7 Möglichkeiten, wie menschliches Versagen zu Verstößen gegen die Cybersicherheit führen kann

Laut einem umfangreichen Cybersicherheitsbericht, der 2021 von Verizon veröffentlicht wurde, „werden 85 % der Datenschutzverletzungen durch menschliches Versagen verursacht.“ In der Cybersicherheit und im Datenschutz wird menschliches Versagen als unbeabsichtigtes Handeln von Mitarbeitern definiert, das zu Sicherheitsverstößen führen kann, die in den meisten Fällen zu Datenlecks führen.

Ein einziger Fehler kann für Unternehmen fatal sein und Millionen von Dollar kosten. Beispielsweise kam es 2013 bei Target zu einem großen Datenverstoß, der dem Unternehmen 90 Millionen US-Dollar einbrachte. Nach dem Vorfall war der Ruf des Unternehmens beschädigt und es dauerte lange, das Vertrauen der Kunden zurückzugewinnen.

Konnte das Unternehmen vorhersehen, dass es zu einer Sicherheitsverletzung kommen könnte, und diese verhindern? Lassen Sie uns die häufigsten menschlichen Fehler besprechen und wie man sie verhindern kann.

7 kritische menschliche Fehler, die zu Verstößen gegen die Cybersicherheit führen

Die unbeabsichtigte Natur menschlicher Fehler bedeutet nicht, dass sie unvermeidbar sind. Unternehmen können jedoch die Schwachstellen in ihren Sicherheitsrichtlinien identifizieren und Maßnahmen zur Risikominderung ergreifen. Hier sind die sieben häufigsten menschlichen Fehler, die zu Sicherheitsverletzungen führen können.

Für Sie empfohlen: Die 17 besten Tipps zur Cybersicherheit, um im Jahr 2022 online geschützt zu bleiben.

1. Passworthygiene

Eine von NordPass im Jahr 2021 in 50 Ländern durchgeführte Untersuchung zeigt, dass die Kombination „123456“ von 130 Millionen Menschen für Anmeldezwecke verwendet wird. Die zweit- und dritthäufigsten verwendeten Passwörter sind „123456789“ und „qwerty“, die von 46 Millionen bzw. 22,3 Millionen Menschen verwendet werden. Ein geschickter Hacker könnte solch schwache Passwörter in weniger als einer Sekunde knacken.

Abgesehen davon, dass sie schlechte Passwörter festlegen, verwenden die meisten Menschen dieselbe Kombination für ihre persönlichen und geschäftlichen E-Mails, Social-Media-Konten und andere Dienste. Manche Leute ändern ihre Passwörter jahrelang nicht und teilen sie sogar mit Kollegen oder schreiben sie auf Haftnotizen und kleben sie auf ihren Monitoren. Ein solch nachlässiger Umgang mit Passwörtern ist laut Verizon die Ursache für 61 % der Sicherheitsverletzungen.

2. Unzureichende Datenzugriffskontrolle

Jemandem unzureichende Zugriffsrechte zuzuweisen, ist ein weiterer menschlicher Fehler, der zu Sicherheitsverletzungen führen kann. In einigen Organisationen haben inkompetente Personen die Erlaubnis, auf sensible Daten zuzugreifen. In den meisten Fällen werden den Mitarbeitern jedoch standardmäßig solche weitreichenden Zugriffsrechte gewährt, es sei denn, es liegt ein ausdrücklicher Antrag auf Einschränkung vor.

Hier sind die häufigsten Fehler, die durch unzureichende Zugangskontrolle verursacht werden:

• Versehentliches oder absichtliches Löschen sensibler Daten.
• Vornehmen von Systemkonfigurationen, die zu Datenschutzverstößen und Datenlecks führen können.
• Durchführen nicht autorisierter Änderungen im System.
• E-Mails mit wertvollen Daten an die falschen Empfänger senden.

3. Spyware

Während Mitarbeiter online nach Informationen für die jeweilige Aufgabe suchen, können sie Dateien von nicht autorisierten Quellen herunterladen, auf unbekannte Links klicken oder in zufälligen Pop-ups auf „Ja“ klicken. Durch eine solche Aktion kann ohne Ihr Wissen Spyware auf Ihr Gerät gelangen. Sie werden nicht einmal vermuten, dass es während Ihrer täglichen Arbeit Ihre Online-Aktivitäten aufzeichnet und Ihre Anmeldedaten und persönlichen Daten abruft. Anschließend überträgt diese bösartige Malware die gesammelten Informationen ohne Ihre Zustimmung an den Dritten, der sie verwendet.

Das Schlimmste daran ist, dass sich die Spyware von einem Computer aus verbreiten und das gesamte Netzwerk eines Unternehmens infizieren kann. Wenn es nicht rechtzeitig erkannt wird, verursacht es einen Schaden in Höhe von mehreren Millionen Dollar für das Unternehmen.

