Wenn von digitaler Sicherheit die Rede ist, neigen viele Menschen dazu, die technologischen Aspekte hervorzuheben: Endpoint Security, Passwortmanager und Verschlüsselung. All dies ist zwar ein wesentlicher Bestandteil der Sicherheit Ihres Unternehmens, aber es sind die Mitarbeiter, die an vorderster Front stehen und die am anfälligsten dafür sind, sowohl Opfer als auch Werkzeug von Cyberkriminellen zu werden. Doch was versteht man konkret unter einer menschlichen Firewall und wie können Sie eine solche errichten?
Was steckt hinter dem Begriff „Human Firewall“
Mit der fortschreitenden Digitalisierung arbeiten Unternehmen mit immer größeren Mengen an sensiblen Daten. Sollten diese Informationen in die falschen Hände geraten, könnte das gesamte Unternehmen sowie die Sicherheit seiner Partner oder Kunden gefährdet sein. Deswegen versuchen sich Unternehmen mit fortschrittlichen Technologien und Lösungen vor einem solchen Fall zu schützen, vergessen dabei aber in manchen Fällen einen entscheidenden Faktor: menschliches Versagen. Dabei sind solche Fehler die Hauptursache für Datenschutzverletzungen.
Der Begriff "Human Firewall" steht für Mitarbeiter, die ihr Unternehmen vor Cyber-Bedrohungen schützen, indem sie sich digital sicher verhalten, sensibel gegenüber Cyber-Gefahren sind und mit der IT-Abteilung kommunizieren, wenn sie auf Probleme stoßen.
Durch den Aufbau einer menschlichen Firewall können Unternehmen den Versuchen von Cyberkriminellen entgegentreten, Mitarbeiter als Einfallstor in die Systeme des Unternehmens zu nutzen. Denn Cyberkriminelle bauen darauf, dass Menschen Fehler machen und nutzen verschiedene Social-Engineering-Techniken und anderen Angriffsformen um sie in die Falle zu locken.
Exkurs: Welche sind die beliebtesten Social-Engineering-Techniken
Phishing
Phishing-Angriffe nutzen das Vertrauen, die Geschäftigkeit oder die gelegentliche Unaufmerksamkeit der Mitarbeiter aus. Um den menschlichen Faktor noch mehr auszunutzen, beinhalten Phishing-Angriffe oft ein Gefühl der Dringlichkeit oder eine Belohnung.
Phishing-Angriffe sollen Mitarbeiter beispielsweise animieren, unbedacht auf einen Link zu klicken oder sich schnell irgendwo einzuloggen um unverzüglich Passwörter oder Zugangsdaten zu ändern, weil anderenfalls mit unangenehme Konsequenzen, wie z. B. den Verlust des Zugangs gedroht wird.
Cyber-Erpressung
Während Phishing darauf beruht, dass ein normaler Angestellter zu beschäftigt oder unaufmerksam ist, um eine Bedrohung zu erkennen, versuchen Cyber-Erpresser, Menschen aus Angst vor der Preisgabe ihrer persönlichen Informationen zur Zahlung von Geld zu bewegen. Der Erpresser kann beispielsweise behaupten, er habe den Empfänger über die Webcam beobachtet und werde die aufgenommenen Bilder weitergeben, wenn er kein Lösegeld erhalte. In diesen Fällen sollte der Empfänger nicht in Panik geraten. Oftmals sind die Drohungen der Kriminellen nur vorgetäuscht, und die Zahlung der geforderten Summe wird das Problem nicht lösen.
Verlorene oder gestohlene Geräte
Cyberkriminelle sind ständig auf der Suche nach schlecht gesicherten Arbeitsgeräten - sowohl in digitaler als auch in physischer Form. In der digitalen Welt können Sie Ihr System mit verschiedenen Sicherheitslösungen schützen, aber in der realen Welt kommt es auf das verantwortungsbewusste Verhalten der Mitarbeiter an, damit Laptops und andere digitale Endgeräte nicht in die Hände von Kriminellen gelangen.
Inkognito Angriffe
Cyberkriminelle können versuchen, Mitarbeiter auszutricksen, indem sie sich als jemand anderes ausgeben - nicht nur online, sondern auch persönlich. Sie könnten zum Beispiel in Ihr Bürogebäude kommen und sich als Mitarbeiter ausgeben, der gerade seinen Mitarbeiterausweis vergessen hat. Wenn die Mitarbeiter nicht aufpassen, lassen sie den Eindringling möglicherweise in das Gebäude - und zu den sensiblen Daten des Unternehmens - gelangen. Lesen Sie die Geschichte, wie es Jake Moore, dem ESET-Experten, gelang, einen Golfclub zu "hacken", während er sich als TV-Produktionsassistent ausgab.
Bösartige Links
Webseiten können bösartige Links oder Pop-up-Fenster enthalten über die Mitarbeiter zu einem vermeintlich interessanten Angebot gelockt werden sollen oder sie aufgefordert werden, bösartige Dateien zu installieren, um ihre Anwendungen oder Software zu aktualisieren.
