Warum gehen viele Menschen Hackern trotz Warnungen, Medienberichten und unter- nehmensinternen Awareness- Trainings noch immer auf den Leim und klicken unheilvolle Links an? Ist es die menschliche Neugierde, Unachtsamkeit oder Unwissen über neueste Tricks via Social-Media- Posts, Whatsapp und Videokonferenz-Tools? Nicht nur. Auch ein perfektes Timing kann zum Erfolg führen, wie das Beispiel eines Experten zeigt, der selbst in die Falle tappte.
Der unwiderstehliche Link
Alvaro Amato, Country Manager Schweiz von Check Point Software Technologies, erzählt, wie es dazu kam. «Sogar ich, als Security-Spezialist, habe auf meinem Mobiltelefon auf einen Phishing-Link geklickt. Ich erwartete eine Sendung, war im Stress, abgelenkt und bekam ein sehr gutes Phishing-E-Mail der Schweizerischen Post. Alles stimmte. Das Logo des Anbieters, der fehlerfreie Text und sogar ein Impressum war vorhanden. Dank unserer Technologie wurde mein menschliches Versagen zum Glück abgefangen.»
Wie Amato geht es leider noch zu vielen. Nicht nur Klicks auf Links, das Öffnen bösartiger Anhänge oder das Offenlegen von Passwörtern sind Schwachstellen. Ilona Simpson, CIO EMEA von Netskope, kennt aus Erfahrung einige Beispiele erfolgreicher Angriffe, bei denen Cyberkriminelle auf ungesicherte Daten in der Cloud zugreifen konnten. «Fast alle Datenlecks sind darauf zu- rückzuführen, dass Benutzerinnen und Benutzer ihre Daten in Cloud-Umgebungen speichern, ohne sich viele Gedanken über den Schutz dieser Informationen zu machen», erklärt sie.
Alarmstufe rot
Angreifer und Angreiferinnen machen sich aktuelle Themen und Ereignisse zunutze. Sie wissen um die Anziehungskraft relevanter Inhalte und nutzen das schamlos aus, wie die Verdoppelung der Angriffe seit der Pandemie zeigen. Das ruft neue Vorgehensweisen im Bereich des Sicherheitsbewusstseins bei den Mitarbeitenden auf den Plan. Doch dies ist leichter gesagt als getan, denn seit das Homeoffice Einzug in den Alltag gehalten hat, sind auch die Risiken proportional gestiegen – sowohl technisch als auch menschlich. Hinzu kommt, dass in vielen Firmen innert kürzester Zeit die gesamte Belegschaft fürs Remote-Arbeiten eingerichtet werden musste. Verständlich, dass dann die Prioritäten und Budgets nicht auf Security-Awareness-Trainings gelegt wurden.
Gemäss Christian Meier, Head Business Security Consulting bei Ispin, mangelte es leider schon vor der Pandemie an Security-Schulungen. «In der Vergangenheit wurden Awareness-Trainings selten durchgeführt. Es gab noch wenige unterstützende Tools, und eine gute Awareness-Kampagne benötigt einiges an Ressourcen und Zeit, und nur ein risikobasierter Ansatz führt zu korrekter Allokation der Mittel.»
Das deckt sich mit den Erfahrungen von Harald Drexler, Senior-Projektleiter Informationssicherheit bei der IABG. «Die meisten Unternehmen, die ich kenne, führen Trainings nur rudimentär durch.» Laut dem «2021 Verizon Data Breach Investigations Report» sind 85 Prozent der Datenschutzverletzungen auf menschliche Inter- aktion zurückzuführen, erläutert Rob Rashotte, Vice President, Global Training & Technical Field Enablement bei Fortinet: «Sie können über alle Sicherheitslösungen der Welt verfügen, aber wenn Sie es versäumt haben, Ihre Mitarbeitenden im Umgang mit dem Internet und den Risiken zu schulen, werden Sie nie wirklich sicher sein.»
Dem Bewusstsein mehr Leben einhauchen
Mitarbeitende sind nicht nur die wichtigste Ressource von Unternehmen. Sie spielen auch eine zentrale Rolle bei der Cybersicherheit. Ihre Handlungen sind oft die Ursache von Vorfällen. Und das waren allein im ersten Halbjahr 2022 nicht wenige. Das häufigste Einfallstor für Angriffe sind laut allen Expertinnen und Experten nach wie vor E-Mails. Doch Social Engineering holt rasant auf. Da gilt es, die Nutzenden mehr als ein- bis zweimal jährlich zu sensibilisieren. Sie sollten mit inhaltlich interessanten Aktionen zu mehr Bewusstsein und Vorsicht aufgerufen werden. Vor allem, weil im Homeoffice mehr Ablenkung vorhanden ist und die Geräte meist nicht nur geschäftlich genutzt werden.
«Eine grosse Herausforderung sind eigene, mobile Devices. Wir hören oft, dass sich Angestellten gegen Security Agents wehren, wenn ihre Arbeitgeber solche installieren wollen. Dabei könnte damit eine riesige Security-Lücke geschlossen werden – und die Agents sorgen nur für Sicherheit und sind kein Überwachungstool», so Amato. Candid Wüest, Vice President Cyber Protection Research bei Acronis, sieht die Herausforderung darin, die Mitarbeitenden zur Mithilfe zu motivieren. «Wenn die Angst vor Bestrafung besteht, wenn man mel- det, dass man ein Phishing-E-Mail angeklickt hat, wird das keiner tun.» Er empfiehlt, die menschliche Firewall zu nutzen und positiv zu fördern.
Ein Belohnungsprogramm wäre eine Möglichkeit, das Bewusstsein zusätzlich zu fördern und sich die Unterstützung der Mitarbeitenden zu sichern. Eine gute Gelegenheit, die Wichtigkeit der Cybersicherheit zu zeigen und den Grundstein für eine starke Sicherheitskultur zu legen. Auch freundliche Reminder und Hinweise auf aktuelle Bedrohungen sind adäquate Massnahmen. Erst recht, wenn die Informationen in bildhafter Sprache und mit emotionalen Komponenten umgesetzt werden, die auch Hackerinnen und Hacker nutzen. Rashotte weist auf einige hin, die beispielsweise Social-Engineering-Angriffe ausmachen: ein emotionaler Appell, der Angst, Neugier, Aufregung, Wut, Traurigkeit oder Schuldgefühle hervorruft. Oder Inhalte, die das Gefühl von Dringlichkeit im Zusammenhang mit der Anfrage aufkommen lassen.
Klare Regeln und Notfallplan
Klare Regeln und ein Notfallplan, den alle Mitarbeitenden kennen, sollte in jedem Unternehmen zum Standard gehören. Simpson erachtet ein digitales Hotline-System, das es Nutzerinnen und Nutzern ermöglicht, schnell auf fragwürdiges Material oder einen laufenden Angriff zu reagieren, als hilfreich. «Dieses System sollte intuitiv zu finden und zu nutzen sein. Zudem sollte der Ton in der Kommunikation des Sicherheitsteams niemals anklagend, sondern verständnisvoll und unterstützend sein», so Simpson.
Um das Bewusstsein der Mitarbeitenden zu schärfen, wäre eine separate Klausel im Arbeitsvertrag eine zusätzliche Möglichkeit, um die Klaviatur auf allen Ebenen zu spielen und Risiken auf ein Minimum zu beschränken. Manche Unternehmen haben dies bereits umgesetzt, andere, wie Meier, sehen darin keine Notwendigkeit oder erachten dies als nicht zielführend «Ich finde, es sollte, ähnlich wie Compliance-Trainings, für alle Mitarbeitenden verpflichtend sein, aber nicht als bestrafende Klausel im Arbeitsvertrag integriert werden», so Wüest.
Auch Drexler erachtet dies als nicht notwendig, kennt aber Unternehmen, die diesen Aspekt in die Policy integrieren. Beim Amt für Informatik des Kantons Zürich ist die Einhaltung von Sicherheitsvorgaben ein integrierter Bestandteil der Arbeitsverträge. «Man könnte für die Zukunft in Betracht ziehen, für bestimmte Rollen die Cybersicherheit als Kriterium bei der Mitarbeitenden- beurteilung heranzuziehen», erklärt Philipp Grabher, CISO beim Kanton Zürich.
Ob vertraglich geregelt oder nicht: Security Awareness ist mehr ein Marathon denn ein Sprint und eine Kombination von Wissen, Verständnis und richtigem Verhalten. Das will gelernt sein.
Dieser Artikel ist erstmals erschienen im Risk Management Special der «Handelszeitung» vom 7.7.2022
Lesen Sie auch: