„Risikofaktor Mensch“ ist nicht das Problem, sondern die Lösung

Im alltäglichen Umgang mit IT-Systemen ist Awareness eine elementare Sicherheitsmaßnahme. Das bedeutet zunächst, dass ein Problembewusstsein für Cyber-Sicherheit geschaffen werden muss. Darauf aufbauend kann man eine Verhaltensänderung hin zu sicherem digitalen Umgang erreichen.

Warum dies notwendig ist? Dafür muss man nicht lange suchen, das Web ist voll von Meldungen zu aktuellen Cyberangriffen, Social Engineering-Hacks und Phishing-Attacken. So hat beispielsweise ganz aktuell der Anbieter von Sicherheitslösungen, Arctic Wolf, in einer Umfrage herausgefunden, dass fast drei Viertel (70 Prozent) aller global befragten Unternehmen im letzten Jahr das Ziel versuchter BEC (Business Email Compromise)- oder E-Mail-Account Takeover-Angriffe waren. Fast ein Drittel (29 Prozent) war Opfer eines oder mehrerer erfolgreicher BEC-Vorfälle. In DACH lagen die Werte mit 82 Prozent und 41 Prozent sogar noch einmal deutlich höher. Außerdem haben im letzten Jahr 61 Prozent der Unternehmen eine Insider-Bedrohung festgestellt. In 29 Prozent der Fälle hat dies zu einem Sicherheitsvorfall geführt, bei einem weiteren Drittel (32 Prozent) wurde die Bedrohung erkannt und gelöst, bevor sie zum Sicherheitsvorfall eskalierte. Außerdem gaben von den 39 Prozent derjenigen, die innerhalb des letzten Jahres keine Insider-Bedrohung festgestellt haben, sechs Prozent zu, dass sie glauben, ein hohes Risiko für Insider-Bedrohungen zu haben – und das ist nur eine Studie von endlos vielen zum Thema.

„Nicht alle Insider-Bedrohungen sind böswilliger oder absichtlicher Natur“, kommentiert Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf. „In vielen Fällen handelt es sich um unbedarfte User, die unbewusst oder manipuliert durch Angreifer Aktionen ausführen, die dann zu einem Sicherheitsvorfall führen, etwa das Herunterladen potenzieller Malware durch Anrufe und E-Mails von einem fingierten Service-Techniker oder das Anklicken von Phishing-Links in E-Mails, SMS, Whatsapp-, Slack- oderTeams-Nachrichten.“ Was dagegen hilft? Security Awareness.

Der richtige Blickwinkel

Hilfreich für erfolgreiche Security Awareness ist ein Wechsel des Blickwinkels. IT- Sicherheit ist so gut, wie der Mensch der die Systeme bedient. Aus diesem Grund sollte man den Menschen nicht als Sicherheitslücke, sondern als Abwehrschirm gegen Cyber-Angriffe sehen. Die weitverbreitete Rhetorik vom „Faktor Mensch“ kann destruktiv wirken. Der Mensch ist nicht Teil des Problems, sondern als „Sicherheits-Faktor-Mensch“ Teil der Lösung. Es gilt, die Schnittstelle zwischen Mensch und Maschine besser zu gestalten.

Problembewusstsein und sicheres Verhalten

Wie beispielsweise im Bericht der Aberdeen-Gruppe mit dem Titel „Security Awareness Training: Small Investment, Large Reduction in Risk“ dargestellt wird, gibt es darüber hinaus auch wirtschaftliche Argumente für die Schulungen. Die Forscher führten dazu einen Workshop mit Vertretern der Unternehmenssicherheit durch, um herauszufinden, warum sie in Security Awareness und Schulungen investieren. Die Ergebnisse:

• 91 Prozent möchten das mit dem Benutzerverhalten verbundene Cybersicherheitsrisiko reduzieren.
• 64 Prozent möchten das Benutzerverhalten ganz generell ändern.
• 61 Prozent führen Schulungen durch, um regulatorische Anforderungen zu erfüllen.
• 55 Prozent führen Schulungen durch, um interne Richtlinien einzuhalten.
  
