aufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi risikoanalyse zawas kontrollpflicht auftragsverarbeitung awareness awarenesskampagnen

Cyber Security und Awareness-Kampagnen

/von

Was meinen Sie: Wo liegen eigentlich die größten Risiken für Hackerangriffe im Unternehmen? In den IT-Systemen und Netzwerken oder eher vor dem Bildschirm? Es gibt hierzu verschiedene Statistiken mit unterschiedlichen Ergebnissen. Gemein ist jedoch all diesen Statistiken, dass der menschliche Faktor nicht zu unterschätzen ist. So ist die Mehrheit der erfolgreichen Attacken auf Unachtsamkeiten der Beschäftigten zurückzuführen. Tatsache ist auch, dass die Bedrohungslage insgesamt nach wie vor sehr hoch ist, wie sich aus dem wie sich aus dem „Bundeslagebild Cybercrime 2024“ des BKA entnehmen lässt.

Im Endeffekt ist es vielleicht auch gar nicht so wichtig, die Verteilung der Risiken hinsichtlich „Schwächen im IT-System“ und „menschliches Versagen“ genauer zu bestimmen. Beides sind erhebliche Bedrohungen und sollten somit ernst genommen werden. Das heißt, die ergriffenen Maßnahmen sollten sich sowohl auf die Härtung der IT-Systeme als auch auf die Schulung und Sensibilisierung der Beschäftigten konzentrieren. Manchmal ist es auch gar nicht so einfach, festzustellen, wo denn genau der Fehler lag. Nehmen wir mal das Beispiel, dass ein*e Beschäftigte*r auf den Link einer Phishing-E-Mail klickt und anschließend irgendwelche Zugangsdaten auf einer gefälschten Webseite eingibt. Wo lag denn nun die Ursache für den erfolgreichen Angriff?

Darin, dass der Link angeklickt wurde oder daran, dass die IT-Sicherheitssysteme den Link nicht vorab geprüft haben und die Phishing-Mail erst gar nicht in das Postfach zugestellt haben?

War es der Fehler der*s Beschäftigte*n, die Zugangsdaten eingegeben zu haben oder war es leichtsinnig, den hierdurch kompromittierten Zugang nicht über eine Zwei-Faktor-Authentifizierung oder die Verwendung eines Passkeys abgesichert zu haben?

Man sieht an diesem Beispiel gut, dass es nicht die eine perfekte Lösung gibt, sondern dass Unternehmen oder Behörden nur dann wirksam gegen Bedrohungen geschützt sind, wenn Sie mit unterschiedlichen und breit gestreuten Maßnahmen auf die unterschiedlichen Bedrohungsszenarien reagieren.

In diesem Artikel wollen wir uns insbesondere den möglichen Awareness-Maßnahmen, also der Sensibilisierung der Beschäftigten, widmen.

Phishing-Kampagnen per E-Mail

Häufig werden hier recht einfallslose Phishing-Kampagnen per E-Mail durchgeführt, indem ein Unternehmen damit beauftragt wird, einfach mal eine solche Kampagne durchzuführen. Eindeutige Ziele werden nicht definiert. Über Besonderheiten des Unternehmens wird sich vorab nicht ausgetauscht. Dementsprechend erfolgen viele dieser Kampagnen recht allgemein und unspezifisch. Irgendwann hat sich dann unter den Beschäftigten herumgesprochen, dass da ab und zu mal E-Mails kommen, bei denen irgendein unbekannter Dritter, von dem man noch nie gehört hat, unbedingt möchte, dass man aus dringenden „Sicherheitsgründen“ einen Link klickt. Alle wiegen sich also in Sicherheit, weil die Kampagnen kaum noch für „Klicks“ sorgen.

Kommt aber irgendwann die echte Phishing-E-Mail, dann haben sich die Angreifer*innen in vielen Fällen sehr gut vorbereitet. Sie kennen die Namen der Entscheider, wissen, wie E-Mail-Adressen im Unternehmen gebildet werden (z.B. ) und fälschen dann die Absenderadresse der Geschäftsführung und weisen die Buchhaltung an, eine Zahlung durchzuführen. Wenn solche echten Attacken also so viel besser und raffinierter sind als die zuvor durchgeführten Phishing-Attacken zur Verbesserung der Awareness, dann werden sie leider auch häufig zum Ziel führen. Wichtig ist also, dass solche Kampagnen zielgerichtet und individuell auf das Unternehmen oder die Behörde abgestimmt erfolgen. Sie dürfen in der Qualität den „echten“ Attacken in nichts nachstehen.

Schon mal von Vishing gehört?

Vishing steht für Voice-Phishing.

Hierbei ist das Ziel, ein Telefonat mit Beschäftigten des angegriffenen Unternehmens zu führen. Dies kann durch einen Anruf direkt bei der Zielperson erfolgen, durch den Versand einer E-Mail mit der Bitte um Rückruf oder über einen Anruf bei der Zentrale, ebenfalls mit der Bitte um Rückruf durch die Zielperson. Die Angreifer*innen machen sich hierbei den Umstand zunutze, dass man, anders als bei Erhalt einer E-Mail, bei der man sich zur Bearbeitung gegebenenfalls Zeit nehmen kann und auch noch mal Kolleg*innen um Rat fragen kann, in einem Gespräch unter Druck gesetzt fühlt, sofort zu reagieren. Gute Awareness-Kampagnen sollten also auch solche Szenarien berücksichtigen. Und auch hier gilt: Bitte keinen Einheitsbrei!

