7 Möglichkeiten, wie menschliches Versagen zu Cybersicherheitsverletzungen führen kann

Laut einem umfangreichen Cybersicherheitsbericht, der 2021 von Verizon veröffentlicht wurde, werden „85 % der Datenschutzverletzungen durch menschliche Fehler verursacht“. In der Cybersicherheit und im Datenschutz wird menschliches Versagen als unbeabsichtigtes Handeln von Mitarbeitern definiert, das Sicherheitsverletzungen verursachen kann, die am häufigsten zu Datenlecks führen.

Ein einziger Fehler kann für Unternehmen fatal sein und Millionen von Dollar kosten. Beispielsweise hatte Target im Jahr 2013 eine große Datenschutzverletzung, die dem Unternehmen 90 Millionen US-Dollar einbrachte. Nach dem Vorfall war der Ruf des Unternehmens beschädigt und es dauerte lange, das Vertrauen der Kunden zurückzugewinnen.

Konnte das Unternehmen voraussehen, dass eine Sicherheitsverletzung auftreten könnte, und diese verhindern? Lassen Sie uns die häufigsten menschlichen Fehler besprechen und wie man sie vermeidet.

7 kritische menschliche Fehler, die Cybersicherheitsverletzungen verursachen

Die Unbeabsichtigtheit menschlicher Fehler bedeutet nicht, dass sie unvermeidlich sind. Unternehmen können jedoch die Schwachstellen in ihren Sicherheitsrichtlinien identifizieren und Maßnahmen ergreifen, um die Risiken zu mindern. Hier sind die sieben häufigsten menschlichen Fehler, die zu Sicherheitsverletzungen führen können.

Für Sie empfohlen: 17 beste Cybersicherheitstipps, um 2022 online geschützt zu bleiben.

1. Passworthygiene

Eine von NordPass im Jahr 2021 in 50 Ländern durchgeführte Untersuchung zeigt, dass die Kombination „123456“ von 130 Millionen Menschen für Anmeldezwecke verwendet wird. Die am zweit- und dritthäufigsten verwendeten Passwörter sind „123456789“ und „qwerty“, die von 46 Millionen bzw. 22,3 Millionen Menschen verwendet werden. Ein erfahrener Hacker könnte solch schwache Passwörter in weniger als einer Sekunde knacken.

Abgesehen davon, dass sie schlechte Passwörter festlegen, verwenden die meisten Menschen dieselbe Kombination für ihre privaten und geschäftlichen E-Mails, Social-Media-Konten und andere Dienste. Manche Leute ändern ihre Passwörter jahrelang nicht und teilen sie sogar mit Kollegen oder schreiben sie auf Haftnotizen und kleben sie auf ihren Monitor. Laut Verizon verursacht eine so nachlässige Haltung gegenüber Passwörtern 61 % der Sicherheitsverletzungen.

2. Unzureichende Datenzugriffskontrolle

Jemandem unzureichende Zugriffsrechte zuzuweisen, ist ein weiterer menschlicher Fehler, der zu Sicherheitsverletzungen führen kann. In einigen Organisationen haben inkompetente Personen die Erlaubnis, auf vertrauliche Daten zuzugreifen. In den meisten Fällen werden Mitarbeitern jedoch standardmäßig so weitreichende Zugriffsrechte gewährt, es sei denn, es gibt eine spezielle Anforderung, sie einzuschränken.

Hier sind die häufigsten Fehler, die durch unzureichende Zugriffskontrolle verursacht werden:

• Versehentliches oder absichtliches Löschen sensibler Daten.
• Systemkonfigurationen vornehmen, die zu Datenschutzverletzungen und Datenlecks führen können.
• Durchführen nicht autorisierter Änderungen im System.
• Versenden von E-Mails mit wertvollen Daten an die falschen Empfänger.

3. Spyware

Während Mitarbeiter online nach Informationen suchen, um die anstehende Aufgabe zu erledigen, können sie Dateien von nicht autorisierten Quellen herunterladen, auf unbekannte Links klicken oder in zufälligen Popups auf „Ja“ klicken. Eine solche Aktion kann ohne Ihr Wissen Spyware auf Ihr Gerät bringen. Sie werden nicht einmal vermuten, dass es während Ihrer täglichen Arbeit Ihre Online-Aktivitäten aufzeichnet und Ihre Anmeldeinformationen und persönlichen Informationen erhält. Dann überträgt diese bösartige Malware die gesammelten Informationen an den Dritten, der sie ohne Ihre Zustimmung verwendet.

Das Schlimmste daran ist, dass sich die Spyware von einem Computer aus verbreiten und das gesamte Netzwerk eines Unternehmens infizieren kann. Wenn es nicht rechtzeitig erkannt wird, verursacht es dem Unternehmen einen Schaden in Höhe von mehreren Millionen Dollar.

