Security-Awareness: Der Mensch als Sicherheitslücke

Rückblickend war das Jahr 2018 sehr ereignisreich – vor allem im Hinblick auf Cybersicherheit. So listet das amerikanische Tech-Magazin WIRED in seinem Rückblick der „Worst Hacks in 2018“ neben der Datenpanne bei Marriott und dem Cambridge Analytica Skandal um Facebook auch den Leak bei Quora und einige weitere. Auch das neue Jahr startete mit brisanten Nachrichten: persönliche Daten von über 900 aktiven sowie inaktiven Politikern standen frei zugänglich im Netz. Kurze Zeit später entdeckte der „Haveibeenpwned“-Gründer, Troy Hunt, eine Sammlung von über 700 Millionen Passwörtern aus vergangenen und aktuellen Hacks.

Innenminister Horst Seehofer (CSU) warnte vor dem Hintergrund des Politiker-Datenleaks vor Sorglosigkeit seitens der Nutzer und forderte ein risikobewusstes Handeln jedes Einzelnen. Denn kein IT-Sicherheitssystem sei zu 100 Prozent sicher. Schaut man sich die vielfältigen Angriffsarten an, setzen gerade Social Engineering-Attacken auf soziale Manipulation – also den Menschen als Schwachstelle.

Neben Angriffen wie Phishing, bergen CEO-Fraud– und Whaling-Attacken genau hier große Gefahren. Ihr Ziel ist es, Mitarbeiter eines Unternehmens zu täuschen, um an vertrauliche Daten wie beispielsweise Passwörter zu gelangen. Die Angreifer üben dazu emotionalen sowie zeitlichen Druck aus, um schneller an ihr Ziel zu gelangen. Laut einer Befragung von „KnowBe4“ gaben 77 Prozent der Befragten als Hauptursache für Angriffe im Jahr 2018 Social Engineering an – eine ernstzunehmende Erkenntnis.

Der Mensch als Schwachstelle im System – ist die Lücke zu schließen?

Ein Klick auf eine vermeintlich seriöse E-Mail, die Verwendung externer Datenträger, der Einsatz von unsicheren Passwörtern – schon kann es um die unternehmensinterne IT geschehen sein. Oftmals ohne Absicht, sondern eher durch Naivität oder Unwissenheit, gefährden Mitarbeiter ihr Unternehmen. Es fehlt die Sensibilisierung für solche Sicherheitsrisiken und das Wissen um ihre Vermeidung. Durch sogenannte „Security-Awareness-Trainings“ werden Mitarbeiter für Themen der IT-Sicherheit sensibilisiert. Ihnen werden verschiedene Angriffsarten zu Gemüte geführt und Ratschläge gegeben, wie sie sich und das Unternehmen davor schützen können.

Doch geht es um den Nutzen von Security-Awareness-Schulungen, scheiden sich die Geister. Einige Security-Experten halten derartige Maßnahmen für wirkungslos. Der amerikanische IT-Security Guru Bruce Schneier ist der Meinung, dass die dafür aufgewendeten Budgets stattdessen in sichere Software-Entwicklung und bessere Security-Schnittstellen investiert werden sollten. Er veranschaulicht dies mit einem Beispiel aus dem Gesundheitsbereich: Das Wissen um eine gesündere Lebensweise besitzen die meisten Menschen, doch geht es um die Umsetzung, erscheint der Weg aufs Sofa weitaus attraktiver als der ins Fitnessstudio. Auf die IT-Sicherheit übertragen, öffnet sich folgendes Bild: Das Kerngeschäft von Unternehmen liegt in unterschiedlichen Bereichen, jedoch oftmals nicht im IT-Sicherheitsbereich. Die Akzeptanz und Unterstützung von IT-Sicherheit durch die Mitarbeiter ist daher keine universelle Voraussetzung. Die meisten von ihnen kennen wahrscheinlich die gängigen Regelungen, empfinden doch einige davon als zu aufwendig, um sie in ihren Arbeitsalltag einzubinden.

