Das alte Sprichwort "eine Kette ist nur so stark wie ihr schwächstes Glied" wird in der Cybersicherheit regelmäßig bemüht, denn es kann treffender nicht sein. Vor allem, wenn man es auf Unternehmensmitarbeiter bezieht, jenen Kettengliedern, die Angreifer unerbittlich nach Schwachstellen absuchen, wenn sie in Unternehmensnetzwerke eindringen wollen. Leider hat die Pandemie und die seither praktizierte Fernarbeit, die Gefährdung der IT-Sicherheit durch Insider-Bedrohungen noch vergrößert.

Weitere Artikel mit dem Themenschwerpunkt: Sicherheit am hybriden Arbeitsplatz
IT‑Sicherheit am hybriden Arbeitsplatz
Zero Trust Security für den hybriden Arbeitsplatz
Warum hybrides Arbeiten auf Cloud‑Sicherheit aufbaut

Da das hybride Arbeiten in vielen Unternehmen zukünftig zur Normalität werden wird, können die Sicherheitsrisiken durch Insider-Bedrohungen nicht länger ignoriert werden.

Das Ausmaß der Bedrohung

Obwohl das Problem durch böswillige Insider, also Mitarbeiter, größer wird, gibt es immer noch weitaus mehr Sicherheitsprobleme durch fahrlässige oder unvorsichtige Mitarbeiter, die Links anklicken, Passwörter festlegen, IT-Systeme konfigurieren oder Software programmieren. Menschen neigen einfach von Natur aus zu Fehlern und können durch Social Engineering-Techniken manipuliert werden. Deshalb stellen sie ein Haupt-Cyber-Risiko für Unternehmen und dementsprechend eine große Chance für die Bedrohungsakteure dar. Würde es nicht zu menschlichen Fehlern kommen, dann würde die Cybersicherheitsbranche heute keinen geschätzten Umsatz von 156 Milliarden US-Dollar machen.

Wie wirken sich menschliche Fehler auf IT-Sicherheitsrisiken aus? Einige Statistiken dazu sind besonders interessant:

  • Nach Angaben von Verizon waren im vergangenen Jahr 85% der Sicherheitsverletzungen auf Menschen zurückzuführen
  • Fast 19% der Verstöße wurden durch sogenannte "sonstige Fehler" verursacht
  • Rund 35% der Verstöße erfolgten durch Social Engineering
  • Phishing-Angriffe nahmen von 2020 bis 2021 um 11% zu
  • Fast 2 Milliarden US-Dollar gingen letztes Jahr allein durch BEC-Angriffe (Business Email Compromise) verloren, mit denen Mitarbeiter dazu gebracht werden, Firmengelder an Betrüger zu überweisen
  • Auch abhanden gekommene Geräte stellen eine große Bedrohung dar. Allein den britischen Regierungsbehörden gingen im Jahr 2020 über 1.000 Geräte verloren oder wurden gestohlen

Und wie  groß sind die finanziellen Auswirkungen solcher Sicherheitsvorfälle durch menschliche Fehler? Das ist umstritten. Einer Schätzung zufolge, kostete ein Insider-Vorfall Konzerne im Jahr 2019 durchschnittlich 11,5 Millionen US-Dollar, was einem Anstieg von 31% im Vergleich zu 2017 entspricht.

Angriffsvektor Homeoffice

Durch die Pandemie haben sich neue Möglichkeiten ergeben, um Mitarbeiter ins Visier zu nehmen. Fast über Nacht wechselten Unternehmen von zentralisierten IT-Systemen, die mit den bewährten Richtlinien, Verfahren und Technologien gesichert sind, zu einer verteilten Belegschaft im Homeoffice. Die Mitarbeiter nutzten dort nicht nur potenziell unsichere Heimnetzwerke und -geräte, sondern waren auch stärker durch ihr Privatleben, insbesondere die Kinderbetreuung, abgelenkt. Selbst diejenigen, die es nicht waren, waren isolierter und von Kollegen und IT-Mitarbeitern abgeschnitten, die bei der Überprüfung verdächtiger E-Mails schnell helfen konnten.

