohl dieser oft genug Aufmerksamkeit in den Medien erfahren hatte, spricht Bände. Im eigenen Interesse sollten Unternehmen daher möglichst schnell mit der Durchführung adäquater Schulungsmaßnahmen beginnen.