Security-Awareness im Unternehmen nicht zu fördern, wäre jedoch fatal. Olaf Petry, CISO bei Hornetsecurity meint dazu: „Es ist schwierig, Awareness mit Zahlen konkret und aussagekräftig zu messen. IT-Sicherheit wird von den Verantwortlichen meist als zu kostenintensiv und ohne erkennbares Ergebnis wahrgenommen. Wichtig ist jedoch, dass sie Einzug in die Köpfe der Mitarbeiter erhält und im Arbeitsprozess eingebunden, aktiv gefordert und gefördert wird.“

Security & Awareness:

Das Wissen um das richtige IT-Sicherheitsverhalten ist das eine, den Grund dafür zu verstehen ist das andere. Die Ausmaße eines Datenleaks oder Hackerangriffs scheinen vielen nicht bewusst. Und darüber hinaus: Warum sollte es gerade mich treffen? Eine Security-Awareness-Schulung sollte daher nicht nur Was- und Wie-Fragen beantworten können, sondern auch das „Warum“ und „Wieso“ in den Fokus stellen. Mitarbeiter müssen verstehen, welche Auswirkungen ein Hackerangriff haben kann und was er selbst tun kann, um diese zu vermeiden. Dabei ist es wichtig, dass IT-Sicherheit nicht nur firmenbezogen, sondern übergreifend gelebt wird, denn auch die private Sicherheit hat Einfluss auf die Unternehmenssicherheit. Nehmen wir zwei Beispiele, um das zu verdeutlichen:

1. Beispiel: Mitarbeiter der Marketingabteilung: Die Aufgaben von Mitarbeitern in der Marketingabteilung erstrecken sich auf viele Bereiche. Im Social Media-Bereich bauen sie eine Präsenz des Unternehmens in Netzwerken wie Facebook, Instagram und LinkedIn auf, pflegen diese mit regelmäßigen Inhalten und stärken so die Markenbekanntheit. Um eine Unternehmensseite zu erstellen, benötigt man im Fall von Facebook und LinkedIn ein persönliches Profil, um über dieses die Unternehmensseite aufbauen zu können. Beide Profile sind dann miteinander verknüpft. Diese Verknüpfung stellt zugleich ein Sicherheitsrisiko dar, denn hat der Mitarbeiter ein vergleichsweise einfach zu knackendes Passwort, haben die Cyberkriminellen freie Hand über das Unternehmensprofil, sobald ihnen die Zugangsdaten des Mitarbeiters in die Hände fallen.

2. Beispiel: BYOD im Unternehmen

In einigen Unternehmen herrscht eine „Bring-your-own-device“-Kultur – kurz: „BYOD“, das heißt, Mitarbeiter können auch mit privaten Endgeräten im Unternehmen arbeiten. Die Kultur bringt so seine Vorteile mit sich, jedoch auch einige Nachteile, wenn es um die firmeninterne IT-Sicherheit geht. Über eine ungepatchte Sicherheitslücke auf dem heimischen Laptop nistet sich eine fiese Malware ein. Der Mitarbeiter bekommt davon nichts mit: sie macht sich nicht bemerkbar und bleibt im Hintergrund. Greift der Mitarbeiter mit seinem Laptop auf unternehmensinterne Systeme zu, nutzt die Malware die Chance aufs große Ganze und verbreitet sich über die IT-Infrastruktur des Unternehmens weiter.

Vor dem Hintergrund dieser beiden Anwendungsbeispiele ist es sinnvoll, Mitarbeiter auch zur privaten IT-Sicherheit zu schulen und Programme zum Schutz zu empfehlen. „Für Hacker reicht meist ein kleines Schlupfloch aus. Sie arbeiten sich dann so weit hoch, bis sie quasi die ganze Lebensgeschichte des Opfers kennen. Im Unternehmensnetzwerk ist das ähnlich: Hier gibt es einiges für Hacker zu holen. Um daran zu kommen, suchen sie sich das schwächste Glied – und das ist eben der Mensch“, so Olaf Petry weiter.

Das Interesse für IT-Sicherheit steigt immens, wenn es um den Mitarbeiter persönlich geht. Einen Blick auf die eher unternehmensfremden Anwendungen wie WhatsApp und Dropbox zu werfen, kann sich daher lohnen.

Das Optimum aus Security-Awareness-Schulungen rausholen

Für die Konzeption eines Trainings empfiehlt Hornetsecurity IT-Sicherheitsexperte Olaf Petry folgendes: „Security-Awareness-Trainings sollten sich immer nach der Zielgruppe richten – stehe ich vor Mitarbeitern eines IT-Unternehmens oder einer Bank? Das technische Know-How ist bei der Themenauswahl sehr wichtig, um die Teilnehmer weder zu überfordern noch zu unterfordern. Jedoch sollten gängige Themen wie Passwortsicherheit immer Bestandteil einer Schulung sein.“

Generell sollte eine Schulung ausgewählte Awareness-Aspekte zum Thema haben. So könnte es ein Ziel sein, dass Mitarbeiter nach der Schulung eine der folgenden Fragen sofort beantworten können:

• Wie sieht die aktuelle Bedrohungslage aus?
• Welche Risiken ergeben sich für das Unternehmen und den Mitarbeiter?
• Welche Schutzmaßnahmen muss ich im Fall einer Nutzung eines externen Datenträgers ergreifen?
• Welche Gefahren ergeben sich durch soziale Netzwerke?
• Wie gehe ich sicher mit meinen E-Mails und Passwörtern um?
• Was ist Phishing und wie läuft eine entsprechende Attacke ab?
• Wie verhalte ich mich bei Malware-Befall?

Wie bereits beschrieben, können Verbindungen zur privaten IT-Sicherheit sehr nützlich sein. Damit steigt auch die Motivation, überhaupt an einer Awareness-Schulung teilzunehmen. Interesse und Motivation sind dabei die Treiber, die den Lernprozess anschieben. Der Mitarbeiter möchte etwas lernen, also fällt es ihm leichter zu verstehen was er tun muss und warum er das tun muss.

Da Angriffe immer professioneller werden und neue Angriffsvektoren wie zum Beispiel durch das Internet of Things entstehen, sollten solche Schulungen in regelmäßigen Abständen wiederholt und aufgefrischt werden. Informationen zur aktuellen Bedrohungslage müssen zudem frühzeitig kommuniziert werden. So wissen Mitarbeiter wann besonders hohe Aufmerksamkeit gefordert ist.

Durch die schnelle Entwicklung neuer Technologien bleibt festzuhalten, dass IT-Sicherheit ein lebenslanges Lernen voraussetzt. So ist es mit einer Schulung nicht getan. „Aus Sicht der IT-Sicherheit müssten Awareness-Schulungen täglich durchgeführt werden, praktisch lässt sich das allerdings kaum realisieren“, so Petry.

Aktueller Einsatz von Security-Awareness-Schulungen

Rund die Hälfte der deutschen Unternehmen setzen laut BSI Lagebericht 2018 bereits auf Security-Awareness-Schulungen und nehmen Trainingsangebote von einem mittlerweile breiten Anbietermarkt wahr. Für 29 % der Unternehmen kommen derzeit und auch in Zukunft keine Security-Awareness-Trainings zum Einsatz. 19 % der befragten Unternehmen planen jedoch ein entsprechendes Schulungsangebot für ihre Mitarbeiter.

Die Untersuchung von KnowBe4 zeigt weiter, dass etwa 84 Prozent der Befragten angeben, dass ihr Unternehmen einen Rückgang von erfolgreichen Social Engineering-Angriffen (Phishing, CEO-Fraud etc.) feststellen konnte, nachdem Security-Awareness-Trainings implementiert wurden. Olaf Petry meint dazu: „Es liegt nicht allein am Menschen, dass etwa eine Phishing-E-Mail Erfolg hat. Hier spielen viele Sicherheitsebenen eine Rolle. Das menschliche Verhalten als einzige gemessene und bewertete Kenngröße ist hier nicht aussagekräftig.“

Der Erfolg einer Schulung kann nur geschätzt werden und der Effekt der Schulung ist vielleicht auch nur von kurzer Dauer. Es besteht immer eine Wahrscheinlichkeit, dass der Mitarbeiter am Ende wieder in alte Muster verfällt. „Für mich ist eine Schulung bereits dann erfolgreich, wenn jemand bei einer Phishing-E-Mail misstrauisch wird und den Angriff aufgrund seines vorhandenen Wissens aus der Schulung im Keim erstickt“, resümiert Petry.

Somit können auch wir sagen: Wenn wir es schaffen, dass eine Person, die diesen Beitrag liest, eine Attacke abwehrt, ist unser Ziel hiermit erreicht.