Bösartige Dokumente
Bedrohungsakteure fügen auch häufig bösartige Dateien als E-Mail-Anhänge bei. Nachdem Benutzer die Datei geöffnet haben, werden ihre Computer mit Malware infiziert. Eine infizierte Datei kann so harmlos aussehen wie ein gewöhnliches Excel-Dokument. Sie kann jedoch ein bösartiges Makro enthalten, das automatisch ausgeführt wird, sobald das Dokument geöffnet wird.
Bauen Sie Ihre schützende menschliche Firewall auf
Die Liste der Bedrohungen, die auf Mitarbeiter abzielen, ist noch viel länger. Deshalb ist die Entwicklung einer kompetenten menschlichen Firewall zu einem wesentlichen Aspekt der digitalen Sicherheit geworden. Die Frage lautet daher: Wie können Sie in Ihrem Unternehmen mithilfe ihrer Mitarbeiter eine menschliche Firewall errichten und aufrechterhalten?
1) Schulen Sie Ihre Mitarbeiter. Schulen Sie Ihre Mitarbeiter. Sie müssen wissen, wie sie verschiedene Bedrohungen erkennen und wie sie sicher darauf reagieren können. Bauen Sie das Wissen Ihrer Mitarbeiter kontinuierlich aus. Idealerweise sollten Sie vom ersten Tag an damit beginnen und die Sicherheitsschulung zum Bestandteil der Einarbeitung machen - und vielleicht schon bei der Einstellung eines Bewerbers dessen Sicherheitsbewusstsein berücksichtigen. Es gibt viele interaktive Möglichkeiten, um Sicherheitsschulungen unterhaltsam, interessant und einprägsam zu gestalten.
2) Der einfache Weg ist oft der beste Weg. Erstellen Sie leicht verständliche Richtlinien und halten Sie sich an sie. Überfordern oder stressen Sie Ihre Mitarbeiter nicht mit zu vielen Informationen, sondern stellen Sie sicher, dass jeder Mitarbeiter weiß, was er zu tun hat und wie er digital sicher bleibt. Vernachlässigen Sie nicht die Grundlagen, und machen Sie Ihren Mitarbeitern klar, dass sie
- sichere Passwörter verwenden und für jedes Konto ein eigenes Passwort erstellen
- niemals auf unbekannte Links oder Pop-up-Fenster klicken oder Anhänge aus unbekannten Quellen öffnen
- das IT-Team kontaktieren, wenn ein neues Update einer App verfügbar ist, und dessen Anweisungen befolgen
- sich immer abmelden und den Bildschirm sperren, wenn Sie ein Gerät unbeaufsichtigt lassen
- sensible, arbeitsbezogene Informationen nur in privaten Räumen besprechen und bei Online-Meetings Kopfhörer benutzen
- eine Multifaktor-Authentifizierung (MFA) verwenden
3) Beziehen Sie jeden ein. Jeder kann zur Zielscheibe von Cyberkriminellen werden – z.b. auch Empfangsmitarbeiter. Lassen Sie keinen Mitarbeiter außen vor, und stellen Sie sicher, dass jeder die möglichen Probleme kennt, denen er in seiner Position begegnen kann.
4) Seien Sie für Ihre Mitarbeiter da. Das Erkennen einer Bedrohung ist nur ein Teil der menschlichen Firewall - sie zu melden ist ein anderer und ebenso wichtig. Wenn Sie wollen, dass das System funktioniert, sollten Ihre Mitarbeiter das Gefühl haben, dass sie sich jederzeit an das IT-Team wenden und alle ihre Sorgen besprechen können.
5) Bewerten Sie die Fortschritte. Sie können das Bewusstsein Ihrer Mitarbeiter mit Phishing-Simulationen testen. Aber es ist auch hilfreich, einfach zu berücksichtigen, ob sich die Mitarbeiter an die grundlegenden Richtlinien halten und ob sie effektiv mit dem IT-Team kommunizieren (indem sie z. B. das IT-Team über neue "notwendige" Updates informieren oder ungewöhnliche Vorkommnisse melden).
6) Belohnen Sie Ihre Mitarbeiter. Wenn Sie sehen, dass Ihre Mitarbeiter mit der IT-Abteilung kommunizieren, digital sichere Arbeitsgewohnheiten beibehalten und bereit sind, mehr zu lernen und ihr Wissen über digitale Sicherheit zu erweitern, wählen Sie eine Belohnung Ihrer Wahl und geben Sie sie denjenigen, die sie sich verdient haben.
7) Kombinieren Sie Ihre menschliche Firewall mit funktionalen Softwarelösungen. Verwenden Sie Endpoint Security, MFA, VPN und Firewalls und führen Sie regelmäßige Updates durch. Denken Sie daran, dass der Einsatz von technischen Sicherheitsmaßnahmen und einer Human Firewall immer Hand in Hand gehen muss.