Die jüngste Welle Erspressungstrojaner, wie z.B. Locky oder TeslaCrypt, haben in den vergangenen Wochen etliche Krankenhäuser, Stadtverwaltungen oder auch Unternehmensnetzwerke lahmgelegt.
In der Nachbetrachtung zeigt sich erneut, dass das schwächste Glied in einem Unternehmen weiterhin der Mensch ist.
Viele Unternehmen und auch private User vertrauen blind auf die Technik und verlassen sich darauf, dass Spam-Filter oder Anti-Viren Programme jegliche Art von Malware herausfiltern. Dabei muss man sich nur vor Augen führen, dass kein Produkt einen 100% Schutz bietet. Allein das Versprechen, dass ein Security-Produkt 99,9% aller Schadsoftware erkennt, bedeutet, dass bereits 1 von 1000 Emails/Malware-Typen nicht erkannt wird. Und das ist bereits ein Volumen, welches jedes mittelständische Unternehmen pro Tag an Emails erhalten müsste.
Deshalb sollte für Unternehmen auch weiterhin die Devise gelten, die Schulung zur IT-Sicherheit sämtlicher Mitarbeiter kontinuierlich voranzutreiben und dafür zu Sorgen, dass das IT-Sicherheitsbewusstsein auch in alle Bereiche eines Unternehmens vordringt. Heutzutage gibt es kaum noch Arbeitsplätze ohne einen Internetanschluss oder Email-Postfach und genau dort gilt es anzusetzen – in den Marketing-Abteilungen, in der Personal-Stelle, in der Buchhaltung, im Vertrieb, in der Verwaltung, in den Pressestelle aber auch im Management-Bereich. Genau diese Mitarbeiter müssten in Zukunft verstärkt und regelmäßig geschult werden, um den Schutz der eigenen Infrastruktur und Daten zu gewährleisten.
Cyberkriminelle wissen längst, dass gezielte Angriffe auf ein Unternehmen meist nur dann erfolgreich sind, wenn man das schwächste Glied angreift – Mitarbeiter, die wenig IT-affin sind und den eigenen Arbeitscomputer meist nur als Werkzeug betrachten. Beispiele dafür gibt es genug, wie der Fall Chimera zeigt, wo Angriffe speziell auf die Personalabteilungen entwickelt wurden, aber auch die jüngsten Fälle mit den Mails von “kopierer@unternehmen.xx” adressierten jene Mitarbeiter, die solche Mails als komplett vertrauenswürdig erachten und die unter Spoofing eher einen neuen Fitness-Trend verstehen, als eine Methode zum Online-Betrug.
Wir möchten deshalb alle unsere IT-sicherheitsbewussten Leser dazu ermuntern, diese Thematik – die regelmäßige Schulung und das Stärken des IT-Sicherheitsbewusstseins – bei Ihren Arbeitgebern anzusprechen und darauf hinzuweisen, das die Vorsorge stets besser als Nachsorge ist. Einzig und allein auf einen umfassenden Schutz anhand von Technik zu setzen, kann schnell zu einem Eigentor werden.
Bild: freedigitalphotos.net