Cyberbedrohungen
Echte Security trotz menschlicher Fehler
Mitarbeiterschulungen reduzieren zwar das Fehlerrisiko, doch je nach den Zielen und dem Aufwand eines Angreifers, hat er gute Chancen auf Erfolg. Deshalb muss es in einer Sicherheitsstrategie vor allem um „Resilienz“ also „Widerstandsfähigkeit“ gehen.
Mit einer kleinen Demonstration wurden die Teilnehmer eines Webinars darauf hingewiesen, dass bereits der kostenlos verfügbare KI-Chatbot „ChatGPT“ es Internetkriminellen erlaubt, Phishing- oder Betrugs-Mails in astreinem Deutsch zu entwickeln, selbst wenn der Täter der Sprache nicht mächtig ist. Das Programm wäre sogar in der Lage, eine vernünftige Geschäftskommunikation zu führen und dabei Antworten und Inhalte selbständig oder nach Rahmenbedingungen zu erstellen. Daraufhin kam die berechtigte Frage, wie man seine Belegschaft darauf vorbereiten könne.
Die Antwort mag viele nicht befriedigen: Egal wie man Mitarbeiterschulungen selbst beurteilt, am Ende bleibt immer ein Restrisiko. Und dieses ist weniger davon abhängig, wie Schulungen durchgeführt werden, sondern hat mehr mit den Zielen und dem damit verbundenem Aufwand eines Täters zu tun. Für den Aufbau einer Security-Strategie bedeutet das vom Ernstfall auszugehen. Experten sprechen deshalb zunehmend von „Resilienz“ also „Widerstandsfähigkeit“. Gemeint ist, dass der erste Zugriff möglicherweise nicht abgewehrt werden kann, dafür aber der dadurch entstehende Einschlag überstanden wird.
Der Sinn des Trainings
Damit steht aber der Sinn einer Mitarbeiterschulung nicht in Frage. Sinnvoll ist sie sehr wohl. Allerdings empfiehlt es sich, realistische Erwartungen daran zu knüpfen. Ein geschulter Mitarbeiter wird offensichtliche Angriffe sehr schnell erkennen und entfernen können. Weil diese Art der Attacken den Großteil der Taten ausmachen, können so effizient bereits viele Fälle eliminiert und der Druck auf die IT-Sicherheitsabteilung vermindert werden. Auch lernen die Mitarbeitenden einige Tricks hinzu, wie Cyberkriminelle versuchen sie abzuzocken -- etwas, das sie auch im Privatleben gut anwenden können. Die allermeisten dieser einfachen Phishing-Kampagnen sind gar nicht auf Unternehmen ausgerichtet, sondern auf Privatnutzer. Es geht oft „nur“ um Kontonummern, Geburtsdaten und andere private Informationen oder Zugänge. Nichtsdestotrotz freuen sich natürlich Cyberkriminelle, wenn sie auch durch solche Massen-Mails Zugang zu Firmen erhalten.
Nicht auf den Menschen vertrauen
„Cybersecurity gibt es, weil wir uns nicht darauf verlassen können, dass Menschen die richtige Entscheidung treffen.“ Es ist eine der ältesten Weisheiten unserer Branche, und sie ist immer noch gültig. Als Menschen reagieren wir nicht vorhersehbar und das ist gut … und schlecht. Gut, weil dadurch Cyberangriffe entdeckt werden, die Maschinen nicht erkennen, eben weil der Mensch auf sein Gefühl hört und ihm die Mail „komisch“ vorkommt.
Schlecht, weil wir durch unsere eigene Gefühlswelt oft am klaren Denken gehindert werden. Wir begehen Fehler, weil wir gestresst sind, wütend, müde oder anderweitig abgelenkt. Und wir sind neugierig… auch eine Eigenschaft, die Fluch und Segen zugleich ist. All das sorgt dafür, dass eine menschliche Reaktion unvorhersehbar wird. Hinzu kommt, dass ein Angreifer eine unbegrenzte Zahl von Versuchen hat, so dass es immer nur eine Frage der Zeit ist, bis einmal eine Person innerhalb ihres Unternehmens einen Fehler begeht.
Und das ist nur der Normalfall
Aber es geht noch übler, dann nämlich, wenn wir nicht mehr von der Standard-Mail sprechen, sondern von einem gezielten Angriff. Bei Phishing geht es in der Regel um das Abgreifen von Daten bis hin zu Einwahlinformationen. Ein gezielter Angriff, wie Ransomware oder auch Business E-Mail Compromise (BEC), verführt ein Opfer nicht dazu, auf einer Webseite Daten einzugeben. Die Täter wollen vielmehr, dass ihr Opfer Daten über einen Anhang, einen Link oder eine andere Aktion nachlädt.
