Oktober ist Security Awareness Month, eine Zeit, in der Organisationen auf der ganzen Welt ihre Mitarbeiter darin schulen, wie sie sich sowohl bei der Arbeit als auch zu Hause im Internet schützen können. Aber was genau ist Security Awareness und vor allem, warum ist es uns wichtig? Es gibt viele verschiedene Bezeichnungen für Security Awareness, z. B. Security „Influence“, „Culture“, „Engagement“, Training, „Education“ usw. All diese verschiedenen Bezeichnungen mögen verwirrend erscheinen, aber letztlich geht es bei allen um dasselbe – das Management menschlicher Risiken.
Unternehmen, Cybersicherheits-Führungskräfte und die Cybersecurity-Community werden ihnen alle das Gleiche sagen: Menschen stellen in der heutigen, stark vernetzten Welt das größte Risiko dar. Die Unternehmen sehen das nicht nur an ihren eigenen Vorfällen, sondern auch an globalen Datensätzen. Die Ergebnisse des Verizon Data Breach Investigations Reports zeigen, dass über die letzten drei Jahren in über 80 Prozent der weltweiten Sicherheitsvorfälle Mitarbeiter verwickelt sind. Einerseits sind dies Mitarbeiter, die aktiv in Phishing-E-Mails oder Smishing-Angriffe verwickelt sind oder solche, die einfache Fehler machen, z. B. IT-Administratoren, die ihre Cloud-Konten falsch konfigurieren und versehentlich sensible Daten mit der ganzen Welt teilen. Wenn also der „Mensch“ selbst ein so hohes Risiko darstellt, was sollten Organisationen dann dagegen tun?
Der herkömmliche Ansatz war (und ist oft noch immer), das Problem mit mehr Technologie zu bekämpfen. Wenn Cyber-Angreifer erfolgreich Phishing-E-Mails verschicken, wird Sicherheitstechnologie eingesetzt, die Phishing-E-Mails filtern und stoppen. Wenn Cyber-Angreifer Passwörter kompromittieren, wird eine Multi-Faktor-Authentifizierung eingeführt. Das Problem ist, dass Cyberangreifer diese Technologien einfach umgehen, indem sie den Schwachpunkt Mensch ins Visier nehmen. Während Unternehmen immer besser darin werden, Phishing-E-Mail-Angriffe zu erkennen und zu stoppen, zielen Cyber-Angreifer einfach auf die Mobiltelefone mit Smishing-Angriffen (SMS oder nachrichtenbasierte Angriffe). Da immer mehr Unternehmen MFA einsetzen, belästigen Cyber-Angreifer die Nutzer so lange mit MFA-Anfragen, bis diese der MFA-Anfrage zustimmen (wie bei dem jüngsten Uber-Vorfall).
Hier stoßen Unternehmen auf die zweite Herausforderung: Sicherheitsteams machen viel zu oft den Menschen selbst für das Problem verantwortlich. Phrasen wie „der Mensch ist das schwächste Glied“ oder „wenn unsere Mitarbeiter einfach das täten, was wir ihnen sagen, wären wir sicher“ sind Sinnbilder dafür. Diese Aussagen implizieren, dass die Menschen die Schuld tragen. Betrachtet man jedoch die Cybersicherheit aus der Perspektive des durchschnittlichen Mitarbeiters, stellt sich heraus, dass in der Security Community die oft eigentlichen Schuldigen zu suchen sind. Die Cybersicherheit wurde so verwirrend, beängstigend und überwältigend gemacht, dass der Nutzer selbst nur Scheitern kann. Mitarbeiter wissen oft nicht, was sie tun sollen, oder wenn sie wissen, was zu tun ist, ist es so schwierig geworden, dass sie es falsch machen oder einfach eine andere Option wählen.
Risiko Passwörter
Ein Beispiel dafür sind die Passwörter. Sie sind eine der größten Ursachen für Datenschutzverletzungen. Seit Jahren wird in zahlreichen Artikeln und Berichten darauf hingewiesen, dass Mitarbeiter und Nutzer nach wie vor unsichere Passwörter verwenden. Aber warum ist das so? Weil die Passwortrichtlinien furchtbar verwirrend sind und sich ständig ändern. Viele Organisationen oder Websites haben beispielsweise Richtlinien, die komplexe Kennwörter mit 15 Zeichen vorschreiben, die Groß- und Kleinbuchstaben, Symbole und Zahlen enthalten. Nutzer sollen diese Kennwörter alle neunzig Tage ändern, es gibt aber keine sichere Methode, um all diese langen, komplexen und sich ändernden Kennwörter zu schützen.
Dann führen Sicherheitsverantwortliche MFA ein, um den Mitarbeitern Sicherheit zu geben. Aber auch hier ist es extrem verwirrend (sogar für den Autor selbst!). Zunächst gibt es mehrere verschiedene Bezeichnungen für MFA, darunter Zwei-Faktor-Authentifizierung, Zwei-Schritt-Verifizierung, starke Authentifizierung oder Einmalpasswörter. Dann gibt es mehrere verschiedene Arten der Implementierung z. B. Push-Benachrichtigung, Textnachrichten, FIDO-Token, Authentifizierungsanwendungen usw. Jede Website, die Nutzer besuchen, hat einen anderen Namen und eine andere Implementierung dieser Technologie und dann werden wieder die Nutzer beschuldigt sie nicht zu nutzen.
Risiken managen
Hier kommen das Security Awareness und das Management des sogenannten „Human Risk“ ins Spiel. Security Awareness ist der traditionelle Ansatz – die Kommunikation mit und die Schulung von Mitarbeitern, wie sie sich im Internet schützen können. Das ist zwar ein Schritt in die richtige Richtung, aber es muss noch ein Schritt weiter gegangen und das menschliche Risiko gemanagt werden. Das Management menschlicher Risiken ist ein weitaus strategischerer Ansatz, der Security Awareness aufgreift und darauf aufbaut.
Die Bewältigung menschlicher Risiken wird zu einem grundlegenden Bestandteil der Strategie eines jeden Sicherheitsverantwortlichen. Security Awareness ist der erste Schritt in die richtige Richtung, um Mitarbeiter zu informieren, zu engagieren und zu schulen. Unternehmen brauchen eine engagiertere, strategische Anstrengung, um menschliche Risiken wirklich zu managen. Aus diesem Grund kann es eines Tages sogar sein, dass die Rolle des Security Awareness Officers durch die des Human Risk Officer ersetzt wird.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…