IT-Sicherheit betrifft alle Lebensbereiche, weswegen viele Konzerne, etwa Santander, eigene Trainings ansetzen und Boni für Sicherheitswissen zahlen. Die Sicherheitsforscher sind überzeugt, dass die Aneignung von Fähigkeiten in diesem Bereich die grösste Herausforderung darstellt.
Check Point Software Technologies Ltd. weist anlässlich des Cyber Security Awareness Month auf die Notwendigkeit hin, dass jeder Einzelne der IT-Sicherheit Priorität einräumt, sowohl im Geschäfts- als auch im Privatleben, um das ständig wachsende Risiko von IT-Angriffen abzuwehren.
Nach Angaben von Check Point Research (CPR) haben die Angriffe im Vergleich zum Vorjahr um 59 Prozent zugenommen. Organisationen in der Schweiz wurden in den letzten sechs Monaten im Durchschnitt 774 Mal pro Woche angegriffen. Einem kürzlich veröffentlichten Bericht des Weltwirtschaftsforums zufolge werden 95 Prozent der Probleme in der Cybersecurity durch menschliches Versagen verursacht. Nimmt man den weltweiten Mangel an Fachkräften hinzu, entsteht ein Paradies für Cyber-Kriminelle. Die (ISC)² Cybersecurity Workforce Study aus dem Jahr 2021 hatte schon gezeigt, dass weltweit fast drei Millionen IT-Experten fehlen.
Vor diesem Hintergrund haben einige Unternehmen damit begonnen, Initiativen für ihre Mitarbeiter zu starten. Zum Beispiel: Die drittgrösste Bank der EU, die spanische Santander, ein multinationaler Konzern, hat kürzlich ein Anreizsystem eingeführt, das die Reaktionen der Mitarbeiter auf Phishing-Angriffe als Teil der allgemeinen Bonuspolitik des Unternehmens berücksichtigt.
Nützliche Infos anlässlich des Cyber Security Awareness Month
Gut geschulte Mitarbeiter sind nämlich eine der besten Grundlagen für eine gute Abwehr. Anlässlich des Cyber Security Awareness Month stellt Check Point daher einige nützliche Informationen zur Verfügung, die Unternehmen bei der Erkennung von Angriffen helfen.
- Phishing: Dies ist eine Technik, die oft aufgrund mangelnder Mitarbeiterschulung erfolgreich ist. Dabei gibt sich ein Hacker oft in Form einer E-Mail als Kollege, Unternehmen oder Institution aus, um an personenbezogene Daten zu gelangen, die er dann verkaufen, für Identitätsdiebstahl nutzen oder für weitere IT-Angriffe einsetzen kann. Es ist darum wichtig, beim Empfang von E-Mails vorsichtig zu sein, insbesondere bei solchen, die eine ungewöhnliche Aufforderung enthalten. Vergewissern sollten Angestellte sich, dass die Absenderadresse legitim ist, Grammatik- und Rechtschreibfehler nicht auffällig sind und nicht auf unbekannte Links klicken oder Anhänge blind öffnen.
- Malware: Hierbei handelt es sich um bösartige Software, die darauf abzielt, ein Gerät oder ein Netzwerk zu schädigen. Dies geschieht in der Regel durch Anklicken eines verseuchten Links, der die Software automatisch installiert. Sie kann auch über eine Datei wie ein Bild, Lied, Dokument oder Video eingeschleust werden. Erneut gilt: Vorsicht im Umgang mit E-Mails aller Art, besonders, wenn diese Links oder Dateien enthalten. Software sollte nur von offiziellen Anbietern geladen werden.
- Ransomware: Hierbei handelt es sich um einen Malware-Angriff, bei dem der Zugriff auf Systeme gesperrt wird, bis ein Lösegeld gezahlt wurde. Seit einiger Zeit gibt es Ransomware mit doppelter und sogar dreifacher Erpressung als Masche, bei der auch die Kunden und Partner des Opfers erpresst werden. Wie Malware gelangt sie in der Regel über einen Link oder eine heruntergeladene Datei auf ein Gerät. Daher ist es sehr wichtig, nichts von einem unbekannten Benutzer herunterzuladen und eine Multi-Faktor-Authentifizierung zu verwenden.
Um zu vermeiden, das Opfer von Phishing, Malware und Ransomware zu werden, empfehlen die Experten:
- Aktivieren der Zwei-Faktor-Authentifizierung: Die Anmeldung bei einem Konto sollte mit einem Kennwort und zugleich mit einer anderen Methode notwendig sein. Dabei kann es sich um eine Frage, biometrische Daten oder einen einmaligen Code handeln, der an ein Gerät gesendet wird. Dadurch wird eine zusätzliche Sicherheitsebene eingezogen, die verhindert, dass ein Angreifer nur mit einem gestohlenen Passwort und Benutzernamen auf ein Konto zugreifen kann.
- Verwenden sicherer Passwörter: Die Verwendung des gleichen Schlüsselworts für alles, oder die Nutzung einfacher Kombinationen wie 123456 oder Passwort macht es Hackern einfach. Mittlerweile gibt es eine Vielzahl von Plattformen, die starke, schwer zu erratende Passwörter mit Gross- und Kleinbuchstaben, Zahlen und Symbolen generieren können und Web-Seiten, die solche starken Varianten voraussetzen. Daher gilt: Jedes Konto braucht ein eigenes Kennwort.
- Lernen, wie man Phishing erkennt: Wenn ein Angreifer eine Phishing-E-Mail sendet, gibt es in der Regel einige gemeinsame Erkennungsmerkmale, wie Rechtschreibfehler oder die Tatsache, dass zur Eingabe von Anmeldedaten aufgefordert wird. Auch die Absenderadresse kann sehr verdächtig aussehen. Ein vertrauenswürdiges Unternehmen dagegen wird niemals über E-Mail nach den Anmeldedaten eines Kunden fragen. Man sollte daher immer die offizielle Seite oder Plattform des Unternehmens besuchen.
- Updates sämtlicher Software mitnehmen: Es ist immer ratsam, auf die neue Version einer Software zu wechseln, da auf diese Weise Sicherheitslücken früherer Versionen behoben werden.
Alvaro Amato, Country Manager Schweiz bei Check Point Software Technologies, sagt: «Der Cyber Security Awareness Month ist ein wichtiger Zeitpunkt im Jahr, um nicht nur das Bewusstsein für IT-Sicherheit zu schärfen, sondern auch, um den Einzelnen zu konkreten Massnahmen zu bewegen. Die meisten Cyber-Angriffe sind auf menschliches Versagen zurückzuführen. Es liegt also in den Händen jedes einzelnen, die Cybersicherheit zu verbessern, sowohl zu Hause als auch am Arbeitsplatz. Dies ist eine wichtige Aufgabe, bei der wir alle eine Rolle spielen müssen.»