Security Awareness und menschliche Risiken

Oktober ist Security Awareness Month, eine Zeit, in der Organisationen auf der ganzen Welt ihre Mitarbeiter darin schulen, wie sie sich sowohl bei der Arbeit als auch zu Hause im Internet schützen können. Aber was genau ist Security Awareness und vor allem, warum ist es uns wichtig? Es gibt viele verschiedene Bezeichnungen für Security Awareness, z. B. Security „Influence“, „Culture“, „Engagement“, Training, „Education“ usw. All diese verschiedenen Bezeichnungen mögen verwirrend erscheinen, aber letztlich geht es bei allen um dasselbe – das Management menschlicher Risiken.

Unternehmen, Cybersicherheits-Führungskräfte und die Cybersecurity-Community werden ihnen alle das Gleiche sagen: Menschen stellen in der heutigen, stark vernetzten Welt das größte Risiko dar. Die Unternehmen sehen das nicht nur an ihren eigenen Vorfällen, sondern auch an globalen Datensätzen. Die Ergebnisse des Verizon Data Breach Investigations Reports zeigen, dass über die letzten drei Jahren in über 80 Prozent der weltweiten Sicherheitsvorfälle Mitarbeiter verwickelt sind. Einerseits sind dies Mitarbeiter, die aktiv in Phishing-E-Mails oder Smishing-Angriffe verwickelt sind oder solche, die einfache Fehler machen, z. B. IT-Administratoren, die ihre Cloud-Konten falsch konfigurieren und versehentlich sensible Daten mit der ganzen Welt teilen. Wenn also der „Mensch“ selbst ein so hohes Risiko darstellt, was sollten Organisationen dann dagegen tun?

Der herkömmliche Ansatz war (und ist oft noch immer), das Problem mit mehr Technologie zu bekämpfen. Wenn Cyber-Angreifer erfolgreich Phishing-E-Mails verschicken, wird Sicherheitstechnologie eingesetzt, die Phishing-E-Mails filtern und stoppen. Wenn Cyber-Angreifer Passwörter kompromittieren, wird eine Multi-Faktor-Authentifizierung eingeführt. Das Problem ist, dass Cyberangreifer diese Technologien einfach umgehen, indem sie den Schwachpunkt Mensch ins Visier nehmen. Während Unternehmen immer besser darin werden, Phishing-E-Mail-Angriffe zu erkennen und zu stoppen, zielen Cyber-Angreifer einfach auf die Mobiltelefone mit Smishing-Angriffen (SMS oder nachrichtenbasierte Angriffe). Da immer mehr Unternehmen MFA einsetzen, belästigen Cyber-Angreifer die Nutzer so lange mit MFA-Anfragen, bis diese der MFA-Anfrage zustimmen (wie bei dem jüngsten Uber-Vorfall).

Hier stoßen Unternehmen auf die zweite Herausforderung: Sicherheitsteams machen viel zu oft den Menschen selbst für das Problem verantwortlich. Phrasen wie „der Mensch ist das schwächste Glied“ oder „wenn unsere Mitarbeiter einfach das täten, was wir ihnen sagen, wären wir sicher“ sind Sinnbilder dafür. Diese Aussagen implizieren, dass die Menschen die Schuld tragen. Betrachtet man jedoch die Cybersicherheit aus der Perspektive des durchschnittlichen Mitarbeiters, stellt sich heraus, dass in der Security Community die oft eigentlichen Schuldigen zu suchen sind. Die Cybersicherheit wurde so verwirrend, beängstigend und überwältigend gemacht, dass der Nutzer selbst nur Scheitern kann. Mitarbeiter wissen oft nicht, was sie tun sollen, oder wenn sie wissen, was zu tun ist, ist es so schwierig geworden, dass sie es falsch machen oder einfach eine andere Option wählen.

Risiko Passwörter

Ein Beispiel dafür sind die Passwörter. Sie sind eine der größten Ursachen für Datenschutzverletzungen. Seit Jahren wird in zahlreichen Artikeln und Berichten darauf hingewiesen, dass Mitarbeiter und Nutzer nach wie vor unsichere Passwörter verwenden. Aber warum ist das so? Weil die Passwortrichtlinien furchtbar verwirrend sind und sich ständig ändern. Viele Organisationen oder Websites haben beispielsweise Richtlinien, die komplexe Kennwörter mit 15 Zeichen vorschreiben, die Groß- und Kleinbuchstaben, Symbole und Zahlen enthalten. Nutzer sollen diese Kennwörter alle neunzig Tage ändern, es gibt aber keine sichere Methode, um all diese langen, komplexen und sich ändernden Kennwörter zu schützen.

Dann führen Sicherheitsverantwortliche MFA ein, um den Mitarbeitern Sicherheit zu geben. Aber auch hier ist es extrem verwirrend (sogar für den Autor selbst!). Zunächst gibt es mehrere verschiedene Bezeichnungen für MFA, darunter Zwei-Faktor-Authentifizierung, Zwei-Schritt-Verifizierung, starke Authentifizierung oder Einmalpasswörter. Dann gibt es mehrere verschiedene Arten der Implementierung z. B. Push-Benachrichtigung, Textnachrichten, FIDO-Token, Authentifizierungsanwendungen usw. Jede Website, die Nutzer besuchen, hat einen anderen Namen und eine andere Implementierung dieser Technologie und dann werden wieder die Nutzer beschuldigt sie nicht zu nutzen.

Risiken managen

Hier kommen das Security Awareness und das Management des sogenannten „Human Risk“ ins Spiel. Security Awareness ist der traditionelle Ansatz – die Kommunikation mit und die Schulung von Mitarbeitern, wie sie sich im Internet schützen können. Das ist zwar ein Schritt in die richtige Richtung, aber es muss noch ein Schritt weiter gegangen und das menschliche Risiko gemanagt werden. Das Management menschlicher Risiken ist ein weitaus strategischerer Ansatz, der Security Awareness aufgreift und darauf aufbaut.

1. Die Risiken: Das Security Awareness-Team muss ein integrierter Teil des Sicherheitsteams sein und sogar direkt dem CISO unterstellt werden. Es sollte eng mit anderen Sicherheitselementen (wie dem Security Operations Center, Cyber Threat Intelligence und Incident Response) zusammenarbeiten, um die größten menschlichen Risiken für das Unternehmen und die wichtigsten Verhaltensweisen zur Bewältigung dieser Risiken zu ermitteln. Sobald diese Hauptrisiken und Verhaltensweisen identifiziert und priorisiert wurden, können Organisationen mit den Mitarbeitern kommunizieren und sie in diesen Verhaltensweisen schulen. Modelle wie das Security Awareness Maturity Model ermöglichen es Unternehmen, genau dies zu tun.
2. Richtlinien: Unternehmen müssen damit beginnen, Sicherheitsrichtlinien, -prozesse und -verfahren zu erstellen, die für die Mitarbeiter viel einfacher zu befolgen sind, und Sicherheitsverantwortliche sollten die Richtlinien (und die Tools, die sie unterstützen) mit Blick auf die Mitarbeiter entwickeln. Wenn sie wollen, dass die Nutzer eine starke Authentifizierung verwenden, sollte auf etwas konzentrieren, was einfach zu erlernen und zu verwenden ist. Je verwirrender und manueller der Prozess ist, desto einfacher ist es für Cyber-Angreifer, dies auszunutzen.
3. Sicherheitsteam: Es werden Sicherheitsteams benötigt, die mit ihren Mitarbeitern in einfachen, für jeden verständlichen Worten kommunizieren und ihnen auch das warum ihrer Anforderungen erklären. Warum sind Passwort-Manager wichtig, welchen Wert bietet die MFA für den Nutzer und wozu dient die Aktivierung automatischer Aktualisierungen? Anstatt dass das Sicherheitsteam als arrogantes, technisches Verhinderer-Team wahrgenommen wird, muss die Wahrnehmung geändert werden, dass das Sicherheitsteam das zugängliche und kooperative „Enabler“-Team ist.

Die Bewältigung menschlicher Risiken wird zu einem grundlegenden Bestandteil der Strategie eines jeden Sicherheitsverantwortlichen. Security Awareness ist der erste Schritt in die richtige Richtung, um Mitarbeiter zu informieren, zu engagieren und zu schulen. Unternehmen brauchen eine engagiertere, strategische Anstrengung, um menschliche Risiken wirklich zu managen. Aus diesem Grund kann es eines Tages sogar sein, dass die Rolle des Security Awareness Officers durch die des Human Risk Officer ersetzt wird.