ISO certification concept standard quality control. International information security standard
© stock.adobe.com/#470730724
Cybersicherheit: Der Wichtige Zweite Check
Cybersicherheit hat sich schnell zur am schnellsten zunehmenden Kriminalitätsform der Welt entwickelt. Dabei ist noch keine Besserung erkennbar, und die Anzahl der Angriffe auf Unternehmen nimmt sogar weiter zu. COVID-19 hat dabei wie ein Katalysator funktioniert, und Hacker nutzten die Gelegenheiten aus, die Remote-Arbeit ihnen in dieser herausfordernden Zeit bot.
Trotz aller Innovationen und Weiterentwicklungen der Hacking-Methoden besteht eines der Hauptrisiken für Datenverluste jedoch durch interne Mitarbeiter, beispielsweise Mitarbeiter, die Fehler machen. Menschen machen Fehler - und gestresste, abgelenkte Mitarbeiter machen sogar noch mehr Fehler. Und bei der Handhabung sensibler Daten, wie der Einhaltung gesetzlicher Bestimmungen zum Schutz des Geistigen Eigentums, schauen Unternehmen zunehmend besorgt auf das Risiko unbeabsichtigter Datenweitergabe. Aber wie kann diese Bedrohung abgeschwächt werden? Fiete Marohn, UK General Manager bei VIPRE SafeSend, betont die Wichtigkeit der Implementierung eines lebenswichtigen zweiten Checks zur Verbesserung der Sicherheitskultur im Bereich der E-Mails.
Menschliche Fehler
Die Abhängigkeit der Unternehmen von E-Mails schafft ein sehr großes Risiko für die Cybersicherheit. Und das nicht einfach nur aufgrund der zunehmenden und immer intelligenteren Phishing- und Ransomware-Angriffe. In Anbetracht des reinen Volumens der versendeten und empfangenen E-Mails pro Tag (über 300 Milliarden pro Tag 2020) sind Fehler unvermeidlich. Mitarbeitern werden unternehmensinterne Daten und Vermögenswerte anvertraut, und viele dürfen Finanztransaktionen vornehmen - oft sogar ohne eine zusätzliche Freigabe. Darüber hinaus gelten strenge Datenschutzanforderungen, nicht nur die Datenschutzgrundverordnung, sondern auch industriespezifische Bestimmungen, sodass die Organisationen auf jeden Fall zuverlässige Prozesse brauchen, um das Risiko unbeabsichtigter Datenverluste zu verringern.
Laut Berichten gehen 34 % aller Zuwiderhandlungen auf die Fehler von internen Mitarbeitern zurück, und immernoch sind sich viele Mitarbeiter ihrer Verantwortung für den Datenschutz nicht bewusst. Wenn vertrauliche Unternehmensdaten in die falschen Hände geraten, kann das verheerende Folgen haben, wie beispielsweise Geldstrafen, Vertrauensverlust und Wettbewerbsvorteile für Konkurrenten. BitMEX, eine der größten Trading-Plattformen mit Kryptowährungen der Welt, gab unbeabsichtigt tausende private E-Mail-Adressen von Kunden heraus, als sie eine Gruppen-E-Mail verschickte, ohne die BCC-Funktion zu nutzen. Aber wie lässt sich so ein Fehler vermeiden? Mitarbeiter brauchen eine Möglichkeit, ihre E-Mail-Funktionen besser zu verwalten, bei der sie auf potentielle Fehler aufmerksam gemacht werden, bevor sie auf Senden klicken. Zum Beispiel durch Anzeigen der Adressen in den Feldern An, CC und BCC.
Zusätzliche Stufen
Nur wenige Organisationen haben eine klare Strategie, mit der sie ihren Mitarbeitern helfen, zu verstehen, wie schnell ein kleiner Fehler zu einem echten Risiko für das Unternehmen werden kann. Und noch weniger haben eine Strategie zur Verringerung dieses Risikos und um zu verhindern, dass ihre Mitarbeiter zu einer Bedrohung von innen heraus werden. Aber noch wichtiger ist, dass sie vielleicht gar nicht wissen, dass es eine Lösung gibt, die eine zusätzliche Stufe des Sicherheitsbewusstseins bei den Mitarbeitern schaffen kann.
Unternehmen können ihren Mitarbeitern dabei helfen, einfache Fehler, wie falsch adressierte E-Mails, zu vermeiden, indem Sie einen einfachen Sicherheitsscheck anbieten, der die Nutzer auffordert, die Identität der Adresse(n) und gegebenenfalls etwaige Dateianhänge zu bestätigen. Die Lösung kann so konfiguriert werden, dass sie auf Abteilungs- oder Nutzerebene funktioniert. Ein Unternehmen möchte beispielsweise verhindern, dass die HR-Abteilung versehentlich sensible persönliche Daten an jemanden intern verschicken kann, und fordert daher eine Bestätigung aller E-Mails ein.