Ein Anruf à la „Hallo, Sie haben eine Sicherheitslücke, ich müsste mal dringend auf Ihren PC.“ wird heutzutage (zum Glück) vermutlich nicht mehr sehr häufig erfolgreich sein und ist so auffällig, dass es in der Regel auch nicht zur Steigerung der Sensibilität der Beschäftigten beitragen wird.

Gute Angreifer*innen würden sich vorab beim Unternehmen informieren, wüssten, welche Personen welche Entscheidungen treffen dürfen und kennen gegebenenfalls auch bestimmte Dienstleister. Ein Anruf eine*r vermeintlichen Mitarbeiter*in des beauftragten Wirtschaftsprüfers mit der Bitte um Zusendung noch fehlender Unterlagen wird da schon deutlich häufiger zum Erfolg führen können. Eine gute Vishing-Kampagne sollte demnach genau so aufgesetzt sein und im Vorfeld gut geplant sein.

„Lassen Sie mich durch, ich bin Arzt!“

Teilweise werden sehr hohe Summen in die IT-Sicherheit investiert und teure Zutrittskontrollsysteme installiert. Dennoch schaffen es Angreifer*innen dann doch, direkt Zutritt zu erhalten. Möchte man den menschlichen Faktor bei der Sicherheit bestmöglich minimieren, dann gehören auch Kampagnen dazu, bei denen jemand versucht, sich physisch Zutritt zu dem Unternehmen zu verschaffen.

Sie glauben gar nicht, wie einfach es ist, selbst Unternehmen, die eigentlich über eine sehr gute Zutrittskontrolle, beispielsweise über die Verwendung von Besucherausweisen oder die Implementierung von Vereinzelungsanlagen, verfügen, zu betreten, wenn man nur den richtigen Overall trägt mit dem Firmenlogo der beauftragten Reinigungs- oder IT-Wartungsfirma. Vielfach wird man nur aufgrund dessen, an allen Sicherheitseinrichtungen vorbei, durchgewunken und bekommt noch den netten Hinweis: „Sie kennen sich ja aus und wissen, wo Sie hin müssen.“

Eine gute Awareness-Kampagne setzt genau hier an. Und zwar nicht so plump wie in der Überschrift zu diesem Kapitel, sondern auch hier mit Spezialwissen zum Unternehmen. Es ist für Angreifer*innen ein Leichtes, ein Unternehmen einige Tage zu beobachten, um herauszufinden, welche Dienstleister dort häufig ein- und ausgehen. Auf gleichem Niveau muss solch eine Kampagne aufgesetzt werden.

Ist das zulässig?

Naja, wie so häufig gilt auch hier: es kommt darauf an. Wichtig ist, dass mit dem Auftraggeber klar vereinbart wird, wie die Kampagne gestaltet ist und an welchen Punkt abgebrochen wird. Schließlich greift man, genau wie echte Angreifer*innen, die Systeme an und versucht an Informationen heranzukommen oder das Gebäude zu betreten. Es ist also wichtig, dass man im Falle des Falles, also beispielsweise, wenn man beim Versuch, die Zutrittskontrolle zu überwinden, vom Sicherheitsdienst aufgegriffen wird, nachweisen kann, dass man sich exakt im schriftlich festgelegten Aufgabenbereich bewegt hat. Soll bei der Phishing-E-Mail nur überprüft werden, ob der Link geklickt wird? Soll versucht werden, Zugangsdaten zu erlangen? Oder soll gar eine Kommunikation mit der Person geführt werden, um weitere Unternehmensangaben in Erfahrung zu bringen?

Während der gesamten Kampagne sollte vermieden werden, dass personenbezogene Daten übermittelt werden. Regelmäßige Leser unserer Artikel werden sofort wissen, was das bedeutet und welche Fragen dann insbesondere zu stellen wären:

  • Werden die Empfänger*innen in den Datenschutzhinweisen genannt?
  • Wird überhaupt in den Datenschutzhinweisen über diese Art der Verarbeitung informiert?
  • Wurde über den Zweck informiert?
  • Gibt es überhaupt eine gültige Rechtsgrundlage?

Alles Fragestellungen, die sich nur schwer und im Einzelfall beantworten lassen. Also: Lieber Finger weg, von den personenbezogenen Daten, sofern dies möglich ist.

Unsere Leistungen

Wir bieten unseren Kunden mit unseren Kooperationspartnern die Durchführung solcher qualifizierter Awareness-Kampagnen an. Hierbei legen wir großen Wert darauf, die oben angesprochenen Punkte umzusetzen. Die Durchführung jeder Kampagne wird individuell mit unseren Kunden abgestimmt. Übliche Abbruchpunkte sind

  • bei Phishing-E-Mails die Eingaben von Zugangsdaten,
  • bei telefonischen Anrufen, der Zugang zum Rechner (zum Beispiel per TeamViewer),
  • bei Überwindung der Zutrittskontrolle der Zutritt zu einem bestimmten Unternehmensbereich.

Sprechen Sie uns an! Gerne planen wir die für Sie passende und individuell auf Ihr Unternehmen zugeschnittene Awareness-Kampagnen und setzen diese für Sie um.