Betrügern einen Schritt voraus: Smarte Cybersicherheit gegen Phishing
Das Transportwesen gehört zu den zehn Branchen, die am häufigsten von Datenschutzverletzungen betroffen sind. Wie Sie sich vorstellen können, ist dies für Werner Enterprises, eines der größten Transport- und Logistikunternehmen Nordamerikas, von großer Bedeutung und Wichtigkeit. Bei Werner EDGE – dem Innovationsbereich, den ich leite – ist es unsere Aufgabe, den Warenverkehr über hoch entwickelte und sichere Netzwerke aufrechtzuerhalten. Dazu gehört auch ein Cybersicherheitskonzept, das sich auf den Schutz unserer zahlreichen Mitarbeitenden erstrecken muss.
Zu diesem Zweck müssen wir beim Thema Phishing wachsam bleiben, denn Phishing ist die Hauptursache für die meisten Sicherheitsverletzungen. Bei drei von vier Sicherheitsverletzungen spielt der Faktor Mensch nach wie vor eine Rolle, obwohl Unternehmen zunehmend Schulungen zur Cybersicherheit anbieten. Mit einem einzigen Klick auf einen schädlichen Link kann eine Person ein ganzes Unternehmen in Gefahr bringen. So schätzt das FBI, dass die Übernahme von geschäftlichen E-Mail-Konten bisher einen Schaden von mehr als 50 Mrd. USD verursacht hat. Böswillige Akteure nutzen immer raffiniertere Methoden, um Unternehmen zu infiltrieren, und mithilfe von KI werden ihre Angriffe schneller und umfangreicher.
Mit anderen Worten: Das Phishing-Problem bleibt. Egal wie gut Ihre Netzwerkarchitektur und Ihre Sicherheitsvorkehrungen sind, es wird immer eine Schwachstelle geben, und das ist oft eine einzelne Person. Eine kleine Unachtsamkeit kann zu einer Katastrophe für das gesamte Unternehmen führen. Es wird daher immer deutlicher, dass wir unsere Sicherheitsausbildung gemeinsam überdenken müssen, um diese (menschliche) Verteidigungslinie zu stärken.
Bei Schulungen ist Zuckerbrot besser als Peitsche
Auf individueller Ebene geht es bei der Cybersicherheit darum, sich einige einfache Gewohnheiten anzueignen. Genauso wie man lernt, beim Überqueren einer Straße nach links und rechts zu schauen, muss es in Fleisch und Blut übergehen, eine E-Mail sorgfältig zu lesen und E-Mail-Adressen zu überprüfen, bevor man antwortet oder auf einen Link klickt. Bei Werner führen wir in der Regel sieben oder acht Sicherheitsschulungen pro Jahr durch, einschließlich einer jährlichen Pflichtschulung, die 45 bis 60 Minuten dauert. Sie ist relativ einfach und unkompliziert und deckt die Grundlagen ab. Darüber hinaus führen wir vierteljährliche Auffrischungsschulungen und Ad-hoc-Schulungen von 5 bis 7 Minuten durch, um alle Mitarbeitenden auf dem Laufenden zu halten, insbesondere wenn neue Bedrohungen auftauchen. Diese Schulungen sind ebenfalls obligatorisch.
Sicherheitsschulungen über das ganze Jahr zu verteilen ist aus mehreren Gründen eine Best Practice:
Aus Compliance-Perspektive verlangen Versicherungen kontinuierliche Schulungen.
Die Bedrohungslandschaft entwickelt sich dynamisch weiter. Böswillige Akteure finden immer neue Wege, um selbst den wachsamsten Nutzern zu entgehen, und die Beschäftigten müssen wissen, auf welche neuen Taktiken sie achten müssen.
Mit der Zeit neigen wir dazu, unsere Wachsamkeit zu vernachlässigen. Schulungen erinnern Sie daran, Phishing und andere Bedrohungen ernst zu nehmen.
Wir haben viele Best Practices in unser Schulungsprogramm aufgenommen, aber wir haben auch festgestellt, dass einige Methoden nicht gut funktionieren.
Die am wenigsten erfolgreiche Strategie war die Nachschulung. Wenn ein Kollege auf einen bekannten Phishing-Link klickt, können wir die ausgehende Kommunikation blockieren und feststellen, wer auf den schädlichen Inhalt reagiert hat. Dann geben wir der Person, die auf den Betrug hereingefallen ist, eine kurze Auffrischung darüber, was sie nicht tun sollte.
Aber wir haben festgestellt, dass dieselbe Person innerhalb weniger Wochen auf einen weiteren Phishing-Versuch hereinfällt. Ich schätze, dass fast 70 % derjenigen, die eine Nachschulung erhalten haben, auch später bei Phishing-Simulationstests durchgefallen sind.
Das Gespräch mit den „Wiederholungstätern“ eröffnete mir eine neue Perspektive: Einige empfanden die Nachschulung als Bestrafung. Andere wiederum wurden durch die Schulung nervöser bei grundlegenden Arbeitsaufgaben wie dem Lesen von E-Mails oder sogar dem Öffnen von Word-Dokumenten.
Auch wenn ständige Sensibilisierung ein wichtiges Mittel ist, um Betrügern einen Schritt voraus zu sein, bin ich zu dem Schluss gekommen, dass Strafen weniger wirksam sind. Jeder, der für die Cybersicherheit verantwortlich ist, muss attraktive Wege finden, um das Team motivieren, auf ihre Handlungen zu achten – und gleichzeitig ihre Zeit zu schätzen wissen.