4. Mangelndes Bewusstsein für Cybersicherheit

In den meisten Fällen werden menschliche Fehler, die zu Sicherheitsverletzungen führen, versehentlich oder aufgrund von Unwissenheit begangen. Leider konzentrieren sich einige Organisationen so sehr darauf, Ergebnisse zu erzielen, dass sie die Notwendigkeit ignorieren, ihre Mitarbeiter über Cybersicherheit aufzuklären. Hier sind einige häufige Fehler, die Menschen aufgrund von Unwissenheit machen können:

• Herunterladen von Software aus verdächtigen und autorisierten Quellen.
• Verbindung mit öffentlichem WLAN in Restaurants oder Hotels ohne VPN-Verschlüsselung.
• Einstecken von Geräten wie einem USD-Speicher unbekannter Herkunft.

5. Phishing-E-Mails

Laut einer von Verizon im Jahr 2020 durchgeführten Untersuchung geschehen 20 % der Cybersicherheitsverletzungen aufgrund von Phishing-E-Mails. Das Klicken auf die schädlichen Links in solchen E-Mails ist einer der kostspieligsten menschlichen Fehler. Berichten zufolge belaufen sich die durchschnittlichen Kosten für eine einzelne gestohlene Aufzeichnung auf 133 US-Dollar. Stellen Sie sich vor, wie viel Schaden es einem Unternehmen zufügen kann, wenn neben dem Computer des Endbenutzers das gesamte Netzwerk infiziert wird!

6. Unzureichende Softwaresicherheit

Wenn Mitarbeiter sich wiederholende tägliche Aufgaben ausführen, werden sie nachlässig und ignorieren im Laufe der Zeit Sicherheitsverfahren. Sie denken, wenn ihre Arbeit gestern reibungslos lief, könnte sie heute nichts mehr bedrohen. Dieser nachlässige Umgang mit Sicherheitsverfahren kann manchmal das Sicherheitssystem ganzer Unternehmen gefährden. Hier sind die Sicherheitsverfahren, die Mitarbeiter ignorieren:

• Software-Updates: Die meisten Mitarbeiter überspringen Software-Updates, weil sie zu lange dauern oder zu den ungünstigsten Zeiten erscheinen.
• Manchmal können Mitarbeiter Antiviren- oder Sicherheitsfunktionen deaktivieren, weil sie ihre Arbeit beeinträchtigen. Es ist gefährlich, den Computer auch nur für eine Minute ungeschützt zu lassen, während Sie aktiv das Internet nutzen.

7. Verzögertes Patchen

Das verzögerte Patchen ist eng mit dem vorherigen Punkt verbunden, konzentriert sich jedoch mehr auf Software-Updates. Cyberkriminelle suchen ständig nach Schwachstellen in der Softwaresicherheit, aber auch Softwareentwickler tun dies. Sobald sie eine solche Schwachstelle entdeckt haben, beheben sie sie sofort und versenden Patches, die als Software-Updates bekannt sind. Diejenigen, die die Updates rechtzeitig installieren, schützen ihre Geräte vor Sicherheitsverletzungen, während jede Minute Verzögerung das Risiko erhöht, kompromittiert zu werden.

Der Fall der Wirtschaftsauskunftei Equifax ist ein hervorragendes Beispiel dafür, warum Software-Updates nicht ignoriert werden sollten. 2017 wies ihre Software eine Sicherheitslücke auf. Das Unternehmen wusste davon, verzögerte aber den Patch-Prozess. Infolgedessen wurde ihr System gehackt und die persönlichen Daten von über 140 Millionen amerikanischen Kunden und 8.000 kanadischen Kunden wurden kompromittiert.

Das könnte Ihnen gefallen: Dokumente und Protokolle, die Ihr Unternehmen für die Cybersicherheit benötigt.

So mindern Sie Risiken menschlicher Fehler und verhindern Cybersicherheitsverletzungen

Sobald Unternehmen die Lücken in ihren Sicherheitsrichtlinien identifiziert haben, können sie vorbeugende Maßnahmen ergreifen. Fehler zu machen ist menschlich; Daher ist es unmöglich, die Risiken vollständig zu eliminieren, aber es ist möglich, sie zu minimieren. Schauen Sie sich die folgenden sieben Maßnahmen an.

1. Verbessern Sie die Passwortverwaltung

Da der größte Teil der Cybersicherheitsverletzungen durch mangelnde Passworthygiene verursacht wird, sollten Unternehmen dem Passwortmanagement besondere Aufmerksamkeit widmen. Die Organisationen sollten eine klare Richtlinie gegen die Verwendung einfacher Kennwörter oder das Festlegen einer Kombination für alle ihre Konten festlegen. Tools zur Passwortgenerierung können dabei helfen, starke und zuverlässige Passwörter zu erstellen, die aus Buchstaben, Zahlen und Symbolen bestehen.

