Machen wir uns nichts vor: das Internet ist längst zu einem Tummelplatz für Hacker jeglicher Couleur geworden. Darunter sind Script Kiddies, die nach der Schule mit gekaperten Servern aus dem Darknet nur zum Spaß DDoS-Attacken starten, sodass Webseiten oder Online-Shops nicht mehr erreichbar sind. Am anderen Ende des Spektrums finden sich auf höchstem technologischem Niveau durchgeführte staatlich organisierte Angriffe, mit dem Ziel der Spionage oder mit einer anderen politischen Agenda. Am 9. Februar 2021 ist der Safer Internet Day – Grund genug, das Thema einmal näher zu betrachten.
Money, Money, Money
Am häufigsten sind Cyberattacken finanziell motiviert. Ein Beispiel dafür sind Ransomware-Angriffe: hier werden Daten auf dem lokalen Rechner oder Server verschlüsselt und erst gegen Zahlung eines Lösegelds wird ein Schlüssel überreicht, um die Daten wieder lesbar zu machen.
Human Error
Aus Sicht der verantwortlichen IT-Manager ist die Lage mitunter zum Verzweifeln. Sie können noch so aufwendige Firewalls zur Cyberabwehr implementieren, am Ende des Tages zeigt sich jedoch, dass der Mensch nach wie vor die größte Schwachstelle ist.
Dies wissen auch die Angreifer und setzen verstärkt auf das Social Engineering. Hierbei gelingt es dem Angreifer, eine Person dazu zu verleiten, aus Security-Sicht etwas Unüberlegtes zu tun. Dies kann die Herausgabe von persönlichen Daten sein oder das Öffnen von Attachments einer Phishing-Mail, wodurch ein Virus auf dem lokalen System installiert wird. Täglich werden über drei Milliarden Phishing-Mails versendet und es finden sich immer wieder Anwender, die aus ganz unterschiedlichen Gründen auf diese Vorgehensweise hereinfallen.
Aber der Chef hat gesagt…
Angreifer appellieren beispielsweise an Gefühle wie Neugierde und Hilfsbereitschaft oder schüren Angst. Sie nutzen gezielt Notsituationen aus oder erschaffen diese künstlich. Oftmals setzen Angreifer Köder und Reizmittel ein und bauen eine zeitliche Drucksituation auf. So soll die Zielperson unter hohem zeitlichem Druck beispielsweise eine gefälschte Rechnung freigeben oder im Auftrag des CEOs eine Überweisung tätigen. So manches Unglück begann mit einer dringenden E-Mail aus der Chefetage, die täuschend echt wirkte. Bei diesem Vorgehen, CEO-Fraud genannt, soll die Mail ein gewisses Pflichtgefühl auslösen, schnell und respektvoll im Sinne der Autoritätsperson zu handeln – und die Handlung besteht zum Beispiel häufig darin, rasch eine größere Geldsumme zu überweisen, Anhänge zu öffnen oder Informationen herauszugeben.
Ist der Anfang erst gemacht…
Besonders schwer zu erkennen sind die sogenannten Spear-Phishing-Mails. Hierbei nutzt der Angreifer bereits bekannte oder selbst recherchierte persönliche Informationen sowie Daten aus dem Unternehmensumfeld, um die Zielperson direkt anzusprechen und ein täuschend echtes Szenario aufzubauen. Auch hierbei geht es darum, den Anwender dazu zu bringen, eine Geldsumme oder anonyme Bitcoins zu überweisen.
Trainings anbieten
Was also können Organisationen tun, um Menschen auf die vielen und sich ständig weiterentwickelnden Gefahren aus dem Internet hinzuweisen? Den mahnenden Zeigefinger zu heben, reicht nämlich bei der Komplexität des Themas längst nicht mehr aus. Er führt zusätzlich dazu, dass Mitarbeiter Vorfälle nicht melden, aus Furcht an einen Pranger oder zur Rede gestellt zu werden. Hier ist es notwendig, die Mitarbeiter nachhaltig zu einer offenen Herangehensweise zu ermutigen. Hierfür sollten Organisationen viele unterschiedliche Kanäle nutzen. Hierzu gehören Schulungen per E-Learning, die anschaulich und so konkret wie möglich aufzeigen, wie diese Angriffe ablaufen. Phishing und Social Engineering sind ebenfalls Themen, die alle zusammen in Kombination den Schutzschild „Mensch“ stärken und der Unternehmensleitung wertvolle Informationen über die „Social Awareness“ bzw. die aktuelle Stärke des Schutzschildes liefern. Erst ein konstantes Lernen mit Aufzeigen und Abbilden der aktuellen Gefahren verändert dauerhaft das Verhalten und hilft dabei, die IT-Security zu verbessern.
Spaß beim E-Learning
In der Praxis ist es nicht damit getan, ein Lernvideo und einen Flyer mit schlauen Tipps bereitzustellen. Denn das Ziel muss es sein, langfristig eine Verhaltensänderung zu erreichen. Motivation und die Aktivierung auf einer emotionaleren Ebene sind hier essenziell. Daher ist es notwendig, die Zielgruppe und ihre Verhaltensweisen zu berücksichtigen und auf das Medium abzustimmen. Der Lernende darf sich nicht langweilen und sollte daher auch interaktiv in das E-Learning eingebunden werden. Das gilt insbesondere bei Themen, die langfristig wichtig sind. Diese müssen immer wieder spannend vermittelt werden. Gerade bei einem wiederkehrenden Thema wie IT-Security haben sich die Lernenden an die ständige Bedrohung gewöhnt und müssen regelmäßig neu sensibilisiert werden. Man könnte es auch als Aufschrecken bezeichnen, Hauptsache, das Gelernte führt zu einem veränderten Verhalten.
Experten wissen, was zu tun ist
Für das interaktive E-Learning verwendet Materna die selbst entwickelte Plattform „Lernwelt“. Dies ist ein Lern-Management-System, dass das Tochterunternehmen Materna TMT einsetzt, um gemeinsam mit IT-Security-Experten ein umfangreiches E-Learning-Programm rund um das Thema IT-Security aufzubauen. Auch die Einbindung eines bereits vorhandenen Lern-Management-Systems ist möglich. Schauen Sie sich dazu gerne unsere Webseiten an und fragen unsere Experten: Cyber Security – das Cyber Defence Center von Materna