Cybersecurity Awareness Training ist der Schlüssel zu Sicherheit und Ausfallsicherheit, da immer mehr Mitarbeiter mit firmeneigenen Geräten zu Hause einkaufen.

Wesentliche Punkte:

  • Weihnachtseinkäufe stehen immer im Fokus von Cyberkriminellen, aber im Jahr 2020 ist das Risiko noch größer, weil mehr Menschen von zu Hause aus mit firmeneigenen Geräten arbeiten - und darauf persönliche Geschäfte abwickeln.
  • Viele Mitarbeiter - auch solche, die eine Schulung zum Thema Cybersicherheit erhalten haben - erkennen die Online-Risiken, verhalten sich aber dennoch riskant.
  • Unternehmen können ihre eigene Cyber-Resilience und die ihrer Mitarbeiter und Kunden erhöhen, indem sie einen strategischeren Ansatz für Cyber-Sicherheitsschulungen wählen.

Im Jahr 2020 werden "Black Friday"- und "Cyber Monday"-Einkäufe nicht nur an einzelnen Shoppingtagen stattfinden, sondern es wird eher zu einer "Black Friday"-Saison kommen, die sich durch den November und Dezember zieht. Da so viele Menschen von zu Hause aus arbeiten und sich aufgrund der COVID-19-Pandemie nicht in die Geschäfte wagen, wird ein Großteil dieser Einkäufe online und häufiger als je zuvor auf von Unternehmen ausgegebenen Geräten erledigt werden, was Unternehmen und ihre Kunden in Gefahr bringt. Mit offenen Augen und einer proaktiven Strategie, die Cybersicherheitstechnologie und Sensibilisierungstraining kombiniert, kann Ihr Unternehmen jedoch sicherer aus dem Jahr 2020 hervorgehen und besser auf das kommende Jahr vorbereitet sein. 

Die Weihnachtseinkaufssaison war schon immer ein Grund zur Sorge. Letztes Jahr veröffentlichte die Cybersecurity & Infrastructure Security Agency (CISA), der Risikoberater der US-Bundesregierung, im November eine Erklärung, in der sie davor warnte, dass "Cyber-Akteure E-Mails und E-Cards mit bösartigen Links oder Anhängen, die mit Malware infiziert sind, verschicken oder gefälschte E-Mails versenden können, in denen sie um Unterstützung für betrügerische Wohltätigkeitsorganisationen oder Zwecke bitten." [1]

Verdächtige Domain-Registrierungen nehmen im Vorfeld des Black Friday zu

Im Rahmen seiner regelmäßigen Sicherheitsforschung überwachte Mimecast 20 globale Top-Einzelhandelsmarken ab dem 26. Oktober 2020 und fand fast 14.000 kürzlich registrierte, verdächtige Domains, die mit diesen Einzelhandelsmarken in Verbindung stehen. Und die Neuregistrierungen gingen während des Beobachtungszeitraums weiter: An manchen Tagen sah Mimecast zwischen 53 und 87 verdächtige Domains, die an einem Tag für einen einzigen Einzelhändler registriert wurden.

Ein Beispiel für einen häufigen Exploit, der bei der Untersuchung aufgedeckt wurde, ist in der Abbildung unten zu sehen: eine Website, die versucht, die globale Sportmarke adidas® zu nutzen, um Kunden scheinbar auf eine E-Commerce-Website zu locken, die eine Vielzahl von Sportschuhen - vor allem Nike® - von nicht autorisierten Parteien verkauft, die nicht mit den eigentlichen Marken in Verbindung stehen. Neben Domains, die Kunden auf andere Marken umleiten, wurden bei der Untersuchung auch gefälschte Domains aufgedeckt, die wahrscheinlich von Cyberkriminellen und anderen nicht autorisierten Akteuren registriert wurden, um Benutzer zur Preisgabe von persönlichen und/oder Zahlungsinformationen zu verleiten, sowie Domains, die auf Pornoseiten umleiten.

Schwarzer Freitag.jpg

Was dieses Jahr anders ist, ist, dass mehr Menschen potenziell anfälliger für solche Kampagnen sein könnten. Pandemie-Müdigkeit, Angst vor Jobverlust, Sorgen um die Gesundheit von Angehörigen, die Verwaltung von Kindern, die ferngesteuert lernen, Traurigkeit über ein sehr unterschiedliches Weihnachtserlebnis - die Menschen sind gestresst und müde, was sie anfälliger dafür macht, Cyber-Angreifern mit rechtzeitigen Ködern zum Opfer zu fallen. Und so verstärken die Cyberkriminellen natürlich ihre Angriffe. Ebenfalls in der zweiten Oktoberhälfte verzeichnete das Mimecast Threat Intelligence Center einen dramatischen Anstieg der gemischten Cyberangriffe, einschließlich eines 30,3-prozentigen Anstiegs der E-Mail-Impersonationsversuche und eines 55,8-prozentigen Anstiegs der in E-Mails eingebetteten bösartigen URLs.G 

Firmengeräte & WFH: Ein schlechter Mix für Cyber Resilience

Da viele Mitarbeiter von zu Hause aus arbeiten und firmeneigene Geräte verwenden, ist die Grenze zwischen Arbeit und Privatleben unschärfer als je zuvor. Laut Matthew Gardiner, Principal Security Strategist bei Mimecast, nutzen Mitarbeiter diese Geräte sowohl für berufliche als auch für private Zwecke und wechseln mehrmals am Tag zwischen beruflichen und privaten Aufgaben hin und her (und wieder zurück).

Eine im September durchgeführte Umfrage unter mehr als 1.000 Geschäftsleuten aus der ganzen Welt ergab, dass 73 Prozent der Befragten unternehmenseigene Geräte ausgiebig für persönliche Geschäfte nutzen. Sechzig Prozent berichteten von einem Anstieg der persönlichen Nutzung solcher Geräte seit Beginn der COVID-19-Pandemie.

Am besorgniserregendsten, so Gardiner, ist, dass 23 % der Befragten angaben, dass sie Software für den privaten Gebrauch auf ihren Firmengeräten installieren. Natürlich gibt dies Anlass zur Sorge, dass Mitarbeiter versehentlich Malware installieren. Aber ebenso wichtig ist, dass es eine Lücke in den Sicherheitskontrollen offenbart - Mitarbeiter haben offenbar Admin-Rechte auf ihren Rechnern. Diese und andere Sicherheitslücken könnten sich aufgetan haben, als die IT-Abteilungen in diesem Frühjahr in aller Eile Geräte an Mitarbeiter ausgaben, von denen viele zuvor noch nie remote gearbeitet hatten.

Die Auswirkungen dieses Risikoverhaltens werden sich in der Urlaubszeit noch verstärken. Die Menschen sind während der Feiertage mehr online, was vor allem auf den starken Anstieg der Online-Shopping-Angebote zurückzuführen ist. Hinzu kommt die Tatsache, dass die Haupteinkaufszeit vor Ort einer verlängerten Online-Einkaufssaison weicht, vor allem, da wir eine zweite Welle von COVID-19-Fällen sowie staatlich verordnete Sperrungen und Einschränkungen erleben.   

"In diesem Jahr wird es weniger den Black Friday und mehr den Black November und den größten Teil des Dezembers geben - das verteilt das Risiko", sagte Jinan Budge, Principal Analyst im Dienste von Sicherheits- und Risikofachleuten bei Forrester. Budge sprach während des Webinars von Mimecast Don't Let Your Organization Get Phished this Holiday Season .

Die Komplexität von Cyberangriffen steigt, die Sicherheit der Mitarbeiter jedoch nicht

Die Urlaubsangebote werden zu einem großen Teil über persönliche E-Mails beworben, die laut der Mimecast-Studie die Nummer eins unter den Anwendungen sind, die Remote-Mitarbeiter auf unternehmenseigenen Geräten nutzen. Persönliche E-Mails stellen einen anfälligen Bedrohungsvektor dar, da sie nicht vollständig durch die Cybersicherheitsgruppe des Unternehmens geschützt sind und immer anfälliger werden, je raffinierter und zielgerichteter die Angreifer werden. 

Leider scheinen die Fähigkeiten der Endanwender nicht besser zu werden: Die Mimecast-Umfrage zeigt, dass 96 % der Befragten sich der Risiken im Zusammenhang mit verdächtigen E-Mails bewusst sind, aber 45 % gaben an, dass sie diese E-Mails trotzdem öffnen. Der Prozentsatz variierte je nach demografischen Faktoren der Befragten, Wohnsitzländern und Branchen. Darüber hinaus gab nur eine knappe Mehrheit der Befragten an, verdächtige E-Mails zu melden.