Die Überredungstaktiken gehen dabei so weit, auch Firmeninterna, wie z.B. die Namen von Kollegen oder sogar Projekten zu verwenden. Aber auch andere Verfahren gibt es. Gemein ist diesen Angriffen, dass sie oft mit deutlich mehr Aufwand erstellt und deshalb auch für aggressivere kriminelle Taten verwendet werden. Doch gerade aufgrund des Aufwands gab es bislang eher wenige Vorfälle. Ohne Frage wird sich das dank moderner KI demnächst ändern. Und damit sind wir wieder am Anfang: Wie kann man seine Belegschaft auf die neuen Angriffsmethoden vorbereiten? Die Antwort: Mitarbeiter sind nicht das Problem!
Herausforderung Mensch?
In jedem Unternehmen finden Schulungen statt, doch die eigenen Prozesse innerhalb der Firma werden dabei völlig außer Acht gelassen und stellen dabei gerade bei gezielten Attacken das gefährlichste Potential da. Die Security-Strategie eines Unternehmens darf nicht davon ausgehen, dass Menschen keine Fehler machen. Gegen einen gezielten Angriff werden die wenigsten Mitarbeiter eine Chance haben. Ein Beispiel: Sie haben doch sicherlich einen Prozess in Ihrer Verantwortung, über den die Mitarbeiter Ihre Firmenrichtlinien unterschreiben müssen (Code of Conduct). Machen Sie doch mal den Test, und schicken Sie Anfang des Jahres eine Mail mit Betreff: „Aktualisierung der Firmenrichtlinien“ über eine externe E-Mailadresse, die entfernt nach Ihrer Personalabteilung aussieht. Sehen Sie sich an, wie viele Kolleg:innen tatsächlich den Unterschied bemerken. (Aber Achtung: mit solchen Aktionen machen Sie sich keine Freunde, weder bei Betriebsräten, Personalabteilungen noch Geschäftsführung) Die Herausforderung vom Sicherheitsstandpunkt besteht darin, dass die Mail erwartet wird, genauso wie die Notwendigkeit einen Anhang zu lesen oder einen Link zu öffnen. Selbst die Eingabe persönlicher Informationen wie Einwahldaten würde nicht auffallen. Das ist die Situation, die ein gezielter Angriff erreichen möchte, und die Täter sind Spezialisten darin Menschen zu manövrieren. Echte Security geht deshalb davon aus, dass es den Angreifern gelingen wird - Mitarbeiterschulungen hin oder her
Fazit…und dann echte Security
Mitarbeiterschulungen aber auch Schutzsoftware wie z.B. Antimalware oder Firewalls dienen der Minimierung der Eintrittswahrscheinlichkeit eines Vorfalls. Die Herausforderung dabei ist, dass sehr oft nichts mehr existiert, was ihn stoppt, sollte es einem Angriff gelingen, diese Hürden zu überwinden. Deswegen spricht man in der IT-Security zunehmend über Resilienz, also Widerstandsfähigkeit. Ziel ist es, den Angriff zu überstehen, das Blocken ist nur ein Teil der Strategie. Ihn zu entdecken, falls er doch durchgekommen ist, und Gegenmaßnahmen zu ergreifen der zweite.
Echte Security kümmert sich um beides. Der Vorteil: Mitarbeiterschulungen und auch Schutzsoftware ist in den meisten Unternehmen bereits eingerichtet. Die Qualität dieser Maßnahmen entscheidet darüber, wie viele ernste Cybersecurity-Vorfälle über nachgeordnete Maßnahmen wie „Detection & Response“ (XDR) behandelt werden müssen. Damit haben Sie eine direkte Kontrollmöglichkeit ob der Wirksamkeit Ihrer Gesamtverteidigung und können im Zweifel nachbessern. Was die Überprüfung von Wirksamkeiten angeht, kann man sogar noch einen Schritt weitergehen. Über sog. Attack Surface Risk Management (ASRM) welches die gleiche Sensorik wie XDR verwendet können schon vor dem Angriff Schwachstellen in der Verteidigung erkannt werden. Dazu zählen u.a. neben veralteter Software auch geleakte User Accounts oder mehrfache Einwahlen eines Users aus verschiedenen Geolokationen. Es handelt sich hierbei um Technologie, die den aktuellsten Leistungsstand oder „Stand der Technik“ von „Werkzeugen der Angriffserkennung“ widerspiegelt. Sie muss auch funktionieren, selbst wenn die Mitarbeiter bewusst Fehler begingen.