Social Engineering auf dem Vormarsch
Spätestens seit der Covid-19-Pandemie hat die Gefahr durch Social Engineering deutlich zugenommen. Das weiß auch der CEO der ASTRUM IT, einem IT-Serviceunternehmen. Gerhard Pölz bemüht sich deshalb, die Mitarbeitenden zu sensibilisieren, zu informieren und in regelmäßigen Abständen zu schulen. “Ich glaube, wir sind gefordert, hier immer wieder zu ankern, immer wieder Mitarbeitende zu schulen und mit neuem Bildungsmaterial vertraut zu machen, sodass die Awareness immer gleich hoch bleibt”, sagt Pölz.
“Der größte Unsicherheitsfaktor ist und bleibt der Mensch.” Gerhard Pölz
Social Engineering nutzt gezielt menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft und Respekt vor Autorität aus, um Daten zu erschleichen. Deshalb ist die erste Sicherheitsmaßnahme ganz einfach: kritisch bleiben. Gerhard Pölz versteht das Problem. “Wir wollen alle nett und höflich sein, aber hier ist es angemessen, mit dem kritischen Blick diese Aufforderung zu prüfen.” Er unterstreicht auch die Bedeutung der Prüfung von E-Mails und anderen Kommunikationsmitteln: “Wie gehe ich mit Mails um, denen ich vertraue oder auch nicht? Unternehmen brauchen eine vertrauenswürdige Stelle im Haus, an die sich die Mitarbeitenden dann wenden können.”
Ein Großteil der Cyberattacken passiert per Mail, SMS oder sogar Telefon. Technische Ausstattung kann hier einen wesentlichen Teil für mehr Sicherheit beitragen, aber noch wichtiger ist die Person vor dem Gerät.
Stichwort Risikomanagement
Die meisten Sicherheitsmanagementsysteme verfügen bereits über eine strenge Norm: “Wenn man nur die Norm liest, wirken die Maßnahmen sehr weich, wo sich aber in einen Nebensatz unter Umständen riesen Aufwände verbergen”, erklärt der IT Experte Marcus Heinze. Der CIO von ASTRUM weiß Rat, wenn die Übersicht fehlt. Zunächst müssen Unternehmen einschätzen, welche Maßnahmen sie unbedingt benötigen und auf welche sie auch verzichten können – Stichwort Risikomanagement. Ein Klempner Gewerbe benötigt andere Sicherheitsmaßnahmen als ein Medienhaus. “Am Ende ist es immer eine Balance, aus den Maßnahmen, die ich brauche und denen, die ich lasse, damit ich noch arbeitsfähig bin. Die Balance ist unternehmensspezifisch”, betont Marcus Heinze.
An dieser Stelle ist es für viele Unternehmen sinnvoll, sich professionelle Beratung zur Hilfe zu holen. Dann können einerseits die nötigen Maßnahmen abgesteckt werden und andererseits auch die Mitarbeitenden mit dem nötigen Fingerspitzengefühl an die Hand genommen werden. Die Maßnahmen müssen von allen getragen werden – sie sollten dementsprechend auch nachvollziehbar sein.
“Das kostet die Unternehmen erst einmal etwas, aber der Prozess wird dadurch deutlich beschleunigt”, betont Marcus Heinze. Ein weiterer Vorteil darin, sich Expertinnen und Experten an die Seite zu holen, liegt darin, dass sie diese Prozesse schon einmal durchgemacht haben. So ist die Problemlösung um einiges erleichtert.
Awareness-Schulungen für die Sensibilisierung von Mitarbeitenden
Damit IT Maßnahmen auf Gehör unter den Mitarbeitenden stoßen, sind Awareness-Schulung unerlässlich, findet CEO Gerhard Pölz. Bei der Durchführung von Schulungen betont er die Wichtigkeit von Wiederholung und Aktualisierung, da sich Angriffsszenarien ständig verändern. Neben der Sensibilisierung der Mitarbeitenden ist auch die Überprüfung der Wirksamkeit der Maßnahmen von Bedeutung. Wie das passiert, ist von Unternehmen zu Unternehmen unterschiedlich. ASTRUM IT hält nichts davon, Phishing Simulationen an die Mailadressen ihrer Mitarbeiter und Mitarbeiterinnen zu senden:
“Hier geht es um Vertrauen. Die Mitarbeitenden sollten dem IT-Team vertrauen und nicht von ihnen in extrem unangenehme Situationen gebracht werden”, erklärt Pölz seine Haltung.
Trotz erhöhter Sicherheitsvorkehrungen raten die Experten Pölz und Heinze nicht von Homeoffice ab. Es gibt aber ein paar Dinge zu beachten. CIO Marcus Heinze ist der Meinung: “Beim Homeoffice ist es wichtig, dass man Richtlinien und technische Einrichtungen sicher gestaltet, dann ist das auch machbar.” Zu den technischen Voraussetzungen zählt er unter anderem VPN-Tunnel, unternehmenseigene Geräte. “Mitarbeitende müssen bereit sein, einen Teil ihres Komforts zugunsten der Sicherheit aufzugeben”, unterstreicht Gerhard Pölz. Hier muss auch das Vertrauen gegenüber der IT da sein, dass diese Maßnahmen tatsächlich sinnvoll sind.
“Bring your own Device” steht Pölz deshalb sehr kritisch gegenüber. Am Ende ist es teuer, seine Mitarbeitenden mit zusätzlichen Geräten auszustatten, aber dadurch kann die Gefahr eines Cyberangriffs deutlich minimiert werden. “Wenn es einen trifft, dann so richtig. Das kann sehr schnell unternehmensgefährdend sein”, warnt Marcus Heinze.
Wandel beginnt im Kopf
Genau diese existentielle Gefahr muss in den Köpfen der Führungsebene ankommen. Marcus Heinze ermutigt Unternehmen, ihren eigenen Sicherheitsanspruch zu hinterfragen und betont die Wichtigkeit, sich Experten ins Haus zu holen. “IT-Sicherheit sollte nicht einmal im Jahr bei den Mitarbeitenden aufkommen, wo sie dann mit den Augen rollen.” Viel wichtiger findet Marcus Heinze, dass alle für Cybersicherheit sensibilisiert sind, monatliche Updates zu den neuesten Entwicklungen gegeben werden und IT-Sicherheit so zur Unternehmenskultur wird. “, betont zudem, dass IT-Sicherheit nicht nur ein jährliches Schulungsthema sein sollte, sondern Teil des täglichen Arbeitslebens, um es in die Unternehmenskultur zu integrieren. “Alle denken im Vorhinein darüber nach, welche Konsequenzen es hat, wenn man auf diesen Anhang klickt.”