4. Mangelndes Bewusstsein für Cybersicherheit

In den meisten Fällen werden menschliche Fehler, die zu Sicherheitsverletzungen führen, versehentlich oder aufgrund mangelnden Wissens begangen. Leider konzentrieren sich einige Unternehmen so sehr auf Ergebnisse, dass sie die Notwendigkeit ignorieren, ihre Mitarbeiter über Cybersicherheit aufzuklären. Hier sind einige häufige Fehler, die Menschen aufgrund mangelnden Wissens machen können:

• Herunterladen von Software aus verdächtigen und autorisierten Quellen.
• Herstellen einer Verbindung zum öffentlichen WLAN in Restaurants oder Hotels ohne VPN-Verschlüsselung.
• Einstecken von Geräten wie einem USD-Speicher unbekannter Herkunft.

5. Phishing-E-Mails

Laut einer von Verizon im Jahr 2020 durchgeführten Untersuchung ereignen sich 20 % der Cybersicherheitsverstöße aufgrund von Phishing-E-Mails. Das Klicken auf die schädlichen Links in solchen E-Mails ist einer der kostspieligsten menschlichen Fehler. Berichten zufolge belaufen sich die durchschnittlichen Kosten für eine einzelne gestohlene Schallplatte auf 133 US-Dollar. Stellen Sie sich vor, wie viel Schaden es für ein Unternehmen anrichten kann, wenn neben dem Computer des Endbenutzers auch das gesamte Netzwerk infiziert wird!

6. Unzureichende Softwaresicherheit

Wenn Mitarbeiter sich wiederholende tägliche Aufgaben ausführen, werden sie mit der Zeit nachlässig und ignorieren Sicherheitsmaßnahmen. Sie denken, wenn ihre Arbeit gestern reibungslos verlief, könnte sie heute nichts gefährden. Dieser nachlässige Umgang mit Sicherheitsverfahren kann manchmal das Sicherheitssystem ganzer Unternehmen gefährden. Hier sind die Sicherheitsverfahren, die Mitarbeiter ignorieren:

• Software-Updates: Die meisten Mitarbeiter überspringen Software-Updates, weil sie zu lange dauern oder zum ungünstigsten Zeitpunkt erscheinen.
• Manchmal können Mitarbeiter Antiviren- oder Sicherheitsfunktionen deaktivieren, weil sie ihre Arbeit beeinträchtigen. Es ist gefährlich, den Computer während der aktiven Nutzung des Internets auch nur eine Minute lang ohne Schutz zu lassen.

7. Verzögertes Patchen

Das verzögerte Patchen hängt eng mit dem vorherigen Punkt zusammen, konzentriert sich jedoch mehr auf Software-Updates. Cyberkriminelle suchen ständig nach Schwachstellen in der Softwaresicherheit, aber auch Softwareentwickler tun dies. Sobald sie eine solche Schwachstelle entdeckt haben, beheben sie diese sofort und versenden Patches, sogenannte Software-Updates. Wer die Updates rechtzeitig installiert, schützt seine Geräte vor Sicherheitslücken, während jede Minute Verzögerung das Risiko einer Kompromittierung erhöht.

Der Fall der Kreditauskunftei Equifax ist ein hervorragendes Beispiel dafür, warum Software-Updates nicht ignoriert werden sollten. Im Jahr 2017 wies ihre Software eine Sicherheitslücke auf. Das Unternehmen wusste davon, verzögerte jedoch den Patch-Prozess. Infolgedessen wurde ihr System gehackt und die persönlichen Daten von über 140 Millionen amerikanischen Kunden und 8.000 kanadischen Kunden wurden kompromittiert.

Das könnte Ihnen gefallen: Dokumente und Protokolle, die Ihr Unternehmen für die Cybersicherheit benötigt.

So mindern Sie das Risiko menschlicher Fehler und verhindern Verstöße gegen die Cybersicherheit

Sobald Unternehmen die Lücken in ihren Sicherheitsrichtlinien erkannt haben, können sie vorbeugende Maßnahmen ergreifen. Fehler zu machen ist menschlich; Aus diesem Grund ist es unmöglich, die Risiken vollständig zu eliminieren, aber es ist möglich, sie zu minimieren. Schauen Sie sich die folgenden sieben Maßnahmen an.

1. Verbessern Sie die Passwortverwaltung

Da der größte Teil der Cybersicherheitsverstöße auf mangelnde Passworthygiene zurückzuführen ist, sollten Unternehmen der Passwortverwaltung besondere Aufmerksamkeit widmen. Die Organisationen sollten eine klare Richtlinie gegen die Verwendung einfacher Passwörter oder die Festlegung einer Kombination für alle ihre Konten festlegen. Tools zur Passwortgenerierung können dabei helfen, sichere und zuverlässige Passwörter zu erstellen, die aus Buchstaben, Zahlen und Symbolen bestehen.