Es ist daher vielleicht überraschend, dass die Umfrage ergab, dass 64 % der Befragten eine Schulung zum Thema Cybersicherheit erhalten haben, die speziell auf WFH ausgerichtet war. Angesichts der Maßnahmen, die die Befragten ergreifen (oder nicht ergreifen), ignorieren sie entweder die Schulung, die sie erhalten haben, oder sie war von vornherein nicht sehr effektiv.

Cybersecurity Awareness Training muss eine Strategie sein

In der Tat muss Cybersecurity Awareness Training als Strategie und nicht nur als Software behandelt werden. Im Webinar wies Budge von Forrester darauf hin, dass Unternehmen weg vom "Ansprechen von Menschen" und hin zu etwas Engagierterem gehen sollten.

Sie merkte an, dass ihre eigene aktuelle Forschung die Bedeutung von "transformativen Bewusstseinsinitiativen" zeigt, die mehrere Designprinzipien beinhalten: 

  • Haben Sie den Mut, Humor und Spaß einzusetzen.
  • Verwenden Sie Mikro- und Nanolernen.
  • Beeinflussen Sie eine Verhaltensänderung, indem Sie das Publikum an dem Punkt anstupsen, an dem es ein riskantes Verhalten zeigt.
  • Nutzen Sie experimentelles Lernen und Gamification.
  • Verwenden Sie Geschichten und Analogien.
  • Machen Sie es persönlich und relevant.
  • Wiederholen Sie Meldungen häufig.
  • Verwenden Sie ansprechende, integrative Botschaften und Bilder.

Es ist auch wichtig zu erkennen, dass die Arbeit des Security Awareness Trainings niemals erledigt ist, bemerkt Bryn Donovan, Product Marketing Manager bei Mimecast. "Es ist kein "Set-it and forget-it"", sagt sie. 

Vielmehr sollten Unternehmen Sicherheitsschulungen als Teil eines Zyklus betrachten, in dem sie kontinuierlich Bedrohungen und Chancen analysieren und dann die Leistung ihres Programms auf der Grundlage dieser Analyse bewerten. Dazu gehört die Optimierung für branchenrelevante "Ereignisse" wie die Steuersaison und, ja, das Weihnachtsgeschäft, sowie das Testen des Sicherheitsverhaltens der Mitarbeiter anhand der heutigen Angriffsmethoden.

Natürlich ist ein Unternehmen nicht allein durch Schulungen zum Sicherheitsbewusstsein sicher. Solche Schulungen müssen in Abstimmung mit einer durchgängigen E-Mail-Sicherheitsstrategie implementiert und aufrechterhalten werden, die Multi-Vektor-Angriffe, Phishing, Business-E-Mail-Compromise (BEC), Insider-Bedrohungen und Marken-Impersonation bekämpft.

Was lässt sich daraus schließen?

Die Intensität und Langlebigkeit der Weihnachtseinkaufssaison, die Pandemie-Müdigkeit und die zunehmende Raffinesse von Cyberkriminellen sind eine schwierige Kombination, die die Cyber-Resilience von Unternehmen bedroht, wenn das Jahr 2020 zu Ende geht. Durch eine durchdachte, zielgerichtete und integrierte Herangehensweise an Security-Awareness-Schulungen - als eine Schicht im Gesamtsicherheitsprogramm - können Unternehmen sich selbst, ihre Kunden und ihre Mitarbeiter in Sicherheit bringen.

 

[1] "Urlaubs-Shopping, Phishing und Malware-Betrug, CISA 

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Cyberangriffe werden in der Zeit von COVID zielgerichteter

Die Pandemie hat das Geschäft und die W...

Die Pandemie hat die Geschäfts- und Arbeitsplatzdynamik verändert, und... Mehr lesen >

Sam Greengard

von Sam Greengard

Mitwirkender Verfasser

Veröffentlicht am 20. November, 2020

Amazon Prime Day: Primetime for Cybercriminals

Cyberkriminelle haben das ausgenutzt...

Cyberkriminelle nutzten die diesjährige Amazon Pr... Mehr lesen >

Matthew Gardiner

von Matthew Gardiner

Principal Security Strategist

Verfasst am 12. November 2020

It’s Marketing’s Job to Keep Brand-Loyal Customers Safe Online

Die Markensicherheitsstrategien von Marketingverantwortlichen sollten...

Die Markensicherheitsstrategien von Marketingverantwortlichen sollten erweitert werden, um ... Read More >

Alex Bender

by Alex Bender

Senior Vice President of Global Marketing

Verfasst am 7. Oktober 2020