Höchste Sicherheits-Prioritäten: Sicherheitsbewusstsein der Endnutzer*innen

Im Sommer 2022 starteten Angreifer*innen eine ausgeklügelte Smishing-Kampagne gegen die Kommunikationsplattform Twilio. Diese Kampagne richtete sich an ehemalige und derzeitige Mitarbeiter, indem sie Nachrichten des Identitätsanbieters Okta mit Links zur Aktualisierung von Passwörtern oder zur Durchführung anderer vertrauter Aktionen nachahmte. Die Bedrohungsakteure waren sogar in der Lage, die Namen der Mitarbeiter*innen mit deren Telefonnummern abzugleichen.

Selbst mit strengen Sicherheitsmaßnahmen ist Ihr Unternehmen nicht gegen Phishing-Angriffe wie diesen gefeit. Phishing ist der häufigste Angriffsvektor: 41 % der von IBM im Jahr 2021 verzeichneten Angriffe gehen auf Phishing zurück. Und die Zahl der Angriffe nimmt weiter zu: Allein im zweiten Quartal 2022 verzeichnete die APWG fast 1,1 Millionen Versuche.

Das macht auch Sinn, denn Social-Engineering-Angriffe wie Phishing erfordern nicht unbedingt komplexe technische Kenntnisse wie dieser Angriff. Als IT-Expert*in wissen Sie das. Aber wissen das Ihre Endnutzer*innen?

Entwicklung einer Strategie zur Verbesserung des Sicherheitsbewusstseins der Nutzer*innen

Lassen Sie uns über die Strategie sprechen. Bösewichte werden immer raffinierter, und täglich werden neue Methoden entwickelt, um sich Zugang zu Ihrem Unternehmen zu verschaffen. Deshalb ist es wichtig, eine ganzheitliche Strategie zu entwickeln, um Benutzer vor Social-Engineering-Angriffen zu schützen.

Einstellung und Einarbeitung von Mitarbeiter*innen

Diese Strategie beginnt bereits zu Beginn der Tätigkeit eines Mitarbeiters/einer Mitarbeiterin in Ihrem Unternehmen. Bei der Einstellung eines Bewerbers/einer Bewerberin kann es von Vorteil sein, über eine Standard-Hintergrundprüfung hinaus eine Analyse der sozialen Medien vorzunehmen, um zu prüfen, ob der potenzielle Mitarbeiter Werte vertritt, die mit dem Unternehmen übereinstimmen.

Bei der Einstellung eines neuen Mitarbeiters/einer neuen Mitarbeiterin ist es wichtig, die technologiebezogenen Erwartungen Ihres Unternehmens während des Einführungsprozesses zu vermitteln. Dazu gehören die Richtlinien und Einstellungen der Organisation in Bezug auf IT-Sicherheit und Personalmanagement. Diese Maßnahmen könnten Folgendes betreffen:

• Standardarbeitsanweisungen: Was sind die besten Praktiken Ihrer Organisation für die IT? Dazu kann gehören, wie man ein IT-Ticket einreicht, wie man sich bei seinen Konten anmeldet, wie man mit verlorenen oder gestohlenen Geräten umgeht und vieles mehr. Die Mitarbeiter*innen sollten über die Richtlinien zur akzeptablen Nutzung (AUPs) und die allgemeinen Sicherheitsrichtlinien informiert werden, z. B. darüber, welche Unternehmensinformationen die Mitarbeiter*innen nicht per E-Mail oder über soziale Medien versenden sollten. Sie sollten auch darüber informiert werden, wie die AUPs durchgesetzt werden, und ihre Zustimmung zu den Richtlinien sollte mit einer Unterschrift festgehalten werden.
• Job-Rotation: Auch wenn dies nicht unbedingt auf alle Organisationen zutrifft, kann es in einigen Organisationen hilfreich sein, Mitarbeiter*innen in regelmäßigen Abständen in andere Positionen zu versetzen. Auf diese Weise können Unternehmen sicherstellen, dass alle Mitarbeiter*innen mit mehreren Rollen vertraut sind, und verhindern, dass sich Mitarbeiter*innen in ihrer Rolle so wohlfühlen, dass sie Handlungen ausführen, die über ihre Berechtigung hinausgehen. Dies kann auch die Aufdeckung verdächtiger Aktivitäten und die Eindämmung von Absprachen erleichtern.
• Trennung der Aufgaben: Die Trennung der Aufgaben nach Rollen stellt sicher, dass nicht eine einzige Person alle kritischen Aktionen ausführen kann, die ein System beschädigen können. Zum Beispiel kann ein Entwickler/eine Entwicklerin seine eigenen Änderungen nicht in die Produktion schicken, sondern muss sie zur Überprüfung schicken. Ebenso gibt es einige Zuständigkeiten, bei denen Kontrollen von mehreren Personen durchgeführt werden können, wie z. B. die Forderung nach zwei Unterschriften auf einem großen Scheck, bevor dieser eingereicht werden kann.

