header-placeholder


image header
image
GerhardSchabhueser

Cyber-Sicherheit: Der Mensch als Schlüsselfaktor


Bonn, 26. Juli 2018. Jeder sechste Mitarbeiter würde auf eine gefälschte
E-Mail der Chefetage antworten und sensible Unternehmensinformationen
preisgeben. Das hat eine Befragung des Bundesamtes für Sicherheit in der
Informationstechnik (BSI) ergeben. Informationen über Zuständigkeiten im
Unternehmen, zur Zusammensetzung von Abteilungen, internen Prozessen oder
Organisationsstrukturen, die über das sogenannte Social Engineering gewonnen
werden, sind für Cyber-Kriminelle wertvolle Grundlage zur Vorbereitung von
gezielten Angriffen auf das Unternehmen.

„Mit den richtigen Informationen können Cyber-Angreifer erheblichen Schaden
anrichten, etwa durch CEO-Fraud. Dabei werden E-Mails der Chefetage fingiert,
in denen dazu befugte Mitarbeiter angewiesen werden, dringliche Überweisungen
hoher Geldsummen zu tätigen. Wenn der Angreifer weiß, wen er anschreiben muss
und wie die Prozesse im Haus ablaufen, kann er erheblichen Druck ausüben. Die
Masche funktioniert, es geht dabei um Millionensummen! Auch deswegen ist die
Zahl derjenigen, die sensible Informationen preisgeben, viel zu hoch“, so
BSI-Vizepräsident Dr. Gerhard Schabhüser (Foto)

Mit Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft
und Vertrauen ausgenutzt, um Mitarbeiterinnen und Mitarbeiter geschickt zu
manipulieren. Der Angreifer verleitet das Opfer beispielsweise dazu,
vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln,
Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem
Computer im Firmennetzwerk zu installieren. Die Sensibilisierung der
Angestellten für diese Art der Betrugsversuche sollte daher eine wichtige
Rolle spielen und fest zum Weiterbildungskonzept eines Unternehmens gehören.

Sensibilisierungsmaßnahmen weiter dringend benötigt

Mehr als die Hälfte der befragten Arbeitnehmerinnen und Arbeitnehmer hören
sich selbst aktiv zum Thema IT-Sicherheit am Arbeitsplatz (58 Prozent) um.
Gleichzeitig gaben fast 42 Prozent der Befragten an, nicht selbst aktiv zu
werden. Rund 18 Prozent der Befragten verlassen sich darauf, dass der
Arbeitgeber das Firmennetzwerk ausreichend absichert und dass sie selbst
keine zusätzlichen Maßnahmen ergreifen müssen. Weitere 13 Prozent gehen davon
aus, dass das Unternehmen sie darauf hinweist, wenn Sicherheitsmaßnahmen
ergriffen werden sollten. Die übrigen Befragten informieren sich gar nicht
und erhalten auch keine Informationen seitens des Arbeitgebers (10 Prozent).

Auf dem Informationsportal „BSI für Bürger“ (https://www.bsi-fuer-buerger.de)
finden auch Arbeitnehmerinnen und Arbeitnehmer viele praktische Tipps und
Empfehlungen zur „IT-Sicherheit am Arbeitsplatz“
(https://www.bsi.bund.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/IT_Sicherheit_am_Arbeitsplatz.html)