Das Dilemma der digitalen Revolution – Cybersicherheit & Mitarbeiter

Im Kontext der Cyberpsychologie denken die meisten, dass sie alles im Griff haben. In einer Studie an der Friedrich-Alexander-Universität Erlangen-Nürnberg gaben 78 Prozent der Teilnehmer in einem Fragebogen an, dass sie sich der Risiken bewusst seien, die mit dem Anklicken unbekannter Links verbunden sind. Dennoch klickten 45 Prozent der Teilnehmer, nachdem sie eine Schein-Phishing-E-Mail erhalten haben, trotzdem auf den bösartigen Link. Die Bedrohung durch menschliches Versagen ist eine zentrale Herausforderung für alle Unternehmen. Die wichtigste Lösung ist die kontinuierliche Schulung und Sensibilisierung der Anwender.

Datenschutzanwalt Berlin: Schwachstelle Mensch
Wenn es um Bedrohungen heute und in der Zukunft geht, sehen die meisten Unternehmen menschliches Versagen als die größte Schwachstelle an. Dabei befürchten sie zu Recht, gezielte Angriffe auf Mitarbeiter durch Phishing und Ransomware-Angriffe sind der sensibelste Berührungspunkt. Das wird durch alle bisherigen Erkenntnisse über bereits aufgetretene Datenschutzverletzungen gestützt.

Datenschutzanwalt Berlin: Zielgerichtete Manipulationen
Psychologie spielt eine wichtige Rolle bei der Cyberkriminalität. Der Erfolg des Hackers beruht auf einer gezielten Nutzung des menschlichen Verhaltens durch den Einsatz von Social Engineering. Er versteht, mit welche Aktionen er was auslöst und benutzt dafür unsere Neugierde und Vertrauensbereitschaft. Letztendlich zielt der Hacker darauf ab, mit Hilfe von Social Engineering Menschen zu manipulieren und zu täuschen, um sie zu Reaktionen zu verleiten. Konkret wird geht es um eine dahingehende Beeinflussung, Informationen wie Passwörter, Bankkontodaten, sensible persönliche oder kommerzielle Daten preiszugeben, oder sogar Malware auf Ihrem Computer installieren.

Datenschutzanwalt Berlin: Manipulationen und ihre Absichten erkennen
Es ist von entscheidender Bedeutung, dass sich die Mitarbeiter der Bedrohungen durch Cyberkriminalität bewusst sind und wissen, wie sie einen potenziellen Phishing oder Ransomware-Angriff erkennen können. Es lässt sich eine rasante Zunahme und Verfeinerung all dieser Angriffsmethoden feststellen, und sie führen zu erheblichen Betriebsstörungen, finanziellen Verlusten und Reputationsschäden.

Datenschutzanwalt Berlin: Die Bedeutung der Berichterstattung
Eine beträchtliche Anzahl von Unternehmen gab in der Umfrage einen Sicherheitsverstoß zu und auch Auskunft darüber, wie sie mit diesem umgegangen sind sowie welche Auswirkungen er hatte. Die Ergebnisse bestätigen die kritische Rolle des Mitarbeiters bei der Mehrzahl identifizierter Angriffe und den dadurch erlangten Zugängen. Als positive, direkte Maßnahmen nach solchen Vorfällen werden Investitionen in Software und Schulungen sowie intensive IT-Sicherheitsüberprüfungen gesehen. Ein Kernproblem bleibt jedoch die mangelnde Transparenz der Angriffe und das drei viertel der Verstöße gar nicht öffentlich bekannt werden.

Datenschutzanwalt Berlin: Sag alles, sag es schnell, sag die Wahrheit
Die bekannten Daten unterstreichen die Bedeutung der Rolle des Arbeitnehmers und die Notwendigkeit von IT-Sicherheitstrainings in allen Unternehmen. Das größte Risiko innerhalb eines Unternehmens kommt von innen, da die meisten Vorfälle durch Mitarbeiter verursacht werden. Daher ist die interne Moral in einem Unternehmen nach einem Vorfall am stärksten betroffen. Eine Kultur, die Mitarbeiter ermutigt, Datenschutzverletzungen zu melden, ist der Schlüssel, um das tatsächliche Ausmaß der Bedrohung zu bestimmt und vor allem, damit anschließend eine Ursachenanalysen durchgeführt werden kann, um künftigen Angriffen vorzubeugen

Datenschutzanwalt Berlin: Stagnation in der IT-Sicherheitsentwicklung
Angesichts der Vielzahl der laufenden Cyberangriffe und der Reaktionen in den Unternehmen darauf, läuten aber auch die Alarmglocken. Nur 27 Prozent der Unternehmen suchten und fanden nach dem Vorfall weitere Schwachstellen in in ihrer Verteidigung, und noch ein Prozent weniger entwickelten oder aktualisierten die Krisenplanung unter Einbeziehung der neuen Erkenntnisse. Damit bleibt die Mehrheit der Unternehmen an der gleichen Stelle, wo sie vor dem Angriff waren.

Datenschutzanwalt Berlin: Vernachlässigtes Feld
Besorgniserregend ist, dass nur 15 Prozent der Unternehmen ihr Drittanbieter geprüft haben. Da Unternehmen zunehmend auf Drittanbieter angewiesen sind, ist es unerlässlich, sicherzustellen, dass diese Drittanbieter über wirksame Sicherheit, Kontrollen und Prozesse verfügen, um die Sicherheit und Widerstandsfähigkeit ihrer Geschäftstätigkeit zu gewährleisten. Die unabhängige Bewertung von Dritten kann den Führungskräften und dem Vorstand die notwendige Sicherheit gegenüber diesen ausgelagerten Anbietern geben.

