Security-Awareness

Innere Sicherheit: Damit Mitarbeiter unbewusst das Richtige tun

, München, Utimaco | Autor: Malte Pollmann

Innere Sicherheit: Damit Mitarbeiter unbewusst das Richtige tun

Phishing und Social Engineering

Cyberattacken abzuwehren, fordert technisch heraus und verlangt Security-Expertise, die oft fehlt. Aktuell basieren die meisten Angriffe auf Phishing, weshalb die Mitarbeiter im Sicherheitsfokus bleiben müssen. Gezielte Schulungen, technische Verhaltensanalyse und verschlüsselte Datenanalyse verhindern, dass ihr Verhalten zum Risiko wird.

Welche Risiken fahrlässiges Mitarbeiterverhalten im Kontext der Cyber Security birgt und wie sich Unternehmen absichern können, erklärt Malte Pollmann, Chief Strategy Officer bei Utimaco

Malte Pollmann, Chief Strategy Officer bei Utimaco

Angreifer haben einen entscheidenden Vorteil: Ihnen reicht bereits eine Schwachstelle, um in ein System einzudringen und Daten zu extrahieren. Darüber hinaus wählen sie selbst den Zeitpunkt, zu dem sie die Sicherheitslücke ausnutzen. Die Verteidiger der IT-Security müssen hingegen permanent mögliche Angriffsvektoren identifizieren, analysieren und beseitigen, während sie bereits die nächste Bedrohung vorausahnen. Das erfordert immense Ressourcen an Technik und Personal. Beispielsweise muss jemand die SIEM (Security Information and Event Management) -Lösung installieren, konfigurieren, bedienen und überwachen sowie das Security Operation Center (SOC) technisch einrichten und betreuen. Angesichts des Fachkräftemangels im IT-Sektor verschärft sich die Lage weiter. Daran wird die Automatisierung in der IT-Security wenig ändern. Dennoch muss der Weg zu automatisierten Routineaufgaben konsequent weitergehen, flankiert von einer starken Ausbildung und Förderung von Fachkräften.

Weiterbildungen gegen Gefahren von außen dürfen sich jedoch nicht auf die Sicherheitsspezialisten beschränken. Zu den erfolgreichsten Angriffsvektoren zählt Phishing. Diese Methoden bedienen sich Verhaltensweisen, die unbewusst und tief in der Psyche der Menschen verankert sind. Ein Angreifer kann deshalb mit einer harmlos wirkenden E-Mail ungeschulte Mitarbeiter dazu bringen, sensible Zugangsdaten preiszugeben. In vielen Fällen werden technische Lösungen damit umgangen, die einen unbefugten Zugriff auf die IT verhindern sollen. Eine ausgewogene Sicherheitsstrategie sollte daher alle Mitarbeiter berücksichtigen und sie in den Fokus der Sicherheitsstrategie rücken. Denn das Mantra, dass der Mensch ein Sicherheitsrisiko ist, sollte als Handlungsaufforderung verstanden werden.

Folgen fahrlässigen Fehlverhaltens

Selbst kleine Fehler können zu einer Bedrohung für die Unternehmens-IT auswachsen. Auf den CEO-Fraud, dem Enkeltrick de luxe, sollte niemand mehr hereinfallen. Dennoch kommen Cyberkriminelle mit dem Klassiker des Social Engineerings noch durch und der Schaden kann für das betroffene Unternehmen in die Millionen gehen. Mittlerweile müssen Mitarbeiter mit Schadensersatzforderungen rechnen. Beispielsweise hat das Sächsische Landesarbeitsgericht eine Angestellte dazu verpflichtet, , den durch ihr Verhalten verursachten Schaden anteilig zu tragen.

Mitarbeiter müssen vor unbedachten Verhaltensweisen bewahrt werden, die Hackern Türen aufstößt und Doxing fördert. Im Januar berichteten die Medien ausführlich, wie es ein Schüler aus Hessen auf zahlreiche Politiker, Musiker und Journalisten abgesehen hatte. Dabei gelang es ihm, sensible Daten wie Handynummern, Bilder von Personalausweisen, parteiinterne Dokumente sowie Chats mit Familienmitgliedern zu veröffentlichen. „Die Zeit“ wies daraufhin, dass er an viele der Informationen kam, indem er schwache Passwörter erriet. Solch ein fahrlässiges Verhalten lässt sich privat wie beruflich vermeiden.

Gezielter sensibilisieren

Security-Awareness-Trainings in Unternehmen bleiben daher zwingend erforderlich. Diese Schulungen bilden den ersten Schritt in einem Drei-Stufen-Plan zur besseren „Inneren Sicherheit“. Das thematisiert Christopher J. Romeo, der Anfang März auf der RSA Conference in San Francisco einen kulturellen Wandel in der Unternehmenssicherheit anregte. Verkürzt lässt es sich auf die Formel bringen: Rollenbasiertes Schulen und Lernen verbessert die Situation, garantieren aber keinen Erfolg. Sichere Verhaltensweisen sind oftmals aufwendiger, weshalb Mitarbeiter unter Stress oft in alte Verhaltensmuster zurückfallen.

Technische Verhaltensanalyse

An der Stelle muss die zweite Stufe greifen: Spezialisierte forensische und analytische Produkte, die einen unberechtigten oder ungewöhnlichen Informationsabfluss nach außen aufspüren und verhindern. DLP-, Mail- und Web-Security spielen hier zusammen, damit auffällige Orte oder unnormales Tippverhalten beim Anmelden, unerlaubtes Surfverhalten oder Kopieren auf einen USB-Stick registriert werden. Das lässt sich anonymisieren, um die Privatsphäre der Mitarbeiter zu wahren.

Die dritte Maßnahme betrifft die Ausrichtung der Architektur darauf, dass alle IT-Systeme und -Produkte den Nutzern die Chance bieten, den gewünschten Weg bequem zu gehen. Im Zentrum steht ein transparenter, sicherer und richtlinienkonformer Datenumgang, weshalb die Datenübertragung generell verschlüsselt erfolgen sollte. Den Schutz relevanter Datenbestände und Kommunikationswege können insbesondere Hardware-Sicherheitsmodule (HSM) übernehmen. Sie dienen als Kryptografie-Einheit, die Schlüssel erstellt, verwaltet und speichert. HSM unterstützen unter anderem das Implementieren von Passwort-Regeln und Zwei-Faktor-Authentifizierung, um einen Anwender sicher zu identifizieren. IT-Sicherheitsverantwortliche sind in der Lage, mit HSM eine Verschlüsselung aufzubauen, die auf einer Vertrauenskette basiert. Die Technik befreit sie jedoch nicht von der Pflicht, Best Practices wie das Least-Privilege-Prinzip zu etablieren. Das heißt, den Nutzern nur jene Zugriffsrechte einzuräumen, die sie für ihre Arbeit benötigen. Auch das reduziert die Gefahr, durch Fahrlässigkeit Daten zu verlieren.

Fahrlässiges Verhalten ausschließen

IT-Security sollte sich heute darauf konzentrieren, dass alle Mitarbeiter im Unternehmen sogar unbewusst den sicheren Weg wählen, egal welche Anwendung sie starten. Das gelingt, wenn Schulungen gezielt dafür sensibilisieren, welche Gefahren der jeweiligen Nutzergruppe begegnen können. Ergänzend dazu müssen Security-Lösungen anormales Nutzerverhalten aufdecken und blockieren. Diese fügen sich in eine Architektur, die auf einen verschlüsselten Datentransfer setzt und Nutzern gar nicht erst dazu verleitet, sich fahrlässig zu verhalten und damit das Unternehmen zu gefährden.