In­for­ma­ti­ons­si­cher­heits­vor­fall: Mit­ar­bei­ten­de als Er­folgs­fak­tor

Welche Angriffe sind am gefährlichsten?

Am gefährlichsten sind Phishing-Angriffe, weil hochprofessionell organisierte Cyberkriminelle gezielt den Menschen als schwächstes Glied der Informationssicherheit manipulieren und so technische Schutzmaßnahmen umgehen.

Die organisierte Cyberkriminalität ist heute ein milliardenschweres Geschäft – und die einzelnen Gruppierungen und Akteure lassen sich in ihrer straffen Organisation durchaus mit herkömmlichen Unternehmen vergleichen: Sie handeln höchst professionell und streben nach operativer Effizienz, um möglichst profitabel zu agieren.

Bösartige Akteure konzentrieren sich dabei meist auf das schwächste Glied in der Kette eines Sicherheitskonzeptes: auf den Menschen. Daher ist es von entscheidender Bedeutung, dass Mitarbeiter ihren Stellenwert als Erfolgsfaktor für die Informationssicherheit kennen.

Denn zu den effizientesten Angriffsmethoden gehört nach wie vor das Phishing, weil sich die Angreifer dafür gar nicht erst mit der hochkomplexen, technischen Sicherheits-Architektur der Unternehmen auseinandersetzen müssen: Viel mehr versuchen sie ganz einfach, die Mitarbeitenden so zu manipulieren, dass diese die Kriminellen nichtsahnend ins Firmennetzwert hereinlassen.

Informationssicherheit: Viel mehr als nur IT

Erfahren Sie in diesem Video, wie internationale Standards Ihr Unternehmen dabei unterstützen, Informationssicherheit systematisch aufzubauen und nachhaltig zu stärken.

Informationssicherheitsvorfall: Welche Einfallstore sind am gefährlichsten?

Besonders kritisch sind öffentlich zugängliche Informationen wie Unternehmenswebsites und E-Mail-Adressen, da sie Phishing-Angreifern gezielt die personenbezogenen Daten liefern, mit denen sie Mitarbeiter effektiv manipulieren können.

Während ein Hacker bei einem technischen Angriff zunächst blind agiert und an seinem PC nach dem Prinzip „Trial & Error“ bekannte Schwachstellen abklopfen oder per Brute Force zehntausende von Passwörtern durchprobieren muss, sucht er beim Phishing von Anfang an gezielt nach Informationen und personenbezogenen Daten. Dazu gehören:

• E-Mail-Adressen eines Unternehmens
• Namen der IT-Mitarbeiter
• E-Mail-Signaturen
• Informationen über die Corporate Identity (CI)
• Themen, die für die Mitarbeiter interessant sind

Als erste Anlaufstelle dient ihm meist die Unternehmenswebsite, die bereits nützliche Informationen zur CI und interessanten Themen liefert. Vor allem aber halten Hacker Ausschau nach E-Mail-Adressen und Ansprechpartnern für die IT. Denn die Phishing-Mail soll später an möglichst viele Mitarbeiter verschickt werden. Nicht jedoch an die IT-Fachkräfte, denen die eine gefälschte Mail möglicherweise am schnellsten auffällt.

Warum sind E-Mail-Adressen gefährlich für Phishing-Attacken?

E-Mail-Adressen sind so gefährlich, weil Angreifer aus wenigen öffentlich verfügbaren Informationen systematisch vollständige Verteiler, täuschend echte Absender und perfekt nachgebaute Phishing-Mails samt Login-Seiten erstellen können, mit denen sie Mitarbeiter zur Preisgabe ihrer Zugangsdaten verleiten.

Schon anhand der ersten E-Mail-Adressen, die er findet, kann ein Hacker in der Regel den zugrundeliegenden Aufbau ableiten – zum Beispiel „[email protected]“. So kann er aus jedem Mitarbeiternamen auf die zugehörige E-Mail-Adresse schließen.

Anschließend bieten die sozialen Medien – insbesondere Business-Portale wie XING oder LinkedIn – eine hervorragende Möglichkeit, umfangreiche Mitarbeiterlisten zusammenzutragen und mithilfe des identifizierten Musters die zugehörigen Adressen abzuleiten.

