Security Awareness Lösungen

Bildquelle: Drivelock

Besonders im Bereich IT-Sicherheit befinden sich Cyberkriminelle und Security-Teams in einem Wettrennen um die bessere Technologie – und wollen der anderen Seite stets einen Schritt voraus sein.

Dabei ist Software allein nicht ausreichend, um einen Vorsprung auf- beziehungsweise auszubauen. Beide Seiten setzen daher auf Fähigkeiten, die der Mensch besser beherrscht, als es Technologie und künstliche Intelligenz können. Wenn es um kreatives und vor allem kritisches Denken geht, sind Menschen den „Maschinen“ überlegen. Organisationen sollten diese Fähigkeiten daher nachhaltig und strategisch für ihre Cyberabwehr nutzen.

Anzeige

Ist der Faktor Mensch eine Schwachstelle für die IT-Sicherheit?

Betrachten wir die aktuelle Cyberbedrohungslage, lässt sich diese Frage schnell mit einem „Ja“ beantworten. Denn Hacker setzen bei ihren Cyberangriffen gezielt auf Emotionen und zwischenmenschliche Beziehungen, um E-Mail-Empfänger zum Klicken oder Öffnen von Dateien zu bewegen. Laut dem Bundeslagebild Cybercrime 2021 des Bundeskriminalamts (S. 13ff.) haben besonders Phishing-Angriffe mit Bezug auf die Covid-19-Pandemie zugenommen. Diese Social-Engineering-Methode zielt darauf ab, beispielsweise über gefälschte Mails von Kollegen Malware zu verteilen oder über gefälschte Webseiten Nutzer zur Weitergabe ihrer Zugangsdaten zu bewegen. Die repräsentative Studie von Bitkom von August 2021 bestätigt, dass viele Cyberattacken ihren Ursprung in Social Engineering haben. So werden beispielsweise die Inhalte von Spear-Phishing-Angriffen flexibel an das aktuelle Zeitgeschehen angepasst (FFP2-Masken, Ukraine-Krieg). Hinzu kommt, dass sich der Markt für Cybercrime zunehmend professionalisiert. Die Folgen sind leichterer Zugang zu Malware für Kriminelle, da Hacking Tools mittlerweile auch als „as-a-Service“-Modell angeboten werden. Das bedeutet, dass böswillige Akteure nicht mehr technisch versiert sein müssen. Sie können zum Beispiel mit Malware-as-a-Service in wenigen Schritten eine breit angelegte oder gezielte (je nach Bedarf) Malware- Attacke initiieren.

Das Ziel von Security Awareness ist es, den Faktor Mensch zu einem festen Bestandteil einer langfristigen IT-Sicherheitsstrategie und somit zu einem entscheidenden Security-Vorteil zu entwickeln.

Andreas Fuchs

Anzeige

Fest steht, dass Cyberkriminelle ganz gezielt menschliches Verhalten im Fokus ihrer Angriffe haben und versuchen, dieses für ihre Zwecke zu nutzen. Nur wenn Organisationen menschliches Verhalten in ihrer Security außen vor lassen, kann der Faktor Mensch tatsächlich eine Schwachstelle für ihre IT-Sicherheit darstellen. Daher ist es essenziell, Mitarbeitende nachhaltig in die Cybersecurity-Strategie zu integrieren und eine Kultur der Cybersicherheit aufzubauen. Das gilt besonders für Organisationen, die zur kritischen Infrastruktur (KRITIS) zählen. Sie sind ein beliebtes Ziel für Cyberattacken und sollten daher so viele Sicherheitsebenen wie möglich effektiv umsetzen. Einige Security- Anbieter, wie der Security Spezialist DriveLock, sind diesem Bedarf nachgekommen und bieten entsprechende Lösungen, die das Sicherheitsbewusstsein von Mitarbeitenden fördern und ausbauen.

In diesem Beitrag zeigen wir am Beispiel eines Krankenhauses, wie der Einsatz einer solchen Lösung in der Praxis aussehen kann. Krankenhäuser und Kliniken waren in den vergangenen Jahren besonders stark von Cyberattacken betroffen.

Security Awareness am Beispiel Krankenhaus

Das Krankenhaus eignet sich besonders gut zur Veranschaulichung, weil es gleich mehrere Herausforderungen angehen muss.


Krankenhäuser und Kliniken

  • sind einem erhöhten Cyberrisiko ausgesetzt. Beispielsweise wurden der Klinikverbund „Medizin Campus Bodensee“ im Januar 2022, wenige Monate zuvor das Klinikum Dessau (September 2021), oder die Uniklinik Düsseldorf (September 2020) bereits Opfer von Cyberangriffen.
  • sind KRITIS-Organisationen beziehungsweise müssen auch unabhängig von ihrer Größe IT-Sicherheit nach dem aktuellen Stand der Technik umsetzen.
  • müssen daher Regularien erfüllen wie den Branchenspezifischen Sicherheitsstandard (B3S).
  • verwalten eine Vielzahl vernetzter medizinischer Geräte, die jederzeit online und einsatzfähig sein müssen (ähnlich Industrial IoT). Gleichzeitig wird Telemedizin immer häufiger eingesetzt.
  • verfügen über Personal, das nicht immer über ausreichendes IT-Wissen verfügt. Zudem ist es schwierig, dieses Wissen aufzubauen aufgrund von Schichtarbeit, Personalrotation, einem stark ausgelasteten Arbeitsalltag und daraus folgend einem mangelnden Austausch zwischen IT-Teams und Klinikpersonal.
  • können als öffentliche Gebäude den Zugang nicht einfach einschränken wie Privatunternehmen. Das heißt, der Zugang zu nicht gesperrten Computern unddamit Zugang zu sensiblen Daten ist für böswillige Akteure einfacher.
  • haben viele E-Mail-Adressen in öffentlichen Verzeichnissen. Gezieltes Phishing (Spear-Phishing) oder CEO Fraud sind daher einfacher umzusetzen.
  • müssen sich schützen trotz geringer Budgets für IT-Sicherheit und fehlenden IT-Fachkräften.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wie kann Security Awareness zum Cyberschutz beitragen?

