Startseite » Aufmacher »

Die 5 häufigsten Methoden, mit denen Mitarbeiter gehackt werden

Cyberabwehr in Unternehmen
Die 5 häufigsten Methoden, mit denen Mitarbeiter gehackt werden

Die 5 häufigsten Methoden, mit denen Mitarbeiter gehackt werden
74 % der Unternehmen glauben, dass die eigenen Mitarbeiter in Bezug auf Cyber Security die größte Schwachstelle darstellen. Daher müssen diese mit den richtigen Werkzeugen ausstattet werden, um die Chancen zu erhöhen, widerstandsfähig zu bleiben. Bild: LRQA
Kleinere Unternehmen sind für Cyberkriminelle „Big Business“. 50 % aller Cyberangriffe richten sich gegen kleine Unternehmen. Hacker machen sich die gängige Vorstellung zu Nutze, dass kleine Unternehmen in Sachen Cyberabwehr nicht auf dem gleichen Niveau liegen wie große Organisationen. Im folgenden haben wir die häufigsten Methoden, mit denen Mitarbeiter gehackt werden und wie man das verhindert, zusammengestellt.

Ein Leben ohne Internet und Datenkonnektivität ist nur noch schwer vorstellbar, sind wir von diesen Dingen doch sehr abhängig. Untersuchungen zeigen, dass wir durchschnittlich 6,7 h am Tag online sind, und mit der raschen Verbreitung des Internets der Dinge wird es immer schwieriger, mit der Masse an Daten und Informationen Schritt zu halten.

Entgegen der landläufigen Meinung sind kleine Unternehmen nicht weniger anfällig für Cyberangriffe als große Organisationen; auf sie entfallen fast 50 % aller Attacken. Bedenken wir, dass Mitarbeiter in 56 % der Zeit sensible Geschäftsdaten auf ihren Laptops, Smartphones und Tablets bei sich tragen, so wird schnell klar, dass die Einführung von Cyber-Security-Maßnahmen zum Schutz der Widerstandsfähigkeit des Unternehmens unerlässlich ist.

ISO 27001 bildet den Rahmen

Einen formalen Rahmen für die unternehmensweite Implementierung bildet die ISO 27001, die international führende Norm für ISMS (Managementsysteme für Informationssicherheit). Sie bietet Organisationen ein Best-Practice-Gerüst zur Identifizierung, Analyse und Implementierung von Kontrollen, mit denen Risiken hinsichtlich Informationssicherheit gemanagt und die Integrität geschäftskritischer Daten sichergestellt werden. Bereits vor einer Zertifizierung des Unternehmens nach ISO 27001 macht es Sinn, eine Kultur der „Cyber Awareness“ innerhalb des Unternehmens bei den Mitarbeitern zu etablieren. Hier sind die fünf häufigsten Methoden, mit denen Mitarbeiter gehackt werden aufgeführt:

1. E-Mail-Phishing

Phishing ist eine der häufigsten Methoden, die von Cyberkriminellen verwendet wird, um Menschen online zu schaden. Betrüger versuchen, über E-Mails an sensible persönliche Informationen zu gelangen und Schadsoftware auf Geräten zu installieren. Je nach anvisiertem Opfer werden verschiedene Arten von E-Mail-Phishing-Angriffen verwendet:

  • Phishing im großen Stil: Die Angreifer werfen ein breites Netz aus, in der Hoffnung, dass sich möglichst viele Opfer darin verfangen.
  • Spear Phishing: Maßgeschneiderte Angriffe, die unter Nutzung persönlicher Daten auf eine bestimmte Gruppe oder einzelne Personen gerichtet sind.
  • Whaling: Eine Form des Spear-Phishing, die auf Führungskräfte innerhalb einer Organisation (z.B. CEOs oder CFOs) abzielt.
  • Voice Phishing (oder Vishing), bei dem finanzielle oder persönliche Details über das Telefon erfragt werden. Eine gängige Masche der Betrüger ist hierbei, sich als Mitarbeiter einer Behörde auszugeben und so das Opfer einzuschüchtern. Nicht selten sind es automatisierte Anrufe.
  • SMS-Phishing (oder Smishing), bei der Betrüger Textnachrichten verwenden, um Menschen dazu zu verleiten, private Informationen preiszugeben oder ihre Smartphones mit Malware zu infizieren.

2. Phishing in sozialen Medien

Social Media bildet den perfekten Nährboden für Cyberkriminelle. Frühere Berichte schätzten die jährlichen Kosten der Internetkriminalität allein in den USA auf 100 Mrd. US-Dollar. Das liegt wahrscheinlich daran, dass wir in sozialen Medien mit einem trügerischen Gefühl von Privatsphäre und Vertrautheit agieren, wenn wir mit Menschen kommunizieren, die wir bereits kennen. Wenn im Unternehmen Teams einen großen Teil ihrer Arbeit in sozialen Netzwerken verbringen, z. B. der Kundenservice, das Digitalmarketing oder die Unternehmenskommunikation, müssen diese potenziell schädliche Beiträge identifizieren können. Die Auswirkungen, wenn Betrüger die Marke einer Organisation nutzen, um echten Kunden zu schaden, können extrem schädlich sein.

3. Öffentliche WLAN-Hotspots

Öffentliche WLAN-Netzwerke gibt es überall – in Cafés, Hotels, Flughäfen und anderen öffentlichen Bereichen. Auch cyberaffine Mitarbeiter können aufgrund der Notwendigkeit, ständig online sein zu müssen, zum Opfer werden und eine Verbindung zu unsicheren WLAN-Netzwerken aufbauen. Daten, die über ein ungesichertes öffentliches WLAN-Netzwerk übertragen werden, können leicht von jemand anderem im selben Netzwerk gehackt werden. Nach dem ersten Zugriff können Angreifer auf Geräte aus der Ferne zugreifen – auf persönliche Fotos oder auf streng vertrauliche E-Mails. Wenn Hacker an Passwörter gelangen, nutzen sie diese, um auf andere Konten zuzugreifen, einschließlich Social-Media-Profile, von denen aus sie schwerere Verstöße wie Online-Identitätsdiebstahl begehen.

4. Online-Transaktionen, Mobile Apps und Software-Downloads

Wir neigen zu der Annahme, dass harmlose Online-Aktivitäten wie das Herunterladen von Software, Zahlungsvorgänge und der Zugriff auf arbeitsbezogene Daten auf unseren Smartphones keine Sicherheitsrisiken darstellen. Oft sind sich die Mitarbeiter dieser Risiken nicht bewusst und installieren Malware versehentlich auf Firmengeräten oder ermöglichen Hackern und Cyberkriminellen unbeabsichtigt Zugang zu Firmennetzwerken.

5. Betrügerische Mitarbeiter

Ebenfalls neigen wir dazu, nachlässig zu werden, wenn es um die Geräte an unserem Arbeitsplatz geht. Wir vertrauen unseren Kollegen, müssen uns aber in Zeiten von Cyber-Spionage der theoretischen Möglichkeit bewusst sein, dass wir ein Büro mit einem Mitarbeiter teilen könnten, der versucht, die IT-Systeme des Unternehmens zu gefährden.

Vor Cyberangriffen schützen

74 % der Unternehmen glauben, dass die eigenen Mitarbeiter in Bezug auf Cyber Security die größte Schwachstelle darstellen. Daher müssen diese mit den richtigen Werkzeugen ausstattet werden, um die Chancen zu erhöhen, widerstandsfähig zu bleiben. Grundlegende Tipps zur Stärkung der Cyber-Resilience:

