Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Diese Cybersecurity-Fehler Ihrer Mitarbeiter könnten Sie Millionen kosten
Sicher kennen Sie das: Wir wollen uns oder anderen die Arbeit erleichtern, verfolgen die besten Absichten, machen aber einen Fehler. Oder wir sind unter Druck, müssen Aufgaben erledigen und Deadlines einhalten – und machen Fehler. Ärgerlich, aber meist nicht weiter schlimm. Im Bereich der Cybersicherheit ist das aber leider völlig anders. Hier können vermeintlich kleine Fehler gravierende Folgen haben.
Stellen Sie sich beispielsweise vor, ein Mitarbeiter überlässt seinen Firmenlaptop zuhause einem Familienmitglied. Das gelangt auf eine gefälschte Shop-Webseite und installiert arglos eine Malware, die sich später in Ihrem Netzwerk ausbreitet. Plötzlich hat sich ein kleiner Fehler in einen millionenschweren Albtraum für Ihr Unternehmen verwandelt.
Das ist nicht nur ein hypothetisches Szenario. Studien zeigen, dass die übergroße Mehrheit aller Cybersecurity-Vorfälle mindestens zum Teil auf menschliche Fehler zurückzuführen ist. Dem Data Breach Investigations Report 2024 von Verizon zufolge war das 2023 bei 68 Prozent aller Vorfälle mit Datenkompromittierung (meist erfolgreichen Angriffen) der Fall. Angesichts der schnelllebigen Trends im Security-Umfeld ist dieser Wert übrigens bemerkenswert stabil – manches ist eben doch nur schwer zu ändern (siehe Abbildung).
Welche menschlichen Fehler beeinträchtigen die IT-Sicherheit?
Um zu verstehen, wie Fehler die Sicherheit gefährden, müssen wir zunächst klären, welche Fehler überhaupt gemeint sind. Der Verizon-Report zählt in seinen knapp 70 Prozent in erster Linie Vorfälle mit, bei denen Social Engineering im Spiel war, Geräte verloren oder gestohlen wurden oder Personen (Admins oder Benutzer) diverse Fehler aus Unachtsamkeit machten, z. B. bei Adressierung von Datenübertragungen oder der Konfiguration. Absichtlicher Missbrauch von Zugangsrechten durch Insider zählt nicht dazu; inwiefern auch etwa Fehler einbezogen wurden, die den Missbrauch von Zugangsdaten erleichtern, wird nicht ganz klar.
Ohnehin dürfte es die Vielfalt möglicher sicherheitsrelevanter Fehler erschweren, ihren Anteil genau zu beziffern. So kam der bis heute viel zitierte „IBM Security Services 2014 Cyber Security Intelligence Index“ zu dem Ergebnis, dass bei über 95 Prozent aller Cybersecurity-Vorfälle menschliche Fehler beteiligt waren, darunter Fehlkonfigurationen von Systemen, schlechtes Patch-Management, die Verwendung von Standard-Zugangsdaten oder leicht zu erratenden Passwörtern, verlorene Laptops oder Mobilgeräte, die Weitergabe von vertraulichen Informationen durch die Verwendung der falschen E-Mail-Adresse und – am häufigsten – der Klick auf einen infizierten Anhang oder eine unsichere URL.
Dass Menschen Fehler machen, ändert sich wohl nie. Ob diese nun 70 oder 90 Prozent Anteil an IT-Vorfällen haben, ist letztlich irrelevant – es bleibt eine Einsicht: Trotz aller hochmodernen Sicherheitstechnologien und strenger Protokolle öffnen unbeabsichtigte Fehltritte wohlmeinender Mitarbeiter oft die Tür zur Katastrophe.
Die Kosten sicherheitsrelevanter Fehler
Katastrophe? Sicher eine Übertreibung? Leider nicht. Die Auswirkungen sicherheitsrelevanter Fehler sind gravierend, und im Gegensatz zur menschlichen Natur ändern sie sich: Die Kosten erfolgreicher Angriffe steigen ständig. Dem Cost of a Data Breach Report 2024 von IBM zufolge betrugen die weltweiten Durchschnittskosten dafür im letzten Jahr 4,88 Mio. US-Dollar – ein Anstieg von 10 Prozent gegenüber dem Vorjahr und der höchste jemals verzeichnete Wert. In Deutschland lagen die Kosten noch höher: durchschnittlich 5,3 Mio. USD. Das ist nicht nur ein finanzieller Schlag, sondern ein potenziell geschäftsgefährdendes Ereignis. Die höchsten Kosten hatten Unternehmen aus dem Gesundheitswesen zu tragen, mit einigem Abstand gefolgt von den Bereichen Finanzdienstleistungen, Industrie, Technologie und Energie. Die ermittelten Werte umfassen direkte und indirekte Kosten u. a. für forensische Aktivitäten, Krisenmanagement, externe Experten, Bußgelder und die Unterstützung und Wiedergutmachung für Betroffene. Ein weiterer Kostenfaktor sind die wirtschaftlichen Kosten durch Geschäftsunterbrechungen und Umsatzverluste aufgrund von Systemausfällen, den Verlust von Kunden oder Rufschädigung. 70 Prozent der geschädigten Unternehmen gaben an, dass Sicherheitsverletzungen bei ihnen erhebliche oder sehr erhebliche Geschäftsunterbrechungen verursacht hat.
