Mitarbeitende werden seit langem als das "schwächste Glied" in der Cybersicherheitskette eines Unternehmens angesehen und auch heute ist menschliches Versagen nach wie vor die Hauptursache für Datenschutzverletzungen. Doch was macht Mitarbeitende zu einer solchen Insider-Bedrohung für Ihr Unternehmen? In diesem Artikel führen wir Sie durch die verschiedenen Arten von Insider-Bedrohungen in Ihrem Unternehmen und die Hauptgründe, warum Unternehmen Nutzer-verursachte Datenverletzung erleiden. Ausserdem geben wir Ihnen Tipps, wie Sie die oben genannten Risiken verringern können!
Was sind die verschiedenen Arten von Insider-Bedrohungen in Ihrem Unternehmen?
Laut dem Data Breach Investigation Report (DBIR) von Verizon sind über 85 % der Datenschutzverletzungen auf "das menschliche Element" zurückzuführen. Gemäss demselbigen Bericht können solche Datenschutzverletzungen auf folgende Ursachen und Faktoren zurückgeführt werden:
- Fahrlässige Nutzer machen 61 % aus
Dies sind die Nutzer, die E-Mails an falsche Empfänger senden, falsche Anhänge an E-Mails anfügen oder auf einen bösartigen Link in einer Phishing-Mail klicken. - Fahrlässige Nutzer, die ihre Zugangsdaten im Dark Web preisgeben, machen 25 % aus
Obwohl diese Nutzer weniger häufig sind, sind sie gefährlicher, da sie Zugangsdaten wie Benutzernamen und Kennwörter preisgeben, die im Dark Web auftauchen. Angreifer nutzen diese verfügbaren Anmeldedaten für gezielte Angriffe, die raffinierter sind als Massen-Phishing-Angriffe. - Böswillige Benutzer machen 14 % aus
Die meisten Mitarbeiter haben keine böswilligen Absichten gegenüber ihrem Unternehmen. Leider gibt es jedoch einige, die sensible Unternehmensdaten stehlen, um sie zu verkaufen oder für andere Zwecke zu nutzen.
Warum sind Mitarbeitende eine solche Insider-Bedrohung?
Menschen machen Fehler
Jeder Mitarbeiter macht von Zeit zu Zeit Fehler, sei es, dass er eine E-Mail falsch weiterleitet oder die falsche Datei anhängt. Tatsächlich geben 43 % der Mitarbeiter an, dass sie bei der Arbeit schon einmal einen Fehler gemacht haben, der die Cybersicherheit gefährdet hat. Das Problem ist, dass selbst kleine Fehler dazu führen können, dass sensible Daten in die Hände von Cyberkriminellen oder ins Dark Web gelangen, wo sie für gezielte Angriffe verwendet werden können.
Menschen sind ein lukratives Ziel
Im Internet sind viele Informationen über Ihr Unternehmen einschliesslich Ihrer Lieferanten, Auftragnehmer und Kunden verfügbar. Dies erleichtert es Angreifern, sich als interne und externe Kontakte auszugeben. Es reicht aus, dass eine Person erfolgreich getäuscht wird, um Ihr Unternehmen zu gefährden.. Dies erleichtert es Angreifern, sich als interne und externe Kontakte auszugeben. Es reicht aus, dass eine Person erfolgreich getäuscht wird, um Ihr Unternehmen zu gefährden.
Die häufigste Technik, mit der Angreifer Mitarbeiter ins Visier nehmen, ist Phishing. Diese Angriffe haben sich weiterentwickelt und konzentrieren sich jetzt mehr auf "Spear-Phishing-Angriffe", bei denen gezielte Täuschung durch vorherige Recherche angewendet wird.
Menschen brechen Regeln
In jedem Unternehmen können Mitarbeitende die Vorschriften umgehen - sei es absichtlich oder versehentlich. Typischerweise gehen solche Regelverstösse über die Nichteinhaltung von Kennwortrichtlinien hinaus. Beispielsweise können Unternehmensdaten gestohlen und im Dark Web verkauft werden. Meistens handelt es sich jedoch um weniger böswillige Verstösse, bei denen Mitarbeitende versuchen Kosten zu senken oder Zeit zu sparen. So werden bspw. Passwörter mit Kollegen geteilt, damit kein zweites Konto für einen Systemzugang erstellt werden muss.
Wie man Mitarbeitende als Pfeiler in der Cybersicherheit integriert
Um das Cybersicherheitsproblem anzugehen, versuchen Unternehmen ihre Mitarbeitenden in jährlichen oder quartalsweisen Security-Awareness-Schulungen zu sensibilisieren. Da die ganze Belegschaft trainiert wird, werden solche Workshops jedoch schnell generisch und wenig interaktiv. Ausserdem verfliegt die Wirkung schnell, da die Schulungen in zu weit auseinanderliegenden Intervallen stattfinden.
Es sind regelmässige, kurze und auf die einzelnen Mitarbeitenden angepassten Trainingseinheiten notwendig, um die Mitarbeitenden auf dem Laufenden zu halten. Weiter soll mit regelmässigen Phishing-Simulationen das Gelernte in der Praxis getestet werden.
Aufbau einer sicherheitsbewussten Belegschaft durch Human Risk Management (HRM)
Human Risk Management (HRM) ist der moderne Ansatz für den Aufbau einer sicherheitsbewussten Belegschaft, ohne die Produktivität des Teams zu beeinträchtigen. Mit unserem vollständig verwalteten HRM-Service sind Sie in der Lage, das Cyber-Risiko für Mitarbeitende zu verstehen und durch regelmässige Schulungen, Phishing-Simulationen, Überwachung des Dark Web und vereinfachte Richtlinienprozesse zu verringern. Zum Start bieten wir Ihnen die Möglichkeit, Ihr menschliches Cyber-Risiko mit einem kostenlosen Human Risk Report (HRR) zu berechnen. In wenigen Schritten berechnen wir den Human Risk Score Ihres Unternehmens und stellen Ihnen einen klaren Aktionsplan zur Stärkung der identifizierten Risikobereiche zur Verfügung. Füllen Sie dieses Formular aus, um ein kostenloses Assessment anzufordern.
Kostenloses Assessment und Phishing-Simulation
- Füllen Sie das Kontaktformular aus.
- Wir scannen Ihre Domäne und das Dark Web und starten eine realistische Phishing-Simulation.
- Sie erhalten einen einseitigen Human Risk Report über:
- Human Risk Score Ihres Unternehmens
- Schätzung „Time-to-breach“
- Resultate des Phishing-Angriffs
- Übersicht der Entdeckungen im Dark Web
- Schritt-für-schritt Verbesserungsplan