Die beste Reaktion erhalten Sie mit dem Zuckerbrot, nicht mit der Peitsche.
Spielerisches Sicherheitstraining ist eine Möglichkeit, positive Verstärkung zu schaffen und Mitarbeitende für gutes Verhalten zu belohnen, z. B. für das Melden verdächtiger Nachrichten. Anreize wie Ranglisten, Geldprämien, Geschenkgutscheine oder Firmengeschenke können für vielbeschäftigte Kollegen ein greifbarer Grund sein, die Schulung zu absolvieren und mehr über neue Phishing-Bedrohungen zu erfahren.
Ständige Wachsamkeit durch vielschichtige Sicherheitsmaßnahmen
Bessere Schulungen sind nur eine Seite der Medaille. Irgendwann wird jemand unachtsam sein, und das Unternehmen muss bereit sein, sein Sicherheitsniveau kontinuierlich zu verbessern.
Menschliches Versagen und Unaufmerksamkeit sind zwei der größten Bedrohungen für die Sicherheit eines Unternehmens. Es ist unmöglich, diese Bedrohung vollständig zu beseitigen, aber die Technologie kann als Sicherheitsnetz genutzt werden, um das, was durchkommt, zu minimieren.
Ausgehend von einem Zero Trust Ansatz können Unternehmen auch präventive Tools wie Multi-Faktor-Identifikation (MFA) und präventive E-Mail-Sicherheit (z. B. optische Zeichenerkennung zum Scannen von Bildern) einsetzen, um die IT- und Sicherheitsabteilung zu entlasten.
Wichtig sind auch Sicherheitstools für Endpunkte. Mit ihnen kann ein kompromittiertes Gerät automatisch isoliert und aus dem Netzwerk entfernt werden. So wie Betrüger KI für ihre Angriffe nutzen, müssen Unternehmen KI integrieren, um Sicherheitsverletzungen schneller zu erkennen und darauf zu reagieren. Jedes Unternehmen, das diese Technologien nutzen kann, erhöht seine Chancen, Sicherheitsverletzungen zu verhindern.
Bei der Cybersicherheit geht es vor allem darum, alle Bereiche abzudecken. Werner führt regelmäßig Penetrationstests durch, unter anderem einen Red Team Test, bei dem wir ethische Hacker beauftragen, das Netzwerk von außen anzugreifen. Auf diese Weise können Sicherheitslücken aufgedeckt werden.
Unsere Red Teams testen auch die physische Sicherheit. Sie bewegen sich auf Parkplätzen und suchen nach unverschlossenen Autos mit Laptops, Rucksäcken oder Dokumenten auf dem Rücksitz. Sie betreten Gebäude, indem sie Personen folgen, die zum Betreten Magnetkarten durchziehen oder Ausweise scannen. Sie suchen nach unverschlossenen und unbeaufsichtigten Laptops und Smartphones und prüfen, ob es möglich ist, Dateien von diesen Geräten zu stehlen. Die Ergebnisse dieser Tests können ein Weckruf für Mitarbeiter sein, die sonst das Gefühl haben, mit Cybersicherheit nichts zu tun zu haben.
Jede IT-Führungskraft ist sich der finanziellen, betrieblichen und rufschädigenden Kosten einer Sicherheitsverletzung bewusst und weiß, dass an der Sicherheitstechnologie nicht gespart werden darf. Die Herausforderung besteht darin, auch alle anderen im Unternehmen für die Bedrohungen zu sensibilisieren.
Phishing mit allen verfügbaren Lösungen bekämpfen
Mir geht es vor allem um Handeln, um Dringlichkeit und darum, die Dinge einfach zu halten. Um wettbewerbsfähig zu bleiben, müssen Unternehmen mit den IT-Innovationen Schritt halten, aber wir können nicht so schnell voranschreiten, dass wir die Sicherheitsgrundlagen vernachlässigen. Durch die Optimierung aller Aspekte des Betriebs, der Systeme und der Infrastruktur werden nicht nur menschliche Fehler reduziert, sondern auch die Kapital- und Betriebskosten gesenkt, sodass mehr Mittel und Ressourcen für die Cybersicherheit bereitgestellt werden können – die so robust sein sollte, wie es Ihr Budget erlaubt.
Phishing verursacht Kosten in Millionenhöhe und kann die Produktion stören, Dienstleistungen unterbrechen, Kunden abschrecken und Firmen in den Ruin treiben. Wenn ein Unternehmen versucht, an der Cybersicherheit zu „sparen“ oder Mitarbeiterschulungen zu kürzen, riskiert es seine Existenz. Integrieren Sie stattdessen Sicherheit fest in Ihre Betriebsabläufe und Ihre Firmenkultur, damit Ihre Beschäftigten und Ihr Unternehmen eine Chance gegen böswillige Akteure haben. Die Stabilität und Sicherheit unserer Unternehmen erfordert dies.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Autor
Daragh Mahon – @daraghmahon
EVP und CIO, Werner Enterprises
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Betrieb und Kultur sind integraler Bestandteil der Sicherheit
Wie Sie Training, Penetrationstests und Lösungen in Einklang bringen, um Angriffen einen Schritt voraus zu sein
Verwandte Ressourcen: