Wenn wir den Begriff „Cyberattacke“ hören, denken wir an gesichtslose Hacker, die nach vielen trickreichen Angriffswellen in ein System eindringen und dieses kompromittieren.
In der Realität stehen hinter diesen Angriffen kriminelle Organisationen, die bewusst eine ganz bestimmte Schwachstelle in der IT-Sicherheitsarchitektur ausnutzen – den Menschen – und der entscheidende Auslöser für den Angriff ist oft nur ein einfacher Klick. Nicht umsonst wird der Faktor Mensch oft als das wichtigste – und zugleich schwächste – Glied eines ganzheitlichen Sicherheitskonzepts bezeichnet.
IT-Netzwerke von Unternehmen und Organisationen sind gegen externe Angriffe oft gut geschützt. In der Regel kommen verschiedene Präventionswerkzeuge und Sicherheitslösungen zum Einsatz. Aus diesem Grund nutzen Cyberkriminelle gezielt Methoden, in deren Mittelpunkt menschliches Verhalten steht. Die Rede ist dann von Social Engineering und dem Ziel, den Zugriff auf Systeme über die Manipulation von Anwendern innerhalb einer Organisation zu erhalten. Phishing– und Smishing-Nachrichten werden an aktuelle Geschehnisse, Krisen, Inhalte aus Fernsehsendungen oder bekannte Personen angepasst, mit dem Ziel, den Menschen zum Öffnen des Anhangs einer E-Mail oder SMS zu verleiten.
Die besten IT-Sicherheitsmodelle nutzen die Fähigkeit zu kritischem Denken und Kreativität, unterstützt von modernen Cybersecurity-Technologien.
Andreas Fuchs, Head of Strategy & Vision, DriveLock SE
Die unschlagbaren Security-Features
Für Erfolg und Misserfolg von Social Engineering spielen menschliche Fähigkeiten wie Kreativität, ein Verständnis für Sprache und das kritische Denken eine ganz entscheidende Rolle. Sowohl die Angreifenden wie auch die Verteidigenden nutzen diese Fähigkeiten. Beide Seiten nutzen kritisches Denkvermögen für ihre Pläne und Methoden, finden kreative Lösungen für schwierige Probleme und haben die Fähigkeit, Informationen frei zu kommunizieren. Anders gesagt: Cybersecurity ist vor allem auch ein intellektuelles Kopf-an-Kopf Rennen.
Cyberkriminelle bedienen sich beispielsweise brisanter Situationen, wie zuletzt Pandemien oder Kriege, um Menschen genau dort zu treffen, wo sie verwundbar sind: in ihren Emotionen. Aus diesem Grund funktionieren Spear-Phishing oder CEO Fraud (gefälschte Mails, angeblich von der Geschäftsführung) besonders gut, weil sie auf ein Verständnis von (Macht-)Konstellationen und kollegialen Beziehungen innerhalb eines Unternehmens aufbauen und entsprechend gezielt agieren.
Noch wichtiger sind menschliche Fähigkeiten auf Seite der Verteidiger. Versuche, den Menschen in diesem Wettbewerb durch künstliche Intelligenz (KI) zu ersetzen, haben nur begrenzten Erfolg. KI hat festgelegte Limits basierend auf existierender Information – menschliche Kreativität nicht. Wenn Hacker eine neue Angriffsmethode entwickeln, wird eine datenbasierte Lösung möglicherweise keinen Angriff erkennen. Menschen aber haben ein feines Gespür für Nuancen, wie ungewöhnliche Betreffzeilen und Absender im Falle von Phishing-Mails oder Veränderungen im Sprachgebrauch im Kontext von CEO-Fraud. Zudem sind Menschen in der Lage, die Zeichen der Zeit zu lesen und so zum Beispiel Phishing-Trends zu antizipieren. Regelmäßige Warnungen des BSI über bestimmte Betrugsmaschen sind ein gutes Beispiel dafür, wie Menschen eine neue Bedrohung identifizieren und kommunizieren.
Unsere einzigartigen Fähigkeiten machen die Rolle des Menschen in der Verteidigung so wichtig. Die besten IT-Sicherheitsmodelle nutzen die Fähigkeit zu kritischem Denken und Kreativität, unterstützt von modernen Cybersecurity-Technologien.
Bildquelle: DriveLock SE | Security Awareness Modul
Für Sicherheitsrisiken sensibilisieren
In der Theorie sollte die Mehrzahl der digital arbeitenden Menschen wissen, wie sicheres Verhalten im Netz aussieht. Dennoch notieren sich User weiterhin Passwörter oder speichern diese ungeschützt elektronisch ab, umgehen Sicherheitsmaßnahmen, wenn diese ihnen im Weg stehen, oder zeigen unsichere Verhaltensweisen im Netz. Daher muss das Ziel einer guten Unternehmensstrategie nicht nur sein, ein Bewusstsein für die Gefahren im Netz zu schaffen, sondern eine nachhaltige Verhaltensänderung und somit eine Kultur der Cybersicherheit herbeizuführen.
Gelingen kann dies mit kontinuierlichen Sensibilisierungsmaßnahmen wie Security Awareness Kampagnen mit situationsbedingten Sicherheitsschulungen. Wichtig für den Erfolg dieser Sicherheitsschulungen ist es, dass die Security Awareness Trainings nicht zu trocken erscheinen. Erfolgreiche Initiativen sprechen sowohl emotional als auch intellektuell an, nutzen moderne Lernmethoden, wie Gamification (etwa ein Quiz) oder Videos, und halten die User bei Laune mit kurzen, knackigen Inhalten. Wenn diese Inhalte zum passenden Zeitpunkt ausgespielt werden, sind sie deutlich effektiver als ein zweistündiger Vortrag über Hacker und Schadsoftware. Zum Beispiel erscheint ein 30-sekündiges Pop-up Video über Bad USB, wenn User einen privaten USB-Stick an den Unternehmensrechner anschließen. Mit diesem Video werden sie vor möglichen Risiken gewarnt und können so nochmal entscheiden, ob sie die auf dem Stick enthaltenen Dateien wirklich im Unternehmensnetzwerk öffnen möchten. So lässt sich mit einfachen Mitteln eine nachhaltige Kultur für Cybersicherheit etablieren.
Auf der Ebene der technischen Maßnahmen werden Sicherheitslösungen mit Fokus auf User-Centric Behaviour populärer. Diese analysieren das Anwenderverhalten und prüfen es auf Unregelmäßigkeiten.
Lösungen wie die Threat Detection and Response von DriveLock leiten direkt Gegenmaßnahmen ein, falls Abweichungen erkannt werden. Solche Lösungen lassen sich sehr gut mit einer Security Awareness Kampagne kombinieren.
Bildquelle: DriveLock SE | Security Awareness Modul
Diese Maßnahmen sind auch wesentliche Bestandteile des Zero Trust Security Modells bei DriveLock. Zero Trust behandelt Benutzer und Geräte so, dass ihnen zunächst misstraut wird. Unbekannte und somit unerwünschte Aktionen werden somit unterbunden und potenziell gefährliche Aktivitäten werden frühzeitig erkannt und entsprechend blockiert. Das betrifft nicht nur die technologischen Aspekte. DriveLock möchte die menschlichen Fähigkeiten zur Verteidigung stärken, Menschen und Organisationen unterstützen und so auch zur Bildung einer verantwortungsbewussten, sicheren Unternehmenskultur beitragen. Letztlich geht es darum, User und Systeme mit dem richtigen Zusammenspiel von modernen Technologien und menschlichen Fähigkeiten vor andauernden Cyberbedrohungen zu schützen.