Was sind Insider-Bedrohungen?
Der zentrale Aspekt jedes Unternehmens sind seine Mitarbeiter. Die Ingenieure, die vor Ort Messungen für ein neues Gebäude vornehmen, die HR-Fachkräfte, die Bewerbungen bearbeiten, oder die Büroassistenten, die wichtige Dokumente drucken und abheften – jeder Mitarbeiter spielt eine wichtige Rolle im großen Ganzen. Aber gleichzeitig ist jeder Mitarbeiter auch nur ein Mensch, und Irren ist menschlich. Und: Irren ist in der modernen, vernetzten Arbeitswelt auch stets mit erheblichen Sicherheitsrisiken verbunden.
Insider-Bedrohungen sind Personen im Unternehmen, die – wenn sie in bestimmten Situationen Fehler machen – die IT-Sicherheit des Unternehmens gefährden können. Selbst die geringfügigsten Fehler eines solchen Mitarbeiters können weitreichende Konsequenzen haben, insbesondere in KMU, wo IT-Ressourcen oftmals begrenzt sind. Cyberkriminelle sind sich dessen bewusst und sie wissen ebenfalls, dass die größte Schwachstellen im Cyberschutz von Unternehmen oftmals die eigenen Mitarbeiter sind. Sie verlassen sich darauf, dass Angestellte zum Thema Cybersicherheit nicht ausreichend geschult werden und sich entsprechend nicht der Risiken bewusst sind, wenn sie sich unvorsichtig irgendwo anmelden oder arglos verdächtige E-Mails beantworten.
Um herauszufinden, inwieweit europäische Unternehmen durch Insider-Bedrohungen gefährdet sind, hat Sharp im Rahmen einer europaweiten Umfrage 5.770 IT-Entscheider in KMU aus unterschiedlichen Branchen – z. B. Baugewerbe, Produktion, Rechtsberufe und Gesundheitswesen – befragt. Dabei stellte sich heraus, dass mehr als jeder vierte Befragte (37 Prozent) der Meinung ist, dass Mitarbeiter, die sich nicht an Inhalte von Cybersicherheitsschulungen oder unternehmensinterne Sicherheitsrichtlinien halten, ein erhebliches Risiko für das Unternehmen darstellen.
Menschliches Fehlverhalten als Herausforderung
Die Effektivität der Cybersicherheit in Unternehmen hängt davon ab, wie gut die Mitarbeiter in diesem Bereich geschult sind. Dementsprechend ist es nicht überraschend, dass für ein Drittel der Befragten mangelnde Cybersicherheitskenntnisse bzw. unzureichende Schulungen zu dem Thema ein erhebliches Sicherheitsrisiko darstellen.
Cybersicherheitsverletzungen können aus einem breiten Spektrum an Fehlern entstehen: Ein Marketingleiter sendet versehentlich sensible Kundendaten an das falsche Konto. Ein Lehrassistent fällt auf einen Phishing-Angriff herein und gibt so Schülerdaten preis. Oder ganz simpel: Jemand fertigt am Büro-Drucker Kopien von vertraulichen Dokumenten an und vergisst das Originaldokument im Gerät.
Verschiedene Faktoren führen zu solchen Fehlern. Manche Mitarbeiter sind sich der potenziellen Risiken vielleicht schlicht nicht bewusst. Andere nehmen an den angebotenen Cybersicherheitsschulungen nicht teil, weil sie zu ausgelastet sind oder bereits teilgenommen haben und der Meinung sind, dass einmal ausreicht. Und manche sind sich vielleicht sogar der Risiken bewusst und entsprechend geschult, machen aber schlicht Flüchtigkeitsfehler.
Die Studienergebnisse zeichnen ein genaueres Bild
Die Studienergebnisse zeigen, wie es um die Cybersicherheit in europäischen KMU steht.
Jedes Unternehmen, egal welcher Größe, kommuniziert auf die eine oder andere Weise per E-Mail. Dabei werden Spam-E-Mails von unbekannten oder verdächtigen Absendern üblicherweise gut mithilfe von Junk-Ordnern herausgefiltert. Jedoch werden auch Cyberkriminelle immer geschickter und entwickeln mit fortschreitenden technischen Möglichkeiten immer perfidere Methoden. Vor allem Phishing-Angriffe nehmen zu, bei denen Personen dazu gebracht werden, sensible Informationen von sich aus preiszugeben, zu ändern oder zu löschen. Solche Angriffe sind inzwischen die häufigste Form der Cyberkriminalität und funktionieren allein auf Basis menschlichen Versagens.
Außerdem beliebt bei Kriminellen sind Malware-Angriffe, die in der Regel immer dann erfolgreich sind, wenn die Geräte im Unternehmensnetzwerk – beispielsweise Telefone, Tablets oder Drucker – nicht ausreichend geschützt sind. Jeder Angriff, egal welcher Art, kann schwerwiegende Konsequenzen haben und beispielsweise zu Datenverlust führen – eine Folge, die 20 Prozent der befragten KMU in diesem Kontext als ihre größte Sorge bezeichneten. Um dieses Risiko zu minimieren, sollten Unternehmen dafür sorgen, dass Mitarbeiter genau wissen, worauf sie bei E-Mails achten müssen – und welche Folgen eintreten können, wenn dies nicht passiert.
Trotz aller Vorteile haben hybride Arbeitsmodelle bei den befragten KMU die Befürchtungen in Sachen Cybersicherheit verstärkt. So äußern 29 Prozent der Befragten größere Bedenken als früher, wenn Mitarbeiter ihre eigenen, möglicherweise unsichereren Endgeräte nutzen. Ähnlich besorgniserregend ist für die Entscheider, wenn Mitarbeiter von Cafés, Co-Working-Spaces oder anderen Orten mit potenziell unzureichender Netzwerksicherheit aus arbeiten.
Nichtsdestotrotz hat mehr als die Hälfte (59 Prozent) der befragten KMU seit der Umstellung auf hybrides Arbeiten die internen Cybersicherheitsschulungen nicht entsprechend angepasst. Diese Kombination aus potenziell unsicheren Endgeräten und Netzwerken sowie unzureichenden Sicherheitskenntnissen der Mitarbeiter führt zu einem signifikanten Fehlerpotenzial.
Egal, ob es sich um Schüler-, Patienten- oder Kundendaten handelt, Unternehmen verarbeiten im Geschäftsalltag große Volumen an sensiblen, personenbezogenen Daten, bei deren Verarbeitung es besonderer Sorgfalt bedarf. Datenschutzverletzungen können dabei an verschiedenen Endpunkten auftreten, vom Mitarbeiter-Tablet bis hin zum Bürodrucker. Gerade was den vermeintlich harmlosen Drucker angeht, sind sich viele Unternehmen und deren Mitarbeiter der damit verbundenen Risiken nicht bewusst. Kaum verwunderlich also, dass ein Drittel der KMU den Drucker nicht in ihre Sicherheitsmaßnahmen miteinbeziehen. Gleichzeitig ist wiederum ein Drittel der befragten KMU entweder nicht besonders (14 Prozent) oder überhaupt nicht überzeugt davon (15 Prozent), dass ihre Mitarbeiter über ausreichende Kenntnisse dieser Cybersicherheitsrisiken verfügen.
Mensch und Technologie in Einklang bringen
Mit Blick auf die Studienergebnisse sollten KMU die Minimierung der Risiken von Insider-Bedrohungen priorisieren. Dafür bieten sich zwei Ansätze an.
Zunächst müssen Unternehmen den Zusammenhang zwischen IT-Sicherheit und dem Faktor Mensch verstehen und an dieser Stelle entsprechend nachschärfen. Ziel sollte sein, eine Cybersicherheitskultur zu etablieren, im Rahmen derer sich alle Mitarbeiter abgeholt fühlen, nicht nur die IT-Abteilung. Cybersicherheit muss für alle Mitarbeiter, vom Lageristen bis hin zum Verwaltungsangestellten, ein wichtiger Aspekt ihrer täglichen Arbeit sein und stets mitgedacht werden. Eine Möglichkeit, die Belegschaft proaktiv und präventiv auf den Ernstfall vorzubereiten, sind beispielsweise „Phishing-Tests“, im Rahmen derer das Unternehmen selbst zu Schulungszwecken Phishing-E-Mails an die Mitarbeiter verschickt. Darüber hinaus empfiehlt es sich, die regelmäßige Teilnahme an Cybersicherheitsschulungen für alle Mitarbeiter verpflichtend zu machen.
Dann wäre da noch der Faktor Technologie. Zwar sind Insider-Bedrohungen üblicherweise auf menschliches Fehlverhalten zurückzuführen. Dennoch trägt selbstverständlich auch Technologie einen wichtigen Teil dazu bei, Cyberrisiken zu minimieren – vor allem, wenn eine umfassende Sicherheitsstrategie angewandt wird, die möglichst viele Aspekte abdeckt. Zu einer solchen Strategie gehören im Wesentlichen regelmäßige Sicherheitskontrollen, Risikobewertungen, Schulungen und Penetrationstests, im Rahmen derer das Unternehmensnetzwerk durch Dritte auf Schwachstellen überprüft wird, sowie Rund-um-die-Uhr-Überwachung. Dabei ist es entscheidend, ein Gleichgewicht zwischen Technologie und Einbindung der Mitarbeiter in die Gesamtstrategie zu finden.
Fehler sind unvermeidbar, Cyberangriffe nicht
Letztlich sind Mitarbeiter Menschen, und Menschen machen Fehler. Egal ob es sich um Geschäftsführer oder Verwaltungsangestellte handelt, es ist und bleibt eine unvermeidbare Tatsache. Cyberangriffe wiederum sind nicht unvermeidbar, denn Schulungen, Sensibilisierung für potenzielle Risiken, Sorgfalt und Verantwortungsbewusstsein seitens der Mitarbeiter leisten einen wichtigen Beitrag, um Fehler mit großem Schadenspotenzial bestmöglich zu vermeiden.
Darüber hinaus ist es wichtig, die passenden technologischen Möglichkeiten zum Schutz der eigenen IT-Landschaft an der Hand zu haben. Aus diesem Grund unterstützt Sharp KMU dabei, ihre Cybersicherheitsstrategie mit individuell anpassbaren Sicherheits-Services und -lösungen zu optimieren. So bietet Sharp Unternehmen das zusätzliche Level an Sicherheit, auf das es im Ernstfall ankommt.
Möchten Sie Ihr Unternehmen schützen?
Mehr Informationen darüber, wie Sie Ihr Unternehmen bestmöglich vor Cyberbedrohungen schützen können, finden Sie hier in unserem Real World Security Hub.