Darüber hinaus sollte es auch ein verbindlicher Bestandteil der Richtlinie sein, die Zwei-Faktor-Authentifizierung über alle Unternehmenskonten hinweg zu aktivieren. Es erhöht den Schutz Ihrer Konten und macht sie für Hacker unknackbar.

2. Kontrollieren Sie den Zugriff auf sensible Daten

Allen Mitarbeitern uneingeschränkten Zugriff auf sensible Daten zu gewähren, ist ein großer Fehler von Unternehmen. Standardmäßig sollte der Zugriff allen Mitarbeitern verweigert werden. Dann sollten die Manager unterwegs Berechtigungen zuweisen, wann immer die Mitarbeiter Zugriff auf die Daten benötigen, um ihre Arbeit zu erledigen. Die meisten Systeme haben je nach Rolle sogar unterschiedliche Benutzerberechtigungsstufen. Beispielsweise können Junior-Spezialisten nur Dokumente einsehen, während die Manager das Recht haben, sie zu bearbeiten oder zu löschen. Diese Aufteilung der Benutzerrechte schützt sensible Daten davor, geändert oder versehentlich gelöscht zu werden.

3. Installieren Sie Antivirus- und Anti-Spyware-Software

Viren und Spyware können Ihre Geräte und das Netzwerk zerstören. Daher ist es klüger, sich zu schützen, als gegen seine verheerenden Folgen zu kämpfen. Der beste Schutz vor Viren und Spyware ist Antivirus- und Anti-Spyware-Software. McAfee Total Protection, Norton 360 und Bitdefender Total Security sind die drei besten Anti-Spyware-Lösungen, die es wert sind, eingesetzt zu werden. Diese Software bietet VPN für die verschlüsselte Internetnutzung und eine Firewall, um das Gerät vor externen Bedrohungen zu schützen.

4. Mitarbeiter über Cybersicherheit aufklären

Die meisten menschlichen Fehler werden aufgrund mangelnder Kenntnisse über Cybersicherheit begangen. Und der beste Weg, die Risiken solcher Fehler zu mindern, besteht darin, das Bewusstsein Ihrer Mitarbeiter für Informationssicherheit zu schulen und zu schärfen. Unternehmen sollten regelmäßig Schulungen durchführen und ihre Mitarbeiter über Cyberangriffe, ihre Arten und Schutzverfahren unterrichten. Sie sollten wissen, wie man Phishing-E-Mails von echten unterscheidet, wie man sie meldet und was zu tun ist, wenn Sicherheitsverletzungen entdeckt werden. Wenn Ihr Unternehmen eine bestimmte Sicherheitsrichtlinie hat, stellen Sie sicher, dass Ihre Mitarbeiter darüber Bescheid wissen.

5. Eingehende E-Mails filtern

Eine Möglichkeit, sich vor Phishing-E-Mails zu schützen, besteht darin, Nachrichten zu kennzeichnen, die von außerhalb Ihres Unternehmens eingehen. Aber es ist keine 100%ige Lösung, da einige Spam-E-Mails die E-Mail-Domain Ihres Unternehmens imitieren können. Daher ist die Verwendung von Sicherheitssoftware, die verdächtige E-Mails erkennt, eine weitere Option.

Unabhängig davon, wie Sie sich gegen Phishing entscheiden, stellen Sie eine Faustregel auf, niemals eine Datei herunterzuladen oder auf einen Link in verdächtigen E-Mails zu klicken.

6. Aktualisieren Sie Ihre Sicherheitsrichtlinie

Ihr Unternehmen sollte sich nicht auf die gewissenhafte Einstellung der Mitarbeiter zur Einhaltung von Cybersicherheitsverfahren verlassen. Sie sollten eine klar erläuterte Unternehmenssicherheitsrichtlinie haben, die beschreibt, wie mit sensiblen Daten umgegangen wird, wie und wann Passwörter und andere Sicherheitsregeln zu aktualisieren sind. Dieser Leitfaden sollte jedoch nicht veraltet sein. Stellen Sie sicher, dass es regelmäßig aktualisiert wird, und informieren Sie Ihre Mitarbeiter, damit sie sich mit den neuen Sicherheitsverfahren vertraut machen.

Das könnte Ihnen auch gefallen: Wie wird maschinelles Lernen in der Cybersicherheit eingesetzt?

7. Software regelmäßig aktualisieren

Softwareentwickler veröffentlichen Patches, weil sie Schwachstellen entdeckt haben und Sie dabei unterstützen möchten, sich davor zu schützen. Das Ignorieren und Überspringen von Software-Updates erhöht also das Risiko, dass Ihr Gerät kompromittiert wird. Daher wird empfohlen, die Patches sofort zu installieren, nachdem sie verfügbar sind.