Zusätzlich zur Bestätigung der E-Mail-Adressen und Dateianhänge kann die Technologie außerdem mithilfe von Regeln zur Datenverlustprävention nach Schlüsselwörtern in E-Mail-Inhalten suchen, und jedes Unternehmen kann eigene Anforderungen und Parameter festlegen, die von den Sicherheitsprotokollen des Unternehmens definiert werden. Alle E-Mails und Dateianhänge, die diese Schlüsselwörter enthalten, werden gemeldet und erfordern einen zusätzlichen Validierungsvorgang, bevor sie abgeschickt werden. Die Arbeitsprozesse werden dabei nicht gestört und die Nutzer erhalten die Möglichkeit, ein zweites Mal zu überprüfen, ob die Daten wirklich mit dem/den Empfänger(n) geteilt werden sollen.
Die Essentielle „Pause“
Der Einsatz eines wichtigen Tools, das einen zweiten Check einfordert und warnt, wenn ein Fehler droht, hilft Unternehmen, das Risiko von Fehlern und die potentiell verheerenden Folgen, die diese auf das Unternehmen haben können, abzuschwächen. Das unbeabsichtigte CCen eines Kunden wird, noch eher als das eines Kollegen mit ähnlichem Namen, verhindert, da die Domain des Kunden nicht auf der freigegebenen Liste steht und deshalb automatisch hervorgehoben wird. Das war noch nie so wichtig wie heute, da Mitarbeiter im Zuge des Hybrid Working an verschiedenen Standorten verteilt arbeiten. Derartige Tools können gemischte Betriebssystemumgebungen unterstützen, und DLP Add-Ons können bestimmten Abteilungen und Gruppen zugeteilt werden, die sensible Daten wie Mitarbeiter- oder rechtliche Daten handhaben.
Ein derartiges Tool ist der Schlüssel für Unternehmen, und stärkt die durch Schulungen und Training geschaffene Sicherheitskultur mit einer hilfreichen Lösung, die Nutzern dabei hilft, die üblichen E-Mail-Fehler zu machen, die unvermeidbar sind, wenn die Mitarbeiter abgelenkt, müde oder gestresst sind. Es bietet eine essentielle „Pause“, die dem Einzelnen die Gewissheit gibt, dass die E-Mails an die richtigen Personen und mit den richtigen Dateianhängen versendet wurden.
Zusätzlich zur Überprüfung der Gültigkeit der ein- und ausgehenden E-Mail-Adressen und Dateianhänge kann es auch helfen, das Risiko, Phishing-Angriffen zum Opfer zu fallen, zu minimieren. Beispielweise eine E-Mail, die vorgibt, intern aus dem Unternehmen zu kommen, aber eigentlich nur einen intelligent getarnten ähnlichen Domain-Namen hat, wie eine eingehende E-Mail von V1PRE anstelle von VIPRE. Die Technologie meldet die E-Mail automatisch, wenn der Nutzer darauf antwortet und zeigt an, dass sie nicht von einer freigegebenen Domain kommt, sodass der Nutzer den Sendevorgang abbrechen und den Phishing-Angriff abwenden kann.
Zusammenfassung
E-Mails sind in den meisten Arbeitsumgebungen heutzutage wohl das Schlüssel-Tool für die Produktivität, wodurch ein Großteil der Verantwortung für die sichere Verwendung dieses Tools den Mitarbeitern obliegt. Die Aufforderung, ein zweites Mal zu überprüfen, dass sie nicht versehentlich vertrauliche Daten weitergeben, hilft Mitarbeitern dabei, ihr Bewusstsein und Verständnis dafür zu stärken und bietet einen essentiellen Sicherheitsschritt - bevor es zu spät ist. Die Prämisse ist, keine zusätzliche Zeit oder Verzögerungen in der alltäglichen Verwaltung der E-Mails zu verursachen, aber eine bewusste und verantwortungsvolle Einstellung in einem Bereich zu schaffen, in dem Fehler nur allzu leicht passieren.
Kein Unternehmen ist gegen menschliche Fehler immun, aber mit einer klaren Strategie gegen das Problem falsch adressierter E-Mails und Datenverluste durch E-Mails, sowie zur Verringerung der damit zusammenhängenden Risiken, können Unternehmen die Vorgaben erfüllen und sind sicher. Es geht hauptsächlich um die Steigerung des Bewusstseins und Verbesserungen im Bereich der E-Mails, in dem Fehler so leicht passieren, und darum, gleichzeitig die Konformität zu verstärken.
-PM safesendsoftware-