Sicherheitslücke Personal – Bei wenig Schulung ein großes Risiko
Haben Sie schon einmal auf einen Link geklickt, um sich bei einem Gewinnspiel anzumelden? Oder ein vermeintliches Paket kommt bald an, jedoch haben Sie gar nichts bestellt? Da wird zum Nachsehen schnell auf den beigefügten Link geklickt! Dies kann schnell dazu führen, dass sich Angreifer in Ihrem System ausbreiten.
Über die Gefahren bei der Verwendung von Privatgeräten in Ihrer Firma haben wir Sie bereits hier aufgeklärt.
In diesem Beitrag zeigen wir Ihnen Sicherheitsrisiken auf, die darüber hinaus durch mangelnde Schulung und Unwissenheit Ihrer Mitarbeitenden auftreten können.
Ändern Sie und Ihre Mitarbeiter regelmäßig Ihre Passwörter?
Sichere und komplexe Passwörter sind die halbe Miete. Doch mit der Zeit lässt sich ein Passwort immer einfacher erraten oder kann durch ein Datenleck an die Öffentlichkeit geraten. Vor allem, wenn das gleiche Passwort für mehrere Konten verwendet wird. Eine regelmäßige Änderung Ihrer Passwörter ist also unerlässlich. Falls Sie auf Nummer sicher gehen möchten, bieten die meisten Anmeldeverfahren eine zweistufige Authentifizierung an. Meist wird bei einer solchen Authentifizierung eine unabhängige Anfrage an ein zweites Gerät gesendet, welches zum Beispiel das eigene Smartphone sein kann. Ohne den Bestätigungscode kann die Anmeldung nicht durchgeführt werden. So kann ein unautorisierter Zugriff auf das Konto verhindert werden, selbst wenn das Passwort bekannt ist.
USB-Stick gefunden? – Wieso Sie diesen lieber liegen lassen sollten!
Eine einfache Situation: Ein Mitarbeiter findet vor dem Eingang der Firma einen USB-Stick. Kurzerhand mitgenommen und morgens nach dem Kaffee erst einmal in den Laptop der Firma einstecken. Es könnten ja spannende Inhalte zu finden sein. Schon ist der Angreifer nicht nur auf einem Gerät, sondern im gesamten Firmennetzwerk.
Noch nicht passiert? Eine kurze Google Suche findet etliche solcher Fälle mit einem entstandenen Schaden, der ohne Zweifel in die Abermillionen geht. Sieben amerikanische Wissenschaftler haben 2016 eine Studie darüber verfasst. Rund um eine Universität wurden 297 USB-Sticks verteilt. Diese enthielten unter anderem eine HTML-Datei, welche beim Öffnen auf eine Webseite mit einer Umfrage weitergeleitet wurde. So konnte festgestellt werden, dass bei fast der Hälfte der USB-Sticks die Datei geöffnet wurde. Eine besonders erschreckende Erkenntnis war die Angabe einiger Nutzer: 68% hatten in der Befragung angegeben, dass Sie nicht Ihren privaten Rechner, sondern bewusst einen PC der Universität verwendet haben, falls der USB Stick Schadsoftware enthalten hätte.
Die Studie können Sie hier nachlesen: https://zakird.com/papers/usb.pdf
Was in diesem kleinen Experiment eine harmlose Weiterleitung auf eine Internetseite enthielt, kann natürlich auch einen Trojaner enthalten, der schon beim Einstecken des USB-Sticks gestartet werden kann. Schon öffnet sich dem Angreifer Tür und Tor.
Ein Link in einer E-Mail? Was soll da schon passieren?
Wir haben alle schon einmal eine suspekte E-Mail bekommen. Beispielsweise von einem Versandhaus, dass Ihre Zahlung fehlgeschlagen ist oder eine vermeintliche Meldung, dass Ihr Paket beim Zoll gelandet ist?
Vielleicht hat Sie verwundert, dass Sie nur mit Ihrer E-Mail-Adresse und nicht mit Ihrem Namen angesprochen werden. In der Regel ist praktischerweise ein Link in der E-Mail enthalten, mit dem Sie das Problem scheinbar einfach beheben können oder sich dann auf der Internetseite direkt in Ihrem Konto anmelden können. Falls Sie in so einem Fall Ihre Anmeldedaten angeben, werden diese automatisiert gespeichert und stehen dem Angreifer zur Verfügung. Angreifer geben sich immer mehr Mühe, die gefälschten Internetseiten so originalgetreu wie möglich nachzubauen.
Es geht aber noch einfacher: In manchen Fällen reicht sogar das Öffnen der E-Mail. Schon wird versteckt eine Datei heruntergeladen, welche sich heimlich auf Ihrem Rechner installiert und dem Absender vollen Zugriff zum Gerät und damit auch auf sensible Daten verschafft.
Durch regelmäßige Schulungen können Sie erreichen, dass Sie und Ihre Mitarbeitenden potentielle Gefahren erkennen und somit Ihr Unternehmen vor Cyberkriminellen schützen.
Wir stehen hinter Ihnen und können Ihnen umfassendste Sicherheitsmaßnahmen anbieten, um Ihr Unternehmen bestens zu schützen
Unsere Dienstleistungen umfassen nicht nur das regelmäßige Prüfen Ihrer Systeme auf Updates, um das Schließen von Sicherheitslücken voranzutreiben. Unser Portfolio umfasst auch die Prüfung Ihrer Mitarbeitenden mit Test-Phishing Mails oder auch ein Security Awareness Training, in denen Bespiele und Szenarien dargestellt werden und die Mitarbeiter somit geschult werden, Phishing Mails zu erkennen oder auch unbekannte USB-Sticks nicht zu verwenden.