Auch Stress spielte potenziell eine wichtige Rolle und erhöhte das Insider-Risiko. Laut eines ESET-Berichts, der im vergangenen Jahr in Zusammenarbeit mit dem auf Wirtschaftspsychologie spezialisierten Unternehmen The Myers-Briggs Company erstellt wurde, waren 47% der Befragten etwas oder sehr besorgt hinsichtlich ihrer Stressresilienz. Gestresste Mitarbeiter neigen eher dazu in Panik geraten und auf einen bösartigen Link klicken oder versäumen es, der IT-Abteilung einen potenziellen Verstoß zu melden, warnte der Bericht. Lange Arbeitszeiten können einen ähnlichen Effekt haben. Offizielle Daten des britischen Office of National Statistics ergaben, dass Heimarbeiter im Jahr 2020 im Durchschnitt fünf Stunden länger am Schreibtisch saßen als ihre Kollegen im Büro.

Der ESET-Bericht enthielt weitere besorgniserregende Ergebnisse:

  • CISOs meldeten einen 63%igen Anstieg von Cybercrime-Vorfällen seit Beginn des Lockdowns
  • Obwohl 80% der Befragten über eine Strategie zum Thema Fernarbeit verfügten, betrachtete nur ein Viertel diese als effektiv
  • Rund 80 % der befragten Unternehmen betrachteten das erhöhte Cyber-Sicherheits-Risiko durch menschliche Faktoren als Herausforderung

Neben Phishing gibt es weitere Bedrohungen für hybrides Arbeiten, darunter:

  • RDP-Hijacking, ein Angriffsvektor, der zunehmend von Ransomware-Akteuren genutzt wird. Erleichtert wird dies durch schwache oder gestohlene Anmeldeinformationen
  • Ungepatchte Systeme (z. B. VPNs, Laptops)
  • WiFi- und/oder Smart-Home-Geräte ohne sicheres Passwort
  • Verwendung gemeinsam genutzter Geräte, mittels derer Mitbewohner oder Kinder von Mitarbeitern riskante Websites besuchen und unwissentlich potenziell bösartige Software herunterladen

Wie man den hybriden Arbeitsplatz sichert

Mit der teilweisen Rückkehr ins Büro werden hoffentlich einige dieser Sicherheitsherausforderungen schwinden. Weniger Stress und Isolation können sich positiv auf Maßnahmen zur Risikominderung auswirken. Doch es besteht auch die Gefahr, dass die Mitarbeiter schlechte Gewohnheiten, die sie während der Krise gelernt haben, zurück an den Arbeitsplatz bringen – vielleicht zusammen mit Malware, die sich auf ihren Geräten eingenistet hat. Der regelmäßige Transport von Laptops zwischen Homeoffice und dem Büro könnte auch zu einem erhöhten Risiko von verlorenen oder gestohlenen Geräten führen.

Es gibt jedoch einige Maßnahmen, die Sicherheitsteams ergreifen können, um die mit dem neuen hybriden Arbeitsplatz verbundenen Risiken zu minimieren. Dazu gehören:

  • Verpflichtende Verwendung der Multi-Faktor-Authentifizierung (MFA) für alle Konten und Geräte
  • Richtlinien, die automatische Updates für alle Geräte vorschreiben
  • Sichere Passwörter für alle zu Hause genutzten Geräte, einschließlich des Routers
  • Psychometrische Tests, zur Veranschaulichung menschlicher Schwächen und Fehlerquellen. Diese Informationen könnten zur Entwicklung besserer Sicherheitsprotokolle und individuellerer und effektiverer Sicherheitstrainings genutzt werden, um
  • Strenge Überprüfung von Lieferanten und deren Befugnissen zur Eindämmung von Insider-Bedrohungen
  • Tools zum Schutz vor Datenverlust
  • Netzwerksegmentierung
  • Einschränkung der Zugriffsrechte nach dem Prinzip der geringsten Privilegien
  • Anwendung von Zero-Trust-Ansätzen zur Begrenzung des Gefahrenpotenzials durch Insider-Vorfälle
  • Änderung der Arbeitskultur, um Fernarbeiter im Homeoffice vor Burn-out zu schützen

Beim Management von Insider-Risiken geht es vor allem darum, das schwächste Glied der Sicherheitskette, den Menschen, vor einer Gefährdung zu schützen. Nutzt man bewährte Sicherheitsrichtlinien und -Prozesse zusammen mit der richtigen Technologie, besteht Hoffnung für einen sichereren hybriden Arbeitsplatz.