  • Training zur Informationssicherheit: Jeder Mitarbeiter muss ein grundlegendes Verständnis hinsichtlich Informationssicherheit und ihrer Bedeutung für das Unternehmen haben. Bestandteil des Trainings sollte die Erläuterung einfacher Vorgehensweisen sein, die in den Alltag passen, z. B. die Geräte beim Verlassen des Arbeitsplatzes sperren, niemals fremde USB-Geräte an Laptops anschließen sowie die Identifizierung von Online-Phishing-Aktivitäten. Ein einfaches Mantra zur Bekämpfung von E-Mail-Phishing lautet z. B. „Im Zweifelsfall weg damit!“. Schulungen sind wichtig, sollten aber niemals die alleinige Maßnahme gegen substanzielle Cyberrisiken sein.
  • Verstehen, dass jeder Mitarbeiter ein potenzielles Angriffsziel darstellt.
  • Implementieren eines Datensicherungszeitplans: Wenn kritische Daten oft genug und auf externen Netzwerken gesichert werden, sind die Chancen höher, dass im Falle eines Cyberangriffs eine aktuelle Kopie in Reichweite ist und die Daten von der Ursache des Lecks getrennt gehalten werden.
  • Verschlüsseln: Das Speichern von Daten in einem verschlüsselten Format ist mittlerweile so einfach wie der Kauf eines vorverschlüsselten USB-Speichergerätes. Auch in vielen Versionen von Windows ist eine Verschlüsselung integriert, und es gibt viele kostenlose Verschlüsselungs-Tools.
  • Zugriffsberechtigungen anpassen: Nicht selten nimmt ein Hacker eine absichtliche Infiltration vor, indem er als Teilzeitmitarbeiter oder auf einer niedrigen Ebene eingestellt wird. Zugriffsberechtigungen sollten an der jeweiligen Ebene ausgerichtet sein. Richtet sich der Hackerangriff nun an einen Mitarbeiter mit leitender Funktion, dann kann die Beschränkung seines Einflusses auf andere Teile des Systems dazu beitragen, das Ausmaß des Schadens gering zu halten.
  • Passwörter nicht weitergeben: Jeder Mitarbeiter, der auf ein System zugreift, sollte über eindeutige Anmeldeinformationen verfügen. Dieses Vorgehen ermöglicht es nicht nur, die Aktivitäten der Mitarbeiter im Falle einer Sicherheitsverletzung zu überprüfen, sondern ermutigt auch dazu, Passwörter besser zu schützen.
  • Passwort-Richtlinie implementieren: Komplexe Passwörter sind wichtig, führen aber oft dazu, dass Mitarbeiter sie aufschreiben oder in verschiedenen Variationen wiederverwenden. Eine einfache Methode ist es, an einen Satz wie „Thomas ist der beste Papa auf der ganzen Welt“ zu denken und diesen abgekürzt als Passwort zu verwenden – TidbPadgW!. Für extrem sensible Systeme sollten stärkere Formen der Authentifizierung wie Biometrie oder Multifaktor-Authentifizierung in Betracht gezogen werden.
  • Phishing in sozialen Medien vermeiden: Identitätsdiebstahl im Internet hat ernsthafte Konsequenzen und ein einziges gefälschtes Profil kann einen über Jahrzehnte aufgebauten Markenwert zerstören. Daher sind entsprechende Maßnahmen zu implementieren, um die Einhaltung tolerierbarer Sicherheitsschwellen sicherzustellen. Den Mitarbeitern sollt vermittelt werden, wie sie betrügerische Phishing-Versuche auf den verschiedenen Social-Media-Kanälen identifizieren können.
  • Sicherheitssoftware installieren: Dies versteht sich eigentlich von selbst, kann aber nicht oft genug wiederholt werden. Alle digitalen Geräte, einschließlich Tablets und Smartphones, die vertrauliche Informationen enthalten oder die mit anderen Geräten verbunden sind, die diese enthalten, benötigen Sicherheitssoftware. Es gibt online diverse gängige und preiswerte Pakete, die unter anderem Antiviren-, Firewall- und Anti-Spam-Software sowie andere nützliche Technologien enthalten. Diese sollten auf „Auto-Update“ gesetzt werden, um sicherzustellen, dass die Programme ständig und automatisch auf den neuesten Stand gebracht werden.
  • Kreuz-Kontamination vermeiden: Mitarbeiter, die über ihre privaten Laptops oder Smartphones auf Unternehmenssysteme zugreifen, riskieren eine Kreuz-Kontamination. Wenn eigene Geräte für berufsbezogene Aktivitäten verwendet werden, sollte die Sicherheit dieser Geräte durch die Nutzung entsprechender Technologien sichergestellt sein.

Der Wert einer Fachkraft für Informationssicherheit sollte nicht unterschätzt werden. Die Kosten für die Einstellung eines Experten werden sich schnell amortisieren. Die Frage ist nämlich nicht ob, sondern wann eine Organisation zu einer Zielscheibe wird. Unabhängige Third-Party-Anbieter wie LRQA können bei der Entwicklung eines Konzeptes zur Sicherstellung der Netzsicherheit im gesamten Unternehmen unterstützen. Die weitverbreitetste Möglichkeit hierfür ist die ISO 27001-Zertifizierung. Als einzige auditierbare internationale Norm, die die Anforderungen eines ISMS spezifiziert, stellt die ISO 27001 die Einhaltung gesetzlicher, vertraglicher und regulatorischer Anforderungen sicher.

Unsere Webinar-Empfehlung
Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de