Autor: Jelle Wieringa, Security Awareness Advocate bei KnowBe4
Wir alle kennen es, wenn am Ende eines jeden Jahres ein Blick auf das geworfen wird, was in der Vergangenheit passiert ist. Virtuell müssen wir uns wohl alle daran gewöhnen, dass die Gefahren in der digitalen Welt zunehmen. Das zeigt besonders das aktuelle Bundeslagebild Cybercrime 2019 des Bundeskriminalamtes auf.
Hier einige, aber natürlich nicht alle, bedeutenden Vorfälle, welche dem Bericht zu entnehmen sind:
- Kunden verschiedenster Banken wurden Opfer von SIM-Swapping
- Ransomware LockerGaga befällt internationalen Industriekonzern NorskHydro
- Malware Winnti spionierte lange Zeit DAX-Konzerne aus
- Emotet trifft Finanzämter
- Deutsches Rotes Kreuz von Ransomware getroffen
- Ransomware GermanWiper gibt Daten auch nach Zahlung von Lösegeld nicht frei
Diese und weitere Vorfälle geben einen kleinen Einblick darin, wozu Cyberkriminelle im Stande und was ihre Ziele sind. Längst geht es darum, Staaten und große Unternehmen zu schwächen. Die Trends liegen auf der Hand:
- Die Professionalität der Angriffe steigt und es existiert globale Arbeitsteilung der Kriminellen
- Kriminelle Wertschöpfungsketten schaffen Raum für „Crime-as-a-Service“
- ID-Theft (Diebstahl digitaler Identitäten) nimmt zu
- Ca. 114 Millionen neue Malware-Varianten in 2019; die Entwicklung ähnelt einem globalen Konzern
Besonders kritisch ist, dass Phishing – und damit der Mensch – weiterhin das größte Einfallstor ist. „Die wichtigsten Schutzmechanismen gegen Cybercrime sind weiterhin sensible Internetnutzer“, so steht es im Report des BKA. Ebenfalls unterstützt wird diese Aussage durch beispielsweise die Zahlen des Data Breach Investigations Report 2020 von Verizon der zeigt, dass Phishing bei 22 Prozent der Cyber-Attacken auf Unternehmen beteiligt war.
Fazit
Dieser Bericht ist ein weiterer Anhaltspunkt dafür, dass sich Unternehmen noch besser schützen müssen. Das ist jedoch nicht immer nur durch technologische Wettläufe gegen Cyberkriminelle möglich. Vielmehr gilt es, dass größte Einfallstor, den Menschen, auf die Gefahren wie Phishing und Social Engineering vorzubereiten. Die Angreifer werden schließlich immer den Weg des geringsten Widerstandes wählen – besonders wenn dieser so viel Erfolg verspricht.
Unternehmen können ihre Mitarbeiter, Kunden und letztlich auch sich selbst schützen. Um sich gegen solche Attacken zu wappnen, sollten Unternehmen in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei bösartige E-Mails und Webinhalte zu erkennen. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr eines Angriffs.