  

Die Entwicklung von Security Awareness Trainings

Trotz der Tatsache, dass die Schulungen für Security Awareness nicht neu sind, ist das Thema erst seit Kurzem in der allgemeinen Diskussion. Entschieden dazu beigetragen hat die Einführung des „National Cyber Security Awareness Month“ im Jahr 2004 in den USA. Die Initiative, die von der National Cyber Security Alliance und dem US-Heimatschutzministerium ins Leben gerufen wurde, sollte den Menschen helfen, online sicher und geschützt zu bleiben, indem gute Praktiken (wie die regelmäßige Aktualisierung von Antiviren-Software) angeregt wurden. Seitdem hat der jährliche Cybersicherheitsmonat in anderen Ländern ähnliche Veranstaltungen inspiriert, seine Themen und Inhalte erweitert und eine größere Beteiligung von Unternehmen, Regierungen, gemeinnützigen Organisationen und der Öffentlichkeit hervorgerufen. Die Methoden, der Schwerpunkt und die Effektivität von Sicherheitsbewusstseinstrainings haben sich allerdings in den letzten Jahren verändert.

Schlüssel zur wirksamen Verteidigung

Das Wissen um die Kernpunkte einer effektiven Security Awareness-Strategie ist kein Hexenwerk. Beispielsweise Security-Anbieter Knowbe4 hat einige Punkte zur Förderung einer effektiven Verteidigung zusammengestellt, wobei man zwischen „menschelnden“ Kriterien und technischen Kriterien unterscheiden sollte.

Softe Kriterien:

• Achten Sie auf Unstimmigkeiten in der Kommunikation. Dazu zählen beispielsweise untypische Sprache, ungewöhnliche Anfragen oder Abweichungen von gewohnten Kommunikationsmustern.
• Dringliche oder nicht überprüfte Anfragen sollten mit einer gewissen Skepsis betrachtet werden, insbesondere wenn es um finanzielle Transaktionen oder die Preisgabe sensibler Informationen geht.
• Inkonsistente oder manipulierte Audio- und Videodateien: Bei der Nutzung von audiovisuellen Medien ist insbesondere auf Synchronisationsprobleme zwischen Ton und Bild, unnatürliche Gesichtsbewegungen oder undeutliche Hintergründe zu achten, die auf Manipulationen hinweisen könnten.

Technische Aspekte:
Aber auch technische Aspekte sind bei Security-Awareness-Training zu berücksichtigen. Dazu gehören beispielweise (laut Wikipedia):

• Grundlegende Informationen zur Informations- und Datensicherheit
• Sicherer Umgang mit Phishing E-Mails
• Sicherer Umgang mit QR-Codes
• Bedrohungspotenzial durch Schadsoftware
• Physische Sicherheit am Arbeitsplatzrechner
• Umgang mit mobilen Datenspeichern
• Risiken und Gefahren bei der Verwendung von mobilen Geräten
• Gefahren durch soziale Netzwerke
• Gefährdungspotenzial durch Social Engineering
• Gefahren der Internetnutzung
• Gefahr durch Phishing und Ablauf einer Phishing-Attacke
• Sichere Passwörter und verantwortungsvoller Umgang damit
• Sichere Verwendung öffentlicher Internetzugänge und Hotspots
• Die konkreten Sicherheits- und Passwortrichtlinien im Unternehmen
• Verhalten bei sicherheitsrelevanten Ereignissen
• Informationspflichten bei erkannten Gefahren

Fazit

Security Awareness ist mehr als nur die Sensibilisierung von Mitarbeitern gegenüber potentiellen Gefahren und Risiken. Security Awareness hat vielmehr die Aufgabe, Menschen zu verstehen, sie zu erreichen und letztlich auch zu überzeugen. Vielleicht sogar, unbedarfte Verhaltensweisen nachhaltig zu ändern und so eine eigene Sicherheitskultur zu schaffen. Oder wie es der Marktplatz IT-Sicherheit als Slogan formuliert: Sicherheit geht alle an!