Parallel dazu erstellt der Angreifer auch eine Blacklist aller Mitarbeiter, die über einschlägige Berufserfahrungen oder IT-Interessen verfügen. Diese Mitarbeiter werden keine gefälschte Mail erhalten.

Das trojanische Pferd wird gesattelt

Nachdem der Hacker seine Angriffsziele ausgewählt hat, fehlt nur noch etwas Feintuning, um möglichst echt wirkende E-Mails zu verschicken. Dafür kann ein Hacker beispielsweise direkt und über offizielle Wege mit dem Unternehmen in Kontakt treten, indem er sich als Kunde ausgibt und um ein Angebot bittet. Die Antwort – die im besten Fall sogar noch ein angehängtes Dokument mit dem Produktportfolio enthält – liefert ihm viele wertvolle Informationen, wie etwa:

• Wie sieht die E-Mail-Signatur aus?
• Welche Schriftarten werden verwendet?
• An welcher Stelle werden Logos in Dokumenten platziert?
• Wie sehen Überschriften aus?
• Welche farblichen Akzente werden gesetzt?

Mit diesen Informationen lässt sich eine täuschend echte Phishing-Mail nachbauen. Zu guter Letzt fehlt nur noch eine passende, vertrauenswürdige Absender-Mailadresse. Das kann eine Adresse sein, die einfach eine andere Endung hat wie zum Beispiel „.com“ statt „.de“. Besonders findige Hacker greifen auch auf Buchstaben verschiedener Alphabete zurück. So ist das kleine „L“ für die Empfänger praktisch nicht vom griechischen Buchstaben „Iota“ zu unterscheiden. Der Kreativität sind hier keine Grenzen gesetzt.

Täuschungsmanöver: der gefälschte Login-Bereich

Nachdem der Hacker also täuschend echt aussehende Mails erstellen kann und über eine zumindest auf den ersten Blick vertrauenswürdige Absender-Adresse verfügt, versucht er, die echten Zugangsdaten der Mitarbeiter abzugreifen. Hierfür baut er eine gefälschte Login-Seite im Corporate Design des Unternehmens und entwirft ein einfaches, aber realistisches Szenario, um die Mitarbeiter dazu zu bringen, sich dort zu authentifizieren – also ihre Firmen-Zugangsdaten einzugeben. Nachfolgend zwei einfache Beispiele:

1.    Der Hacker gibt sich als IT-Admin aus und schreibt eine Rundmail an die Belegschaft, in der er auf ein neues Video-Portal für Remote-Meetings aufmerksam macht. Dort sollen sich doch bitte einmal alle Mitarbeiter authentifizieren, um zu prüfen, ob die bestehenden Kontakte übernommen wurden.

2.    Die Cyberkriminellen geben sich als Assistenz der Geschäftsführung aus und erklären, das Unternehmen habe ein neues Programm für Mitarbeiter-Benefits auf die Beine gestellt. Um von den Rabatten und Aktionen zu profitieren, müssen sich die Angestellten lediglich im verlinkten Portal authentifizieren.

In der Folge landen unzählige Nutzernamen und Passwörter im Klartext beim Angreifer, der sich damit Zugang zum Firmennetzwerk und den dort liegenden Daten verschafft. Von der Eskalation der Zugriffsrechte bis zur Verschlüsselung von Systemen und Datensätzen kann er nun alles daransetzen, größtmöglichen Schaden anzurichten oder Lösegeld zu erpressen.

Die Komplexität von Passwörtern ist bei dieser Angriffsmethode übrigens irrelevant – und auch viele Zwei-Faktor-Lösungen können mit geringem Mehraufwand „gephisht“ werden.

Welche Rolle spielen Mitarbeitende für wirksame Informationssicherheit?

Mitarbeitende sind entscheidend für wirksame Informationssicherheit, weil Social-Engineering-Angriffe keine Technik, sondern Menschen angreifen und nur sensibilisierte, geschulte Beschäftigte Phishing und ähnliche Täuschungsversuche zuverlässig erkennen und abwehren können.

