Grösstes Einfallstor bei Cyber-Attacken auf Unternehmen, der Faktor Mensch.

In Zeiten erhöhter und ausgeklügelten Cyberattacken, stehen Unternehmen immer öfters unter grossen Druck Opfer einer Cyberattacke zu werden. Wie kann ein Unternehmen dieses Risiko minimieren? Neben einem stabilen Netzwerk, aktuellem Virenschutzprogramm, VPN, geregeltem und abgesichertem Zugang zu Unternehmensdaten ist der Mensch ein sehr zentraler Faktor. Und bei diesem Faktor lohnt es sich am meisten in die Sensibilisierung im Thema Cyber-Gefahren zu investieren.

Die drei häufigsten Cyberattacken auf Unternehmen mit dem Menschen im Zentrum

Hacker die mit verschiedenen Methoden versuchen eine Attacke auszuführen (Erstellt von KI)

Phishing: „Phishing ist eine Form des Internetbetrugs, bei dem versucht wird, durch das Imitieren vertrauenswürdiger Entitäten Personen zur Preisgabe von persönlichen Daten, wie Passwörtern und Kreditkartennummern, zu verleiten. Dies geschieht typischerweise über gefälschte E-Mails oder Websites, die so aussehen, als kämen sie von vertrauenswürdigen Quellen, wie Banken, Behörden oder bekannten Unternehmen.“ (Definition Wikipedia)

Ransomware-Angriffe: „Ransomware ist eine Art von Schadsoftware, welche die Daten eines Computersystems verschlüsselt oder den Zugriff darauf blockiert und dann von den Benutzern ein Lösegeld verlangt, um die Daten wieder freizugeben oder den Zugriff wiederherzustellen. Ransomware kann über verschiedene Wege verbreitet werden, einschließlich infizierter E-Mail-Anhänge, bösartiger Links oder durch Ausnutzen von Sicherheitslücken in Software.“ (Definition Wikipedia)

Social Engineering: „Social Engineering ist eine Technik, bei der Manipulation und Täuschung verwendet werden, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder unerlaubten Zugang zu Systemen oder Gebäuden zu gewähren. Dies kann durch verschiedene Methoden geschehen, wie z.B. durch gefälschte Identitäten, Manipulation von Gesprächen oder Ausnutzen von Vertrauen.“ (Definition Wikipedia)

Laut der Studie von IBM Security’s Cost of a Data Breach Report 2021 (Datenquelle chatgpt) sind 49% der erfolgreichen Cyberattacken durch den Faktor Mensch möglich gewesen.

 

Auswirkungen für Unternehmen nach einer erfolgreichen Cyber-Attacke

Datenverlust: Unternehmen können sensible Informationen wie Kundendaten oder geistiges Eigentum verlieren, was zu finanziellen Verlusten und rechtlichen Konsequenzen führen kann.

Datendiebstahl: Die gestohlenen Daten können für Identitätsdiebstahl, Betrug oder Erpressung verwendet werden, was das Vertrauen der Kunden beeinträchtigt und das Unternehmen haftbar machen kann.

Reputationsschaden: Eine Cyber-Attacke kann das Ansehen eines Unternehmens schwer beschädigen, was zu einem Verlust von Kundenvertrauen, einem Rückgang der Geschäftstätigkeit und langfristigen finanziellen Auswirkungen führen kann.

Produktionsausfall: Eine erfolgreiche Cyber-Attacke kann dazu führen, dass Systeme und Netzwerke des Unternehmens nicht mehr funktionieren, was zu Produktionsausfällen, Betriebsunterbrechungen und Umsatzverlusten führt.

Lösegeldzahlung: Bei Ransomware-Angriffen kann das Unternehmen gezwungen sein, ein Lösegeld zu zahlen, um den Zugriff auf verschlüsselte Daten wiederzuerlangen. Dies kann zu erheblichen finanziellen Verlusten führen und die Reputation weiter schädigen.

 

Durch ein Awareness-Training kann ein Unternehmen diese Risiken enorm minimieren. Wie sollte ein ausgeglichenes Awareness-Training aufgebaut sein?

Erfolgreiches Awareness-Training (Erstellt von KI)

TopDown: Diese Trainings sind für alle obligatorisch und werden von Geschäftsleitung getragen und gelebt!

Themen des Awareness-Trainings: Aktuell und skalierbar, mit technischen Erklärungen wie z.B von URLs und Domains.

Interaktion: Bilder, Videos und Muster.

Wiederholende Sequenzen: Alle 2 Monate ein neues Level mit neuen Inhalten, ca. 20 min.

Erklärung/Quiz/Level: Interaktive Erklärung gefolgt von einem kurzen Quiz.

Friendly Spam Emails: Verschiedene Nachrichten, um die Anfälligkeit der Nutzer zu testen und das Training anzupassen.

Reporting und KPI: Übersicht für Verantwortliche über erledigte und offene Levels sowie Anzahl der Klicks und Interaktionen.

Übersicht der bestandenen Level/Themen für Anwender: Bestätigungen und Auszeichnungen als PDF nach jedem bestandenen Level.

Positiver Nebeneffekt:

Den eine sensibilisierte Person minimiert nicht nur für das Unternehmen das Cyber-Attacke Risiko, kann mit dem gelernten sich auch im privaten Kreis viel besser schützen, kann seine Erfahrung an andere weitergeben und vermitteln. Dies wiederum senkt das Risiko auch im privaten Bereich Opfer einer Cyber-Attacke zu werden. Dies erspart viele Kosten und Nerven.

Auszug aus Statistik:

Auszug aus einer aktuellen Statistik einer Firma mit ca. 4000 Beschäftigten (Firma bekannt, aus Datenschutzgründen wird nicht namentlich genannt), Zeitraum 01.3.24 – 30.4.24 mit insgesamt 3046 Emails (Resultat nach einem Jahr Awareness-Training):

 

Weiterführende Links zum Thema:

 

 

 

Beitrag teilen

Labinot Haxhija

Labinot Haxhija ist als Senior IT Application Specialist bei der AIREX AG tätig und bloggt aus dem CAS IT Management & Agile Transformation

Alle Beiträge ansehen von Labinot Haxhija →