Cyber-Angriffe auf große Unternehmen machen heutzutage immer wieder Schlagzeilen. Die Schäden, die dadurch entstehen, sind teilweise exorbitant hoch. Doch obwohl die meisten schon einmal von dieser Art von Bedrohung gehört haben dürften, gehen viele Firmen-Mitarbeiter immer noch viel zu sorglos damit um. Hier erfahrt ihr, welche Gefahren durch so unvorsichtige Angestellte entstehen können, wie ihr selbst ein so riskantes Verhalten vermeiden könnt und wie VPN und Co. zum Schutz beitragen können.
Darum nutzen Cyber-Kriminelle oft menschliche Schwächen aus
Wenn der Begriff „Hacker“ irgendwo auftaucht, denken viele immer noch an hochintelligente Genies, gegen deren ausgeklügelte Vorgehensweisen sowieso keiner eine Chance hat. Doch dieses Bild entspricht oft gar nicht der Realität, denn eine Vielzahl von Hackerangriffen erfordert nicht einmal großes technisches Know-how.
Was ein Hacker stattdessen mitbringen muss, sind Geduld und Beharrlichkeit. Bei der Planung ihrer Attacken spionieren sie ihre Opfer aus und suchen nach Sicherheitslücken. Dabei gehen sie immer den Weg, bei dem sie mit dem geringsten Aufwand möglichst viel erreichen können. Die Schwachstellen, nach denen sie suchen, sind also entweder Sicherheitslücken im Firmennetzwerk oder auch leichtsinnige Mitarbeiter.
Sicherheitsrisiken durch unvorsichtige Mitarbeiter
Datenlecks
Immer wieder hat man in der letzten Zeit von Datenlecks gehört, bei denen eine Vielzahl von privaten Kundendaten an die Öffentlichkeit gelangt sind. Aber nicht immer sind daran Schwachstellen in Systemen und Netzwerken schuld, sondern oft ist auch menschliches Versagen dafür verantwortlich. Als eines der größten Datenlecks der Geschichte gilt immer noch das des Webdienstleisters Yahoo aus dem Jahr 2013, durch das Daten von rund drei Milliarden Nutzern erbeutet werden konnten. Dabei handelte es sich um E-Mail-Adressen, Namen, Telefonnummern und mehr. Informationen zum Yahoo Datenleck kamen erst 2016 an die Öffentlichkeit.
Phishing
Fast jeder Internetnutzer hat wohl schon einmal eine Phishing-Mail erhalten. Diese E-Mails stammen angeblich vom Telefondienstanbieter, vom Kreditinstitut oder von bekannten Online-Shops. Der Empfänger wird darauf hingewiesen, dass die Aktualisierung der Accountinformationen dringend notwendig ist oder, dass ein neues Passwort vergeben werden muss. Zu diesem Zweck sollt ihr dann meist einen Link anklicken, über den ihr auf eine Webseite weitergeleitet werdet. Sowohl die Phishing-Mails als auch die gefälschten Webseiten sehen oft täuschend echt aus, doch sie sind einzig und allein dafür da, wichtige persönliche Informationen, Anmeldedaten und Passwörter auszuspionieren. Laut amerikanischen Medien sollen im Jahr 2017 Phishing-Angriffe auf amerikanische Energieversorger stattgefunden haben. Um in deren Systeme einzudringen, sollen die Hacker Netzwerke von Drittanbietern genutzt haben, die nur über unzureichenden Schutz verfügten. Dazu verwendeten sie Phishing-Mails und arbeiteten sich so zu ihrem eigentlichen Ziel vor.
Ransomware
Auch Ransomware-Attacken kommen dieser Tage immer häufiger vor. Meist werden hier größere Unternehmen als Zielscheibe ausgesucht. Auch die Infizierung mit dieser Art von Schad-Software erfolgt meist über gefälschte E-Mails, den Besuch von gefälschten Webseiten oder auch über physische Datenträger, wie USB-Sticks, die von ahnungslosen Mitarbeitern eingelegt werden. Befindet sich die Ransomware erstmal im System, wird der Zugriff darauf gesperrt und Unternehmen werden aufgefordert, Lösegeld zu zahlen, damit die Sperrung wieder aufgehoben wird. Der bisher größte Angriff mit einer solchen Erpresser-Software namens „WannaCry“ fand im Mai 2017 statt. Daran war jedoch nicht menschliches Versagen schuld, sondern eine Sicherheitslücke im Microsoft-Betriebssystem. Von dem „WannaCry“-Angriff waren zehntausende Rechner in über 100 Ländern betroffen.
Social Engineering
Dies ist eine weitere beliebte Angriffsform, bei der die Gutgläubigkeit von Unternehmens-Mitarbeitern ausgenutzt wird. Dabei sind die Vorgehensweisen sehr unterschiedlich. So können die Kriminellen zum Beispiel Telefonanrufe bei ihren Opfern tätigen und ihnen weismachen, es liege ein Netzwerkproblem vor, das sofortiges Handeln erfordert. Ziel dabei ist, dass der Angerufene bereitwillig private Login-Daten preisgibt. Die Opfer können bei dieser Art von Angriffen aber auch schlicht und einfach belauscht werden. Was Social Engineering anrichten kann, musste Hillary Clinton bei ihrem Wahlkampf 2016 am eigenen Leib erfahren, denn über einen Klick auf eine gefälschte Google-Login-Seite kamen Hacker an ihr Passwort und so an zahlreiche private E-Mails und andere Informationen.
Schutz vor Sicherheitsrisiken durch menschliche Schwachstellen
Der beste Schutz vor Sicherheitslücken durch menschliche Schwächen ist die verantwortungsbewusste Aufklärung der Mitarbeiter bezüglich Risiken und deren Abwendung. So sollte Personal beispielsweise darüber unterrichtet werden, wie man Phishing-Mails erkennen kann und wie man damit umgehen muss.
Ein weiterer wichtiger Punkt ist, dass alle Mitarbeiter wirklich nur Zugang zu den Informationen und Daten haben, die sie auch wirklich unbedingt benötigen. So ist das Risiko geringer, dass sich Malware oder Ähnliches gleich im ganzen Netzwerk ausbreiten kann.
Schlussendlich sollten alle Unternehmen über wichtige Sicherheitsmaßnahmen wie Antiviren-Programme, Firewall, VPN usw. verfügen. Ein VPN ist besonders deshalb praktisch, weil die Mitarbeiter damit auch von zu Hause oder unterwegs auf das Firmennetzwerk zugreifen können und so ihre Arbeiten erledigen können. Dabei bleiben alle Daten dank Verschlüsselung trotzdem sicher.