Es ist wichtig zu verstehen, dass der beschriebene Angriff rein technisch betrachtet keine Attacke auf die IT-Systeme eines Unternehmens darstellt. Stattdessen betreiben die Hacker Social Engineering – sie nutzen öffentlich verfügbare Informationen, um Mitarbeitende zur unbewussten Offenlegung sensibler Daten (in diesem Fall: ihrer Zugangsdaten) zu bewegen. Folglich greifen auch keine technischen Schutzmaßnahmen.

Der einzig zuverlässige Schutz vor dieser Art von Informationssicherheitsvorfällen ist es, wenn Mitarbeitende solche Angriffe erkennen und zu verhindern wissen. Dafür muss das Team zunächst im Rahmen systematischer Security Awareness Trainings für das Thema sensibilisiert werden. Das Schulungskonzept sollte dabei ein möglichst breites Spektrum von Themen abdecken – von grundlegenden Informationen zur Informationssicherheit über den sicheren Umgang mit IT-Systemen und Daten bis hin zur Aufklärung über Gefahren und zum richtigen Verhalten bei sicherheitsrelevanten Ereignissen.

Das A und O lautet also: Unternehmen müssen ihre Mitarbeitenden für Angriffe sensibilisieren. So werden diese von der potenziellen Schwachstelle zum besten Schutz gegen Social Engineering und Phishing.

Warum sind Mitarbeitende ein Bestandteil der Norm?

Die Einbindung von Mitarbeitenden ist ein zentraler Bestandteil der internationalen Norm ISO 27001. Die Norm fordert, das Sicherheitsbewusstsein systematisch zu stärken, um menschliche Schwachstellen zu minimieren und Social-Engineering-Angriffe wirksam zu verhindern.

Unternehmen sollten ihr Security-Standing also regelmäßig auf den Prüfstand stellen und Awareness fest im Sicherheitskonzept verankern. Dieser Ansatz ist ein Kernelement der anerkannten Norm für Informationssicherheits-Managementsysteme (ISMS), insbesondere über Control 6.3 "Informationssicherheitsbewusstsein-, ausbildung und -schulung" aus Anhang A.

In der aktuellen Normversion finden sich die Anforderungen zum Thema „Awareness“ im Normkapitel 7.3 "Bewusstsein".

ISO 27001 fordert beispielsweise, das Bewusstsein und somit die Sensibilisierung des schwächsten Gliedes der Kette zu gewährleisten, wie mit Informationen Ihres Unternehmens umzugehen ist. Und das fängt bei etwas Einfachem wie einer E-Mail-Adresse an.

Auch weitere behördliche oder gesetzliche Regelungen, wie zum Beispiel die DS-GVO, zielen auf den präventiven Ansatz einer Vorfallsvermeidung ab.

Control 6.3: Informationssicherheitsbewusstsein, -ausbildung und -schulung

Die Informationssicherheitsmaßnahme 6.3 wird im Leitfaden ISO/IEC 27002:2022 näher erläutert. Sie fordert, dass Mitarbeitende und relevante interessierte Parteien über ein angemessenes Bewusstsein für Informationssicherheit in ihrem jeweiligen beruflichen Tätigkeitsbereich verfügen. Zudem sind sie verpflichtet, die entsprechenden Anforderungen im Arbeitsalltag einzuhalten. Der Arbeitgeber stellt dies unter anderem durch geeignete Schulungs- und Ausbildungsangebote sicher.

Die Sensibilisierung durch Aus- und Weiterbildung sollte regelmäßig erfolgen – zum Beispiel nach Änderungen in der Informationssicherheitspolitik einer Organisation, nach Aktualisierungen von themenspezifischen Richtlinien und Verfahren oder auch nach Positionswechseln von Mitarbeitenden, die mit wesentlichen Veränderungen der Sicherheitsanforderungen einhergehen.

Damit sich das Personal seiner Verantwortung bewusst wird, gilt es, ein Sensibilisierungsprogramm zu entwickeln, welches die Mitarbeiter über geeignete physische und virtuelle Kanäle erreicht, etwa per Informationsveranstaltungen, Broschüren, E-Mails oder E-Learning-Module. Es sollte generelle Aspekte enthalten, wie:

• Verpflichtung der Leitung zur Informationssicherheit der gesamten Organisation
• Vertrautheit mit geltenden Vorschriften und Verpflichtungen und deren Einhaltung unter Berücksichtigung der individuellen Gegebenheiten
• Persönliche Verantwortung für eigene Handlungen und Unterlassungen
• Grundsätzliche Verfahren zur Informationssicherheit (z.B. Meldung von Vorfällen) und grundlegenden Sicherheitsmaßnahmen (z.B. Kennwortsicherheit)
• Anlaufstellen und Ressourcen für zusätzliche Informationen und Empfehlungen zur Informationssicherheit

Hinsichtlich der Aus- und Weiterbildung adressiert Control 6.3 vor allem technische Teams, deren Aufgaben besondere Fähigkeiten und Fachkenntnisse erfordern – und verlangt die Ausarbeitung und Umsetzung eines geeigneten Schulungsplans. Dafür können Unternehmen verschiedene Formen der Wissensvermittlung und -aktualisierung in Betracht ziehen, etwa Lehrveranstaltungen, Selbststudium oder die Teilnahme an Konferenzen oder Veranstaltungen.

Der entscheidende Punkt der Awareness-Bemühungen von Organisationen ist laut ISO 27001, dass das Personal das Ziel der Informationssicherheit und die möglichen positiven und negativen Auswirkungen seines Verhaltens auf die Organisation versteht.

Das schwächste Glied in der Kette stärken

Auch wenn Control 6.3 im Kontext eines ganzheitlichen ISMS nur einen kleinen Teil der Informationssicherheitsmaßnahmen abbildet, stellt es vor dem Hintergrund der zahlreichen und zunehmenden Phishing-Attacken dennoch einen bedeutenden Baustein für die Informationssicherheit dar. Wie eingangs bereits erwähnt, helfen die besten technischen Schutzmaßnahmen nur bedingt, wenn sich Hacker über das schwächste Glied in der Kette Zugang zum Netzwerk verschaffen.

Wer das Sicherheitsbewusstsein der eigenen Belegschaft schärft, mindert nachhaltig das Risiko von Social-Engineering-Angriffen und erleichtert die Nachbearbeitung eines Sicherheitsvorfalls – zum Beispiel, weil Mitarbeiter mögliche Angriffe erkennen und verantwortungsbewusst melden. Security Awareness stärkt also das schwächste Glied in der Kette und ist damit ein tragender Eckpfeiler einer holistischen Informationssicherheitsstrategie.

Informationssicherheitsvorfall – ein Fazit  

ISMS als Schlüssel zum Erfolg

Zusammenfassend ist ein Informationssicherheits-Managementsystem (ISMS) ein unverzichtbares Werkzeug für den Schutz sensibler Daten in unserer zunehmend vernetzten Welt. Es bietet einen strukturierten Ansatz zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und unterstützt Unternehmen, gesetzliche Vorgaben zu erfüllen. Durch die Implementierung dieses Managementsystems können Organisationen Sicherheitsrisiken identifizieren, bewerten und handhaben, wodurch das Vertrauen von Kunden, Partnern und anderen Interessengruppen gestärkt wird.

Die Zertifizierung nach international anerkannten Standards wie ISO 27001 liefert einen klaren Nachweis für ein robustes ISMS und bietet einen erheblichen Wettbewerbsvorteil. Für Unternehmen jeder Größe und Branche, die mit sensiblen Informationen arbeiten, ist ein ISMS nicht nur sinnvoll, sondern entscheidend für den nachhaltigen Geschäftserfolg und die Erfüllung regulatorischer Anforderungen.

DQS – Was wir für Sie tun können

Die DQS ist Ihr Spezialist für Audits und Zertifizierungen – für Managementsysteme und Prozesse. Mit der Erfahrung aus 40 Jahren und dem Know-how von über 2.500 Auditoren weltweit sind wir Ihr kompetenter Zertifizierungspartner.

Wir auditieren nach rund 200 anerkannten Normen und Regelwerken sowie nach firmen- und verbandsspezifischen Standards. Unsere Akkreditierung für BS 7799-2, dem Vorläufer von ISO 27001, erhielten wir als erste deutsche Zertifizierungsstelle im Dezember 2000. Diese Expertise ist noch heute Ausdruck unserer weltweiten Erfolgsgeschichte.

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an den Autor haben, senden Sie uns gerne eine E-Mail: [email protected].

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.