Das Nutzerverhalten verstehen

Zu einer wirksamen Information der Nutzer*innen gehört es, ihre Gewohnheiten und ihr Verhalten zu verstehen. Schließlich ist dieses Verständnis die Grundlage für erfolgreiche Phishing-Angriffe.

• Kennwörter: Passwörter sollten komplex sein und keine gängigen Wörter oder Namen des Nutzers/der Nutzerin enthalten. Sie sollten niemals weitergegeben oder aufgeschrieben werden, und sie sollten häufig geändert werden. Idealerweise sollte eine Kennwortrichtlinie erstellt werden, um diese Regeln durchzusetzen.
• Social-Engineering-Angriffe: Die Nutzer*innen sollten gut über das Konzept und die Methoden des Social Engineering informiert sein. Sie sollten über die Risiken von Hintermännern, unbefugter Hardware im Gebäude, gängige Phishing- und Smishing-Taktiken und mehr Bescheid wissen.
• Persönliche Geräte: Die Nutzer*innen sollten sich des Risikos bewusst sein, das die Verwendung privater Geräte am Arbeitsplatz mit sich bringt. Sicherheitsrisiken können hier durch die Verwaltung mobiler Geräte gemindert werden, indem die Benutzer*innen gezwungen werden, ihre Geräte für den Zugriff auf Unternehmensressourcen zu registrieren. (Weitere Informationen über BYOD-Programmefinden Sie im ersten Beitrag dieser Serie ).

Schulung der Endnutzer*innen

Schulungen während des Onboardings sind wichtig, aber das Onboarding kann für neue Mitarbeiter*innen eine überwältigende Zeit sein. Es ist wahrscheinlich, dass einige Informationen durch die Maschen fallen, während sie sich mit ihrem neuen Unternehmen und ihren Aufgaben vertraut machen. Aus diesem Grund sollte die Ausbildung während der gesamten Dauer des Arbeitsverhältnisses fortgesetzt werden.

Die Schulungen sollten die IT-Richtlinien abdecken, einschließlich derer, die bei der Einarbeitung erwähnt werden, und aufzeigen, wie sich die Benutzergewohnheiten auf die Cybersicherheit auswirken können. Außerdem sollten sie regelmäßig stattfinden und für die Rolle des jeweiligen Nutzers/der jeweiligen Nutzerin relevant sein. So sollte ein normaler Benutzer/eine normale Benutzerin beispielsweise wissen, wie er sein Gerät benutzt und wie er gängige Probleme wie Malware erkennen kann. Ein privilegierter Benutzer/eine privilegierte Benutzerin mit erweiterten Rechten sollte eine eingehendere Schulung erhalten.

