Gefahr aus dem Inneren: Studie belegt massive IT-Sicherheitsprobleme durch Mitarbeiter
von Sebastian Rüter
Wenn von Cyberkriminalität und Sicherheitsproblemen in der IT die Rede ist, sind die Verursacher schnell benannt. Organisierte Cyberkriminelle, gelangweilte Nachwuchs-Hacker oder staatlich beauftragte Datenspione stehen im Fokus der Aufmerksamkeit, wenn Ransomware-Angriffe ganze Netzwerke lahmlegen oder das E-Mail-Postfach mal wieder mit Phishing-Mails bombardiert wird. Eine aktuelle Studie der Sicherheitsexperten von Kaspersky zeigt jedoch, dass von unerwarteter Seite eine viel größere Gefahr für die Cybersicherheit droht. Mehr als ein Drittel aller Cybervorfälle der vergangenen zwei Jahre ließen sich in Deutschland auf das Fehlverhalten der eigenen Mitarbeiter im Unternehmen zurückführen! Auch wenn die meisten der Vorfälle auf reine Nachlässigkeit zurückzuführen sind, zeigt die Umfrage leider auch, dass ein nicht unbedeutender Teil der Verstöße bewusst durch IT-Fachpersonal begangen wurde. Welche Gefahren aus dem Inneren für Unternehmen drohen, erfahren Sie in diesem Beitrag.
Mitarbeiter verursachen mehr Sicherheitsvorfälle als Hacker
Deutsche Unternehmen müssen sich 2023 noch häufiger als in den Jahren zuvor mit Cyberangriffen auf ihre IT-Infrastrukturen auseinandersetzen. Die Cyberangriffe richten sich dabei längst nicht mehr nur gegen große, finanzstarke Unternehmen – ganz im Gegenteil. Der aktuelle Trend geht zu Angriffen auf kleine und mittlere Unternehmen und den öffentlichen Sektor. Dabei stellen Hacker nicht einmal die größte Gefahr für die IT-Sicherheit dar, denn ein Großteil aller Sicherheitsvorfälle geht auf einen Faktor zurück, den kaum jemand auf dem Schirm hat: die eigenen Mitarbeiter.
Wie eine aktuelle Studie von Kaspersky nun enthüllt, gehen nur rund 27 % aller Cybersecurity-Vorfälle in Deutschland auf das Konto von Cyberkriminellen. Viel häufiger, nämlich in mehr als einem Drittel aller Fälle, ist das Fehlverhalten der eigenen Mitarbeiter der Auslöser. Wie die Kaspersky-Studie belegt, stehen die meisten Sicherheitsvorfälle im direkten Zusammenhang mit nachlässigem Verhalten. Allerdings, und das ist das erschreckende, wurden auch 15 % der Verstöße bewusst begangen – und zwar durch das unternehmenseigene IT-Sicherheitspersonal. Auch IT-Sicherheitsbeauftragte schrecken nicht vor Cyberangriffen auf ihren Arbeitgeber zurück. Ganze 8 % der Vorfälle wurden durch die Mitarbeiter begangen, deren Aufgabe eigentlich die Abwehr von Cyberkriminalität sein sollte!
Nahezu jeder dritte Sicherheitsvorfall – konkret rund 30 % – „in den eigenen Reihen“ beruht auf der unüberlegten Reaktion von Mitarbeitern auf Phishing-Attacken. Die gefälschten E-Mails oder Kurznachrichten sind von ungeübten Personen nur schwer zu erkennen, entsprechend häufig werden die Links in den Nachrichten und Mails angeklickt – und die Falle der Cyberangreifer schnappt zu. Weitere interne Schwachstellen sind die Verwendung nicht aktualisierter System- oder Anwendungssoftware, der nicht autorisierte Besuch unsicherer Websites am Arbeitsplatz und der Klassiker: die Verwendung schwacher oder nicht regelmäßig geänderter Passwörter.
Auffällig ist auch die immer noch viel zu häufige Verwendung von sogenannter Schatten-Software oder nicht autorisierten Geräten, beispielsweise privaten Smartphones im Netzwerk eines Unternehmens. In 21 % aller deutschen Unternehmen kam es zu Sicherheitsvorfällen, weil Mitarbeiter trotz striktem Verbot ihre privaten Geräte für den Austausch von Daten nutzen. In gleicher Höhe sind private E-Mail-Adressen für Cybersicherheitsvorfälle verantwortlich. Was für die Mitarbeiter bequem ist, stellt für die Sicherheit ein riesiges Problem dar. Denn gerade Schattengeräte öffnen Lücken in der Cyberabwehr, die von den Security-Teams nur schwer oder gar nicht überwacht werden können – eine Einladung für jeden Cyberkriminellen, sich unter dem Radar in das Unternehmens-Netzwerk einzuschleusen.
Im Finanzsektor besonders verbreitet: Eigene Mitarbeiter handeln in böser Absicht
Während sich die bisher genannten Sicherheitsverletzungen auf Nachlässigkeit oder Unwissenheit zurückführen lassen, sieht es bei mutwilligem Fehlverhalten anders aus. Bei 17 % der Vorfälle in Deutschland haben Mitarbeiter in böser Absicht gehandelt – entweder zu ihrem eigenen (finanziellen) Vorteil oder um ihrem Arbeitgeber zu schaden. Die Kaspersky-Studie hat herausgefunden, dass diese Form der internen Cyberangriffe besonders im Finanzsektor verbreitet ist. Weltweit kam es in 34 % aller Unternehmen im Finanzsektor zu absichtlichen Verstößen gegen Sicherheitsrichtlinien durch eigene Mitarbeiter.
Mit starker Sicherheitskultur gegen Sicherheitsverletzungen
Je besser die eigenen Mitarbeiter über die Gefahren im Bereich der Cybersicherheit informiert sind, desto geringer die Wahrscheinlichkeit von unbewusstem Fehlverhalten. Mit regelmäßigen Schulungen und Workshops – beispielsweise dem Cyber Defense Training Center von Allgeier Secion – werden alle Mitarbeiter in die Sicherheitskultur eines Unternehmens mit einbezogen. Wer weiß, dass die Verwendung des privaten Mobiltelefons im Unternehmens-WLAN ein hohes Sicherheitsrisiko darstellt, wird auf diese vermeintlich bequeme Option verzichten.
Zusätzlich darf kein Unternehmen und keine Organisation auf einen zuverlässigen Schutz der eigenen IT-Infrastruktur verzichten. Denn wie die aktuelle Studie zeigt, stellen nicht nur Cyberkriminelle, sondern leider auch die eigenen Mitarbeiter durch böswilliges Verhalten ein hohes Risiko dar. Der Schutz muss dabei rund um die Uhr und an 365 Tagen im Jahr aufrechterhalten werden – und durch proaktive Überwachung aller Endpoints innerhalb eines Netzwerks verstärkt werden. Mit Lösungen wie dem Allgeier Secion Managed Detection and Response profitieren Unternehmen von einem hohen Schutzniveau ohne eigenem SIEM oder SOC.
Gerne informieren wir Sie in einem persönlichen Gespräch zu den Möglichkeiten, die wir Ihnen im Bereich der Cybersecurity ermöglichen. Nehmen Sie gerne jederzeit mit uns Kontakt auf – wir freuen uns bereits darauf, bald auch Ihnen die zahlreichen Vorteile unserer Security-Services im Detail vorstellen zu dürfen!