Darüber hinaus sollte es auch verpflichtender Bestandteil der Richtlinie sein, die Zwei-Faktor-Authentifizierung für alle Unternehmenskonten zu aktivieren. Es erhöht den Schutz Ihrer Konten und macht sie für Hacker unknackbar.

2. Kontrollieren Sie den Zugriff auf sensible Daten

Allen Mitarbeitern unbegrenzten Zugriff auf sensible Daten zu gewähren, ist ein großer Fehler von Unternehmen. Standardmäßig sollte der Zugriff allen Mitarbeitern verweigert werden. Dann sollten die Manager von unterwegs aus Berechtigungen vergeben, wenn die Mitarbeiter für die Ausführung ihrer Arbeit Zugriff auf die Daten benötigen. Die meisten Systeme verfügen je nach Rolle sogar über unterschiedliche Benutzerberechtigungsstufen. Beispielsweise können Nachwuchskräfte Dokumente nur einsehen, während die Führungskräfte das Recht haben, diese zu bearbeiten oder zu löschen. Eine solche Aufteilung der Benutzerrechte schützt sensible Daten vor Änderung oder versehentlichem Löschen.

3. Installieren Sie Antiviren- und Anti-Spyware-Software

Viren und Spyware können verheerende Schäden an Ihren Geräten und dem Netzwerk verursachen. Daher ist es klüger, sich zu schützen, als gegen die verheerenden Folgen anzukämpfen. Der beste Schutz vor Viren und Spyware ist Antiviren- und Anti-Spyware-Software. McAfee Total Protection, Norton 360 und Bitdefender Total Security sind die drei besten Anti-Spyware-Lösungen, die sich lohnen. Diese Software bietet VPN für die verschlüsselte Internetnutzung und eine Firewall, um das Gerät vor externen Bedrohungen zu schützen.

4. Informieren Sie Ihre Mitarbeiter über Cybersicherheit

Die meisten menschlichen Fehler entstehen aufgrund mangelnden Wissens über Cybersicherheit. Und der beste Weg, die Risiken solcher Fehler zu mindern, besteht darin, Ihre Mitarbeiter über Informationssicherheit aufzuklären und das Bewusstsein dafür zu schärfen. Unternehmen sollten ihre Mitarbeiter regelmäßig schulen und über Cyberangriffe, deren Arten und Schutzmaßnahmen informieren. Sie sollten wissen, wie sie Phishing-E-Mails von authentischen E-Mails unterscheiden, wie sie sie melden und was zu tun ist, wenn Sicherheitsverstöße festgestellt werden. Wenn Ihr Unternehmen über eine bestimmte Sicherheitsrichtlinie verfügt, stellen Sie sicher, dass Ihre Mitarbeiter darüber informiert sind.

5. Eingehende E-Mails filtern

Eine Möglichkeit, sich vor Phishing-E-Mails zu schützen, besteht darin, Nachrichten zu kennzeichnen, die von außerhalb Ihres Unternehmens eingehen. Dies ist jedoch keine hundertprozentige Lösung, da einige Spam-E-Mails die E-Mail-Domäne Ihres Unternehmens imitieren können. Daher ist der Einsatz einer Sicherheitssoftware, die verdächtige E-Mails erkennt, eine weitere Option.

Unabhängig davon, wie Sie Phishing bekämpfen, gilt als Faustregel: Laden Sie niemals eine Datei herunter oder klicken Sie auf einen Link in verdächtigen E-Mails.

6. Aktualisieren Sie Ihre Sicherheitsrichtlinie

Ihr Unternehmen sollte sich nicht auf die gewissenhafte Haltung der Mitarbeiter bei der Einhaltung von Cybersicherheitsverfahren verlassen. Sie sollten über eine klar erläuterte Unternehmenssicherheitsrichtlinie verfügen, die beschreibt, wie mit sensiblen Daten umgegangen wird, wie und wann Passwörter und andere Sicherheitsregeln aktualisiert werden müssen. Dieser Leitfaden sollte jedoch nicht veraltet sein. Stellen Sie sicher, dass Sie es regelmäßig aktualisieren und Ihre Mitarbeiter informieren, um sich mit den neuen Sicherheitsverfahren vertraut zu machen.

Vielleicht interessiert Sie auch: Wie wird maschinelles Lernen in der Cybersicherheit eingesetzt?

7. Aktualisieren Sie die Software regelmäßig

Softwareentwickler veröffentlichen Patches, weil sie Schwachstellen entdeckt haben und Ihnen helfen möchten, sich davor zu schützen. Das Ignorieren und Überspringen von Softwareaktualisierungen erhöht also das Risiko, dass Ihr Gerät kompromittiert wird. Daher wird empfohlen, die Patches sofort nach ihrer Verfügbarkeit zu installieren.