Datenschutzanwalt Berlin: Schweigen ist kein Gold
In 75 Prozent der Unternehmen wurde die Verletzung nicht öffentlich bekannt. Das erzwingt geradezu es eine Schlüsselfrage. Hätte sie bekannt werden müssen? Höchstwahrscheinlich, ja, denn wenn Unternehmen Verstöße aus Angst vor finanziellen oder Reputationsschäden unter Verschluß halten, wird es schwierig, die Risiken verständlich zu machen. Wenn ständig gesagt wird, dass etwas passieren wird, aber keine Beweise zu erkennen sind, werden die Mitarbeiter wenig geneigt sein, etwas dagegen zu unternehmen. Wenn diese 75 Prozent über die Themen und Probleme sprechen würden, gäbe es Bewegung auf dem Markt, mehr Bewusstsein auf CEO-Ebene, mehr Softwarelösungen und besser geschützte Organisationen. Die Meldung von Verstößen wäre für alle eine große Hilfe.

Datenschutzanwalt Berlin: Unklarheiten bei der Meldepflicht
Es gibt beim Melden eines Angriffs, bestimmte Faktoren zu berücksichtigen: Was war die regulatorische Anforderung? Sind die kompromittierten Daten personenbezogen, die eine oder mehrere Personen belasten könnten? Wurde ein hohes Datenaufkommen verletzt? Wenn nicht, müssen wir das dann wirklich wissen? Die meisten Unternehmen sind einer großen Anzahl von Angriffen ausgesetzt, die keinen größeren Schaden anrichten. Über ein drittel der Unternehmen haben zugegeben, dass sie nicht vollständig verstehen, unter welchen Umständen oder ab welcher Höhe ein Verstoß vorliegt, bei dem die Aufsichtsbehörde informiert werden sollte. Klarheit ist gefragt. Insgesamt müssen wir eine breitere Berichtspflicht in allen Branchen haben. Nicht nur würde mehr Transparenz zu mehr Schutz führen, sondern auch die Tatsache, dass es Unternehmen außerhalb der Regulierung gibt, die überhaupt nichts zu melden haben, zeigt ein Ungleichgewicht.

Datenschutzanwalt Berlin: Konsequenzen
Die Untersuchungen zeigen deutlich, dass Unternehmen viel mehr tun müssen, um sich selbst zu schützen. Sie sollten nicht warten, bis eine Vorfall eintritt, bis sie in die IT-Sicherheit und den Datenschutz investieren. Ein Vorfall ist ist früher oder später unvermeidlich, und die Entscheidung, zu reagieren und nicht zu schützen, könnte einer Organisation ungeahnten Schaden zufügen.

Datenschutzanwalt Berlin: Grundsätzliche Maßnahmen
Machen Sie IT-Sicherheit zu einem Problem auf Vorstandsebene.
Berücksichtigen Sie alle Ihre Risiken - Daten, Personen und Dritte.
Überprüfen Sie Ihre Richtlinien und Verfahren.
Fördern Sie die permanente  Aus- und Weiterbildung der Mitarbeiter.

Datenschutzanwalt Berlin: Personalverantwortung
Veranlassen Sie das Richtlinien und Verfahren gelesen werden.
Bleiben Sie bei der Aus- und Weiterbildung auf dem aktuellen Stand.
Achten Sie auf ungewöhnliche Anrufe, E-Mails oder Texte.
Überprüfen Sie alle Kontakte.
Akzeptieren Sie alle Sicherheitsupdates auf Ihren Geräten so schnell wie möglich.
Klicken Sie nicht auf Links - geben Sie stattdessen die URLs selber ein.

Datenschutzanwalt Berlin: Cyber-Risikomanagement
Melden Sie alles, was verdächtig ist, sofort an die IT-Abteilung.
Seien Sie vorsichtig mit Social Media.
Ändern Sie Ihre Passwörter regelmäßig.
Haben Sie starke und unterschiedliche Passwörter für verschiedene Konten.
Benutzen Sie Passwort-Manager.
Seien Sie vorsichtig mit tragbaren Medien.
Prüfen sie die Sicherheitszertifikate, insbesondere für Zahlungswebsites.

Datenschutzanwalt Berlin: Wie sieht die beste Vorgehensweise aus?
Halten Sie Ihre Firewalls, Betriebssysteme und Virenschutzprogramme auf dem neuesten Stand.
Passwortschutz für das Wi-Fi verwenden.
Ziehen Sie Data Scrubbing (Datenbereinigung) in Betracht.
Implementierung guter allgemeiner IT-Kontrollen in wirksamer Tiefe.
Haben Sie einen formalen Managementplan für den Fall, dass der Ernstfall eintritt.
Ziehen Sie eine IT-Versicherung in Betracht.
Führen sie regelmäßige allgemeine Kontrollen gegen Social Engineering ein.
Führen Sie Penetrationstests durch.

Resch Datenschutz – Experten für DSGVO und Expertise im Datenschutz
Wenn Sie Fragen zur DSGVO oder allgemein zum Datenschutz haben, rufen Sie an unter 030 885 9770, oder füllen Sie den Fragebogen aus. Sie erhalten dann eine kostenlose erste Einschätzung Ihres Falles.