Fünf häufige Cybersecurity-Fehltritte von Mitarbeitern
Um die Sicherheitsrelevanz menschlicher Fehler besser zu verstehen, wollen wir fünf der häufigsten Fehler bei der Cybersicherheit betrachten, die von Ihren Mitarbeitern regelmäßig begangen werden.
1. Erlauben von unberechtigtem Gerätezugriff
Der User Risk Security Report von Proofpoint zeigt, dass die Hälfte der dort befragten berufstätigen Erwachsenen Freunden und Familienmitgliedern erlaubt, ihre Arbeitsgeräte zu Hause zu nutzen. Das klingt zunächst harmlos. Aber diese Angehörigen könnten auf sensible Unternehmensdaten stoßen oder unwissentlich auf unsichere Websites und Anwendungen zugreifen. Und wenn der unbefugte Benutzer Malware auf den Firmenrechner lädt, können Cyberkriminelle Zugangsdaten stehlen und Zugriff auf Unternehmensdaten, Cloud-Anwendungen und andere Ressourcen erhalten. So öffnet ein kleiner Gefallen die Büchse der Pandora und schafft zahlreiche Sicherheitsrisiken – von Datenschutzverletzungen, Diebstahl von geistigem Eigentum und Rufschädigung bis hin zu Ransomware-Angriffen.
Um diesem Risiko zu begegnen, sollten Sie strenge Sicherheitskontrollen wie Passwortschutz und Zwei-Faktor-Authentifizierung einführen und Ihren Mitarbeitern unmissverständlich klarmachen, wie wichtig die Integrität ihrer Geräte ist. Eine einmalige Sicherheitsschulung beim Onboarding reicht nicht aus. Führen Sie stattdessen einen umfassenden Managementplan für die Informationssicherheit ein, der für alle Mitarbeiter klare Regeln vorgibt, und ermutigen Sie Ihre Teamleiter, in ihren Teams Disziplin in Sachen Cybersicherheit durchzusetzen.
2. Falsche Übermittlung von sensiblen Informationen
Stellen Sie sich vor, jemand aus Ihrem Team schickt versehentlich eine E-Mail mit vertraulichen Daten an den falschen Empfänger. Das passiert häufiger, als man denkt. Im oben zitierten Verizon Data Breach Investigations Report 2024 waren bei einem Viertel aller Datenverletzungen einfache Unachtsamkeiten im Spiel – und über die Hälfte dieser Unachtsamkeiten waren falsche Übermittlungen.
Um solche Verwechslungen zu vermeiden, sollten Sie die Verschlüsselung sensibler E-Mails vorschreiben, Pop-up-Erinnerungen zur doppelten Überprüfung von Adressen einführen und Lösungen zur Vermeidung von Datenverlusten einsetzen, die als Sicherheitsnetz dienen.
Übrigens sind bei den genannten Unachtsamkeiten Klicks auf Phishing-Mails u. a. Social-Engineering-Vorfälle nicht mitgezählt – die bilden eine eigene und mit 29 Prozent Anteil noch relevantere Rubrik.
3. Wiederverwendung von Passwörtern
Auch wenn Sie über wirksame Richtlinien für sichere Passwörter verfügen, öffnen Ihre Mitarbeiter Cyberkriminellen Tür und Tor, wenn sie diese auf weniger sicheren persönlichen Geräten, Websites und Anwendungen wiederverwenden. Auch das ist sehr verbreitet; laut User Risk Report von ProofPoint gaben 45 Prozent der Befragten zu, für mehrere Konten dasselbe Passwort zu benutzen.
Landet ein solches Passwort doch einmal im Darknet, sind auch alle anderen Konten akut gefährdet. Es gibt zwar keine 100%ig sichere Methode, um Endbenutzer davon abzuhalten, diesen Fehler zu begehen. Aber Lösungen wie Specops Password Policy können Ihnen zumindest dabei helfen zu erkennen, ob ihre Passwörter kompromittiert wurden. Die Lösung gleicht Ihr Active Directory kontinuierlich mit einer Datenbank ab, die mehr als 4 Milliarden kompromittierte Passwörter enthält, und weist die Benutzer darauf hin, ihre Passwörter zu ändern, wenn sie ein riskantes Passwort verwenden.
4. Unzureichender Schutz privilegierter Konten
Denken Sie daran, dass auch Ihre IT-Mitarbeiter nur Menschen sind. Auch sie gehen vielleicht Risiken ein, von denen sie eigentlich wissen, dass sie das nicht tun sollten. Zum Beispiel müssen sich gerade IT-Administratoren meist diverse Passwörter merken und wählen deshalb für ihr privilegiertes Admin-Konto womöglich ein zu unsicheres Passwort. Auch ist es verlockend, ein privilegiertes Konto auch für anderes zu nutzen als das, wofür es eigentlich bestimmt ist, also IT-Verwaltungsaufgaben. Siegt die Neugierde, schaut er sich vielleicht vertrauliche Daten an; siegt die Bequemlichkeit, nutzt er sein privilegiertes Konto auch dann, wenn er nur alltägliche IT-Aufgaben erledigt, und erspart sich das ständige Hin- und Herwechseln zwischen seinem Admin- und seinem Benutzerkonto.
So ist das Risiko groß, dass kritische Daten oder Konten mit weitreichenden Rechten kompromittiert werden. Diese Gefahr steigt noch, wenn für solche Konten Standard-Zugangsdaten verwendet werden oder sich verschiedene Personen einen Zugang teilen.
Auch für dieses Problem gibt es keine absolut sichere Lösung. Ein wichtiger erster Schritt sind separate Benutzerkonten mit eingeschränkten Rechten für die tägliche Arbeit, wobei Verwaltungsbefugnisse nur für kritische Aufgaben reserviert sind. Setzen Sie das Prinzip minimaler Zugriffsrechte (Principle of Least Privilege, PoLP) um und stellen Sie sicher, dass Ihre Mitarbeiter nur auf die Ressourcen und Berechtigungen zugreifen können, die für die Erfüllung ihrer spezifischen Aufgaben erforderlich sind. Überprüfen Sie regelmäßig die Benutzerrechte und entziehen Sie umgehend unnötige Privilegien. Legen Sie klare Regeln für administrative Zugriffe fest, schulen Sie Ihre Admins entsprechend und erwägen Sie die Nutzung von Tools, die solche Zugriffe protokollieren und überwachen können.
5. Offenlegung von Remote-Schnittstellen
Vergleichbares gilt für Schnittstellen für den Fernzugriff. Die zunehmende Remote-Arbeit mit Netzwerkzugriff vom Homeoffice oder von unterwegs bringt eine Reihe neuer Herausforderungen mit sich und auch IT-Teams müssen häufiger Fernverwaltungsaufgaben durchführen. Aber denken Sie daran, dass jede Freigabe von Verwaltungsschnittstellen auch neue Möglichkeiten für Fehler oder Missbrauch bedeutet. Um Fernzugriffe zu ermöglichen, ohne gleich jedem Ihre virtuelle Haustür zu öffnen, müssen Sie selektiv vorgehen, was Sie online freigeben. Außerdem können Sie durch den Einsatz automatisierter Wartungslösungen Schwachstellen und Risiken minimieren.
Fazit: Cybersecurity ist ein Mannschaftssport
In Bezug auf die IT-Sicherheit sind Menschen die größte Schwachstelle eines Unternehmens, wird gern gesagt. Das sollte man positiver formulieren: Wer die Bedürfnisse, Kenntnisse und Fähigkeiten seiner Mitarbeiter berücksichtigt, kann die Sicherheit seines Unternehmens erheblich stärken. Das zeigt auch der IBM Cost of a Data Breach Report 24: Als wichtigster Faktor zur Senkung der Folgekosten entpuppten sich Mitarbeiterschulungen (siehe Abbildung).
Letztendlich ist die Cybersicherheit ein Mannschaftssport. Unabhängig davon, wie robust Ihre technischen Schutzmaßnahmen sind, sind Ihre Mitarbeiter oft die erste Verteidigungslinie. Wenn Sie die häufigsten Fallstricke kennen und intelligente Richtlinien und Schulungen einführen, können Sie Ihre Mitarbeiter im Kampf gegen Cyberbedrohungen von einer Schwachstelle in einen Aktivposten verwandeln. Denn angesichts der Allgegenwärtigkeit und potenziellen Kosten solcher Bedrohungen ist tatsächlich Vorbeugen sehr viel besser als Heilen.
Möchten Sie wissen, wie viele offene Risiken in Ihrem Active Directory lauern könnten? Führen Sie einen Read-Only-Scan mit unserem kostenlosen Auditing-Tool durch und erhalten Sie einen exportierbaren Bericht über Ihre passwortbezogenen Schwachstellen.
Autor
Micha Richter
Dr. Michael Richter ist seit 20+ Jahren Leiter Text der B2B-Content-Marketing-Agentur ucm. Er schreibt zu IT-Themen für diverse Branchen, darunter Public Services, Medizin/Pharma und Maschinenbau, mit besonderem Fokus auf Sicherheit (Security & Safety), Cloud und Automatisierung.
(Zuletzt aktualisiert am 26/08/2024)