Die meisten von uns haben lange, langwierige Schulungen absolviert, ob sie nun mit Cybersicherheit zu tun haben oder nicht. Wie viele Informationen gewinnen wir alle aus diesen Schulungen? Erfolgreiche Schulungsprogramme müssen informativ und gleichzeitig unterhaltsam sein. Hier sind einige Trainingstechniken, die Sie berücksichtigen sollten:

• Phishing-Kampagnen: Bei Phishing-Kampagnen werden simulierte Phishing-E-Mails an Mitarbeiter*innen verschickt. Auf diese Weise kann Ihr Unternehmen feststellen, welche Mitarbeiter*innen auf die Links klicken und zusätzliche Schulungen benötigen.
• Erobern Sie die Flagge: Diese Technik ist eher für Sicherheitspersonal gedacht und fordert die Mitarbeiter*innen auf, ihre Sicherheitsfähigkeiten bei der Durchführung von Angriffen einzusetzen. So können neue Mitarbeiter*innen Angriffe erkennen und wissen, wie sie diese verhindern können.
• Gamifizierung: Wie der Name schon sagt, zielt diese Technik darauf ab, dass die Ausbildung Spaß macht, indem sie in ein Spiel verwandelt wird. Dabei kann man sich mit anderen Nutzer*innen messen oder ein Minispiel auf der Trainingsplattform spielen.

Offboarding

Und schließlich sollten Sie eine Entlassungspolitik einführen, die allen Mitarbeiter*innen die Möglichkeit gibt, erfolgreich zu sein. Es ist von entscheidender Bedeutung, dass die gesamte Unternehmensausrüstung zurückerhalten wird, einschließlich Computer, Telefone, Ausweise und alle anderen ausgegebenen Gegenstände. Das Konto des Mitarbeiters/der Mitarbeiterin sollte deaktiviert werden, um sicherzustellen, dass er keinen Zugang zu internen Systemen oder Apps hat. Im Idealfall gibt es keine Systeme oder Konten, die auf Anmeldedaten angewiesen sind, die dem ausscheidenden Mitarbeiter/der ausscheidenden Mitarbeiterin bekannt sind; sollte dies doch der Fall sein, stellen Sie sicher, dass diese Informationen an die derzeitigen Mitarbeiter*innen weitergegeben und die Anmeldedaten geändert werden.

Eine Unze Prävention...

Die Sensibilisierung der Benutzer*innen für Cybersicherheitsrisiken ist entscheidend für die Verbesserung der Sicherheitslage Ihres Unternehmens. Aber das allein reicht nicht aus. Erhöhen Sie Ihre Sicherheit, indem Sie das Risiko von Benutzerfehlern verringern oder erschweren. Zum Beispiel:

• Durchsetzung von Kennwortrichtlinien für komplexe Kennwörter, die sich häufig ändern
• Nutzung von SSO und Identitätsanbieter *innen, um die Notwendigkeit zu verringern, sich mehrere Passwörter zu merken
• Erstellen Sie ein BYOD-Programm , um zu verhindern, dass Benutzer unkontrollierten Zugang zu Unternehmensressourcen erhalten.
• Zero Trust Network Access (ZTNA) bietet Mitarbeiter*innen nahtlosen Zugang zu den Tools, die sie brauchen, wo immer sie sie brauchen, während die Identität des Benutzers/der Benutzerin streng überprüft wird.

Die wichtigsten Erkenntnisse

• Die Sicherheit Ihres Unternehmens hängt von Ihren Mitarbeiter*innen ab. Daher ist es wichtig, dass die Sicherheitsschulung bereits bei der Einstellung beginnt und während der gesamten Betriebszugehörigkeit fortgesetzt wird.
• Das Verstehen und Reagieren auf das Nutzerverhalten hilft bei der Entwicklung erfolgreicher Schulungsprogramme.
• Schulungsprogramme sollten ansprechend und informativ sein, um effektiv zu sein.
• Mithilfe der ZTNA-Netzwerkarchitektur, SSO mit Cloud-Identitätsanbieter*innen und der Verwaltung mobiler Geräte werden Risiken trotz des Eingriffs der Benutzer*innen gemindert.