Das Ziel einer guten Sensibilisierung für IT-Sicherheit ist, das Bewusstsein für die Gefahren im Netz zu erweitern und gleichzeitig eine nachhaltige Verhaltensänderung, also eine Kultur der Cybersicherheit zu schaffen – ergänzend zu technischen Sicherheitslösungen. Darüber hinaus helfen Security-Awareness-Lösungen, gesetzlich vorgeschriebene Trainings oder andere Compliance-Vorgaben umzusetzen. Sowohl die DSGVO als auch B3S schreiben diese in regelmäßigen Abständen für Führungskräfte und Mitarbeitende vor. Letztlich geht es immer darum, Menschen und Systeme vor Cyberangriffen zu schützen. Die Sensibilisierung der Belegschaft für Cybersicherheit im Alltag verbessert das Schutzniveau fast exponentiell.

Zurück zum Fallbeispiel: Vor allem in Krankenhäusern und Kliniken passiert es, dass aufgrund des Drucks und der Notwendigkeit, dringende medizinische Versorgung zu leisten, medizinische Fachkräfte gegebenenfalls gute Security-Praktiken aufgeben, um die Patienten zu versorgen (ENISA Procurement Guidelines for Cybersecurity in Hospitals, S. 19). So werden in der Praxis Passwörter sichtbar notiert, damit sie schnell gefunden werden oder medizinische Geräte nicht ausgeloggt und sind damit frei zugänglich. Via E-Mail werden mit einer Vielzahl von anderen Einrichtungen auch sensible Daten ausgetauscht und verdächtige E-Mails eher zugelassen und geöffnet, weil sie wichtige Informationen für die Patientenversorgung enthalten könnten.

Aus diesen Gründen ist das Zusammenspiel von Technologie und Mensch sehr wichtig. Die Kreativität und das kritische Denken des Menschen können Spam- und Phishing-Angriffe besser erkennen und abwehren als jedes noch so intelligente Tool. Schlüpft eine Phishing-Mail durch das Sicherheitsnetz, können sensibilisierte und aufmerksame Empfänger diese identifizieren.

Für eine erfolgreiche Einführung einer Security-Awareness-Lösung sollte das Krankenhaus daher folgende acht Faktoren beachten:

  1. Security Awareness braucht das Buyin der Führungsebene.
  2. Die Lösung sollte fester Bestandteil einer ganzheitlichen Security-Strategie sein.
  3. Die Verantwortung liegt bei den Security-Verantwortlichen (CISOs o.ä. Rollen), vor allem im Zusammenhang mit Zertifizierungen, Audits, Maturity Models.
  4. Idealerweise sollte das Thema abteilungsübergreifend in Zusammenarbeit mit HR und weiteren Verantwortlichen für Personalentwicklung getrieben werden.
  5. Natürlich muss das gesamte Personal bei der Entwicklung des Security-Awareness-Programms einbezogen werden, um alle potenziellen Risikoszenarien einzubeziehen.
  6. Der Fokus muss auf den Menschen liegen, die die Systeme jeden Tag in Anspruch nehmen (People-centric Approach).
  7. Zunächst muss ein Problembewusstsein für Cybersicherheit geschaffen werden. Daher sollten sich Trainingseinheiten auch inhaltlich am Alltag und den Prioritäten der Zielgruppe ausrichten. Dazu rät auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen Cybersicherheits-Empfehlungen zu Awareness.
  8. Pädagogisch durchdachte und interaktive Schulungseinheiten sind wichtig: Die Lösung sollte Microlearning, spielerische Aspekte (Gamification) und ähnliches umfassen, damit Mitarbeitende motiviert bleiben und eine nachhaltige Verhaltensänderung erreicht wird.

Was macht den erfolgreichen Einsatz von Security Awareness im Arbeitsalltag aus?

Wichtig ist vor allem, dass das Sensibilisierungs-Programm nicht nur als eine Checkbox für Audits betrachtet, sondern gewissenhaft und mit Nachdruck umgesetzt wird. Am effektivsten sind die Initiativen, die moderne Lernmethoden anwenden und das Interesse der Anwender und Anwenderinnen wecken. Daher sind die bereits erwähnten Gamification-Ansätze oder kurzweilige Formate wie Videos oder ein Quiz sinnvoll, damit Anwender motiviert bleiben. Eine Grundvoraussetzung dafür ist, dass diese Trainings in einem angstfreien Raum stattfinden. Die Belegschaft sollte keine negativen Konsequenzen fürchten müssen, wenn sie während der Schulung Fehler macht. Der Fokus liegt stets auf dem Lerneffekt und einer nachhaltigen Verhaltensänderung. Für ersteres sind kurze, anlassbezogene Erinnerungen im Alltag sowie regelmäßiges Wiederholen sinnvoll.

Die Ergebnisse einer erