kurz notiert

Sichere E-Mail ist Dauerbrenner

Im beruflichen Kontext haben E-Mails die klassischen Kommunikationsmittel Telefon und Fax schon lange abgelöst. Dieser Umstand macht die E-Mail zu einem attraktiven Angriffsziel für Cyberkriminelle: Erst kürzlich wurde die sogenannte Efail-Schwachstelle bekannt, die verschlüsselte Mails für Unbefugte lesbar machte. Viele Unternehmen werden seit geraumer Zeit mit E-Mails angeblicher Bewerberinnen und Bewerber überhäuft, in deren Anhänge sich statt Lebenslauf und Motivationsschreiben verschiedene Schadsoftware-Varianten befinden.

Mit dem 24. Cyber-Sicherheits-Tag hatte die Allianz für CyberSicherheit in Kooperation mit der secion GmbH und der Handelskammer Hamburg dieser Entwicklung daher Rechnung getragen und eine Veranstaltung zur Sicherheit von E-Mails ausgerichtet. Unter dem Motto „Lass dir nichts anhängen! – Sichere E-Mail-Kommunikation im Unternehmen“ trafen sich am 11. September 2018 mehr als 180 Unternehmensvertreterinnen und -vertreter in Hamburg. Experten aus verschiedenen Institutionen, unter anderem auch dem BSI, referierten über die aktuellen Entwicklungen beim Umgang mit der elektronischen Post. Dabei standen sowohl gegenwärtige Angriffsmethoden und Sicherheitslücken als auch Schutz maßnahmen – zum Beispiel durch Softwarelösungen oder die Sensibilisierung von Beschäftigten – im Fokus. Ein Rückblick zur Veranstaltung mit Vortragsfolien und Bildergalerie ist unter www.allianz-fuer-cybersicherheit.de/Teilnehmertag zu finden.

Cyber-Sicherheit: Der Mensch als Schlüsselfaktor

Jeder sechste Mitarbeiter würde auf eine gefälschte E-Mail der Chefetage antworten und sensible Unternehmensinformationen preisgeben, hat eine Online-Umfrage des BSI ergeben, für welche die EARSandEYES GmbH im zwischen dem 06. und 11. Juni 2018 666 Teilnehmer gewinnen konnte. Informationen über Zuständigkeiten im Unternehmen, zur Zusammensetzung von Abteilungen, internen Prozessen oder Organisationsstrukturen, die über das sogenannte Social-Engineering gewonnen werden, sind für Cyberkriminelle wertvolle Grundlage zur Vorbereitung von gezielten Angriffen auf das Unternehmen.

Mit Social-Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft und Vertrauen ausgenutzt, um Mitarbeiterinnen und Mitarbeiter geschickt zu manipulieren. Die Sensibilisierung der Angestellten für diese Art der Betrugsversuche sollte daher eine wichtige Rolle spielen und fest zum Weiterbildungskonzept eines Unternehmens gehören.

Mehr als die Hälfte der befragten Arbeitnehmerinnen und Arbeitnehmer hören sich selbst aktiv zum Thema IT-Sicherheit am Arbeitsplatz um (58 %) – 42 % der Befragten gaben an, nicht selbst aktiv zu werden. Rund 18 % verlassen sich darauf, dass der Arbeitgeber das Firmennetzwerk ausreichend absichert und dass sie selbst keine zusätzlichen Maßnahmen ergreifen müssen. Weitere 13 % gehen davon aus, dass das Unternehmen sie darauf hinweist, wenn Sicherheitsmaßnahmen ergriffen werden sollten. Die übrigen Befragten informieren sich gar nicht und erhalten auch keine Informationen seitens des Arbeitgebers (10 %).

Auf dem Informationsportal „BSI für Bürger“ finden auch Arbeitnehmerinnen und Arbeitnehmer viele praktische Tipps und Empfehlungen zur „IT-Sicherheit am Arbeitsplatz“ sowie zum Thema „Social Engineering“. Darüber hinaus erklären in der zweiten Folge der neuen Podcast-Reihe „Ins Internet – mit Sicherheit!“ zwei BSI-Experten der Allianz für Cyber-Sicherheit, warum IT-Sicherheit am Arbeitsplatz wichtig ist und was Arbeitnehmer und Arbeitnehmerinnen selbst dazu beitragen können (www.bsi-fuer-buerger.de/BSIFB/DE/Service/Mediathek/Audio/audio_node.html). Unternehmen selbst können Teilnehmer der Allianz für Cyber-Sicherheit werden und von den vielfältigen Angeboten der BSI-Kooperationsplattform profitieren.