Selbst modernste IT-Systeme sind nutzlos, wenn die Schwachstelle vor dem Monitor sitzt. In den meisten Unternehmen gehören die eigenen Mitarbeiter zwar zu den größten Risiken für die Sicherheit der IT, trotzdem wird dieser Aspekt oft vernachlässigt. Dabei lassen sich Endgeräte durchaus schützen, während spezielle Schulungen für die Mitarbeiter gar nicht besonders komplex sein müssen.
Schwachstellen bei der Sicherheit können auf einzelnen Computern, aber auch auf Servern oder auf anderen Komponenten der IT auftreten. Viele Firmen investieren deshalb enorme Summen in Antiviren-Software, Firewalls und weitere Sicherheitsvorkehrungen. Der Faktor Mensch wird hingegen oft vernachlässigt.
Dabei ist die Sicherheit, die Hardware und Software bieten, längst nicht alles. Da Cyber-Kriminelle es immer schwerer haben, technische Lücken zu finden, nutzen sie neue Methoden. Der Mensch ist dabei ein beliebter Angriffspunkt. Schließlich entscheidet oft das Verhalten der Anwender, ob Hackerangriffe oder andere Attacken erfolgreich sind.
Immer häufiger geht es dabei um sogenannte Advanced Persistent Threats. Dieser Fachbegriff umschreibt komplexe und zielgerichtete Angriffe. Ein gutes Beispiel dafür ist der sogenannte CEO-Fraud. Dabei werden E-Mails an bestimmte Mitarbeiter verschickt, die darin aufgefordert werden, Rechnungen zu bezahlen oder sensible Daten zu verschicken.
Besonders perfide ist diese Methode, wenn Angreifer sich glaubhaft als Vorgesetzer des jeweiligen Mitarbeiters ausgeben. In diesem Fall wird oft nicht auf die Absenderadresse oder auf andere Kleinigkeiten geachtet, die zeigen, dass es sich um gefälschte E-Mails handelt. Stattdessen kommen die Mitarbeiter dem Wunsch des vermeintlichen Chefs nach – zum Schaden des Unternehmens.
Mitarbeiter schützen
Andere Angriffe haben sich im Laufe der Jahre ebenfalls entwickelt. Gefälschte Websites sehen heute zum Beispiel oft täuschend echt aus. E-Mail-Anhänge werden so getarnt, dass viele Empfänger diese spontan öffnen – und sich auf diese Weise Malware auf ihren Computer laden. Zum Teil reicht es sogar schon, eine E-Mail einfach nur zu öffnen.
Es gibt keine genauen Zahlen, wie viele Mitarbeiter tatsächlich auf Angriffe per E-Mail hereinfallen. Dabei spielen viele Faktoren eine Rolle. Bei simulierten Phishing-Angriffen hat sich allerdings gezeigt, dass die Quote durchaus zwischen 30 und 40 Prozent liegen kann. Das zeigt, wie hoch das Gefahrenpotenzial ist.
Alles in allem lohnt es sich also, auf eine Kombination aus Maßnahmen zu setzen. Die regelmäßige Schulung der Mitarbeiter ist enorm wichtig, um bei diesen ein Bewusstsein für mögliche Bedrohungen zu schaffen. Zugleich sollten technische Vorkehrungen getroffen werden, um die Gefahren auf ein Minimum zu reduzieren. Alternativen wie Advanced Threat Protection von Skyfillers, bei der die meisten gefährlichen E-Mails gar nicht erst in die Postfächer der einzelnen Mitarbeiter gelangen, sind dafür ein sehr gutes Beispiel.