Häufige Mythen zum Thema Cybersicherheitsbewusstsein

Wegbringen: Informieren Sie Ihre Kinder über klare Anzeichen von Phishing und Betrug, aber unrealistische Ratschläge wie „Klicken Sie nicht auf Links“ sind unproduktiv bis schädlich.

Das Bewusstsein für die „sichere Nutzung“ ist wirkungsvoll und hilft Mitarbeitern, die Technologie besser zu nutzen und gleichzeitig häufige Probleme anzugehen. Doch jahrelange Aufforderungen, grundlegende Verhaltensweisen wie „Klicken Sie nicht auf Links“ zu ändern, scheinen nicht zu funktionieren. Laut dem Data Breach Investigation Report 2023 von Verizon ist bei 74 % aller Verstöße der menschliche Faktor beteiligt (nicht nur E-Mails), und in der Information Risk Insights Study 2022 des Cyentia Institute wird Phishing in 18 von 20 Branchen als eine der drei wichtigsten Techniken für den ersten Datenzugriff eingestuft (Platz 4 in der Kategorie „Informations- und andere Dienste“).

Unfälle passieren und selbst ein gutmeinender und geschulter Mitarbeiter klickt im Laufe der Zeit auf einen bösartigen Link. Dies ist einer der Gründe, warum Sicherheitsprogramme noch immer in E-Mail- und Gerätesicherheit investieren, nachdem man die Benutzer jahrelang dazu überredet hat, E-Mails anders zu verwenden. Noch besorgniserregender ist die Zeit, die diesem Thema in wertvollen Schulungen zum Thema Sicherheitsbewusstsein gewidmet wird. Dabei wird noch mehr Schaden angerichtet, weil die Aufmerksamkeit des Publikums aufgrund mangelnder Praxistauglichkeit verloren geht.

Unternehmen müssen widerstandsfähiger sein als ein Mitarbeiter, der auf einen Link klickt. Mitarbeiter können insbesondere bei der Berichterstattung über die Wahrheit behilflich sein („wenn Sie etwas sehen, sagen Sie etwas“), die Eindämmung dieses Risikos liegt jedoch in der Verantwortung der Sicherheitsteams.

Wegbringen: Auch im geschäftlichen Kontext ist die Nutzung öffentlicher WLANs sicher.

Es besteht weiterhin die Meinung, dass öffentliches WLAN weniger vertrauenswürdig oder gefährlicher sei als Netzwerke zu Hause oder im Büro. Dennoch gibt es keine Berichte über eine massenhafte Nutzung öffentlicher WLANs, auch nicht in den Jahren 2020 bis 2022, als die Zahl der Telearbeiter sprunghaft anstieg. Die Federal Trade Commission (FTC) warnte bereits 2011 vor der Nutzung öffentlichen WLANs, aktualisierte ihre Richtlinien jedoch im Jahr 2023, um technischen Entwicklungen Rechnung zu tragen, die eine sichere Nutzung ermöglichen .

Vergleichsweise ist der Diebstahl von Laptops und anderen Geräten, ähnlich wie bei Gelegenheitsdelikten im öffentlichen Raum, ein wahrscheinlicheres Risiko, das durch Investitionen in Speicherverschlüsselung, Mobile Device Management (MDM) und Sperrrichtlinien gemindert wird. Ein Beispiel für eine Teilpopulation ist die archivierte Liste gemeldeter Verstöße gegen den Zugriff auf ungesicherte, geschützte Gesundheitsinformationen, die 500 oder mehr Personen betreffen . Sie stammt aus der Datenbank des Office for Civil Rights (OCR) des Gesundheitsministeriums und der Sozialen Dienste. Sie zeigt mehr als 4600 Fälle von Diebstahl oder Verlust eines Laptops oder anderen tragbaren elektronischen Geräts seit 2009, von denen mehr als 345 Millionen Personen betroffen waren.

Unterdessen bleibt der Trend zur Sicherheit im lokalen Netzwerkverkehr bestehen:

• Der Transparenzbericht „HTTP-Verschlüsselung im Web“ von Google zeigt, dass über 90 % des Datenverkehrs bei Google verschlüsselt ist und dass verschlüsselter Datenverkehr in Betriebssystemen wie Windows und Mac weit verbreitet ist.
• Statistiken von Let’s Encrypt zum Prozentsatz der von Firefox unter Verwendung von HTTPS geladenen Webseiten aus der Firefox-Telemetrie von Mozilla zeigen, dass ca. 80 % des weltweiten Benutzerverkehrs und ca. 90 % des Benutzerverkehrs in den USA und Japan verschlüsselt sind.
• Der Transparenzbericht „E-Mail-Verschlüsselung während der Übertragung“ von Google zeigt, dass über 90 % der E-Mails von und an Google (Gmail) verschlüsselt sind.
• Bei der Einführung der DNS-Sicherheitsfunktionalität gibt es immer noch Herausforderungen, die jedoch durch die starke Verschlüsselungsunterstützung für App-Datenverkehr und die Allgegenwart von VPN und Äquivalenten für von Unternehmen verwalteten Datenverkehr etwas gemildert werden. Die Akzeptanz von DNSSEC ist gering (laut DNSSEC Scoreboard von Verisign sind ca. 5 % der .com-Domains gesichert), nahm aber im Jahr 2020 Fahrt auf und weist ein anhaltendes Wachstum auf. Ebenso wird DNS over HTTPS (DoH) von Betriebssystemen und Browsern unterstützt.

Sofern das Gerät nicht über netzwerkbezogene Dienste verfügt (was bei Benutzergeräten die extreme Ausnahme sein sollte), birgt öffentliches WLAN im Vergleich zu anderen WLAN-Netzwerken kaum oder gar kein besonderes Risiko. Für diejenigen, die einen Zero-Trust-Ansatz verfolgen, ist öffentliches WLAN ein hervorragendes Beispiel dafür, dem Netzwerk niemals zu vertrauen – das gilt sowohl für öffentliche als auch für private Netzwerke.

Wegbringen: Dieser Angriff wurde für mehrere Telefonmodelle nachgewiesen, es liegen jedoch keine bestätigten Daten vor, die auf seine Verwendung schließen lassen, und die Kosten für die Abwehr des Angriffs durch den Benutzer sind gering, sodass es im Notfall normalerweise unbedenklich ist, ein kostenloses USB-Ladegerät zu verwenden.

Obwohl es Situationen gibt, in denen Sie USB-Ladestationen meiden möchten, z. B. wenn Sie Ihr Telefon unbeaufsichtigt lassen, sodass es gestohlen werden kann, oder wenn Sie sich auf einer Sicherheitskonferenz befinden, wo „Demonstrationen“ dieser Angriffe wahrscheinlicher sind, gibt es keine bestätigten Daten, die die Verbreitung von „Juice Jacking“ belegen.

• Die Federal Communications Commission (FCC) teilt mit, dass ihr keine bestätigten Fälle dieses Angriffs bekannt seien .
• Snopes überprüfte die „Juice Jacking“-Warnungen der Staatsanwaltschaft des Los Angeles County aus dem Jahr 2019 sowie der FCC und des Federal Bureau of Investigation (FBI) aus dem Jahr 2023 und fand keine Hinweise auf eine weit verbreitete Verwendung. KrebsOnSecurity bezog sich hierauf bei der Berichterstattung über die Warnungen der FCC und des FBI aus dem Jahr 2023.

Wer sich über dieses Risiko Sorgen macht, kann die Kostenminderung sowohl für den Arbeitgeber als auch für den Arbeitnehmer mit geringen Kosten bewerkstelligen:

1. Verwenden Sie Steckdosen-auf-USB-Ladeadapter und kleine mobile Akkupacks, die insbesondere für Geschäftsreisende zum Standard-Handgepäck geworden sind.
   
2. Wählen Sie „Nur laden“, wenn das Telefon beim Anschließen an USB fragt, ob Sie „Daten freigeben“, „diesem Computer vertrauen“ oder ähnliches möchten.
   
3. Wenn das Risiko eines Benutzers als deutlich höher eingeschätzt wird, sollte über die Anschaffung spezieller Ladegeräte und Kabel nachgedacht werden, die Daten blockieren oder nicht übertragen.

Bei kostenlosen USB-Ladestationen besteht das größere Risiko darin, dass das Gerät unbeaufsichtigt bleibt und jemand damit weggeht. Auch hier stellen Investitionen der Unternehmen in die Geräteverwaltung und die Durchsetzung von Hygienemaßnahmen in der Regel sinnvolle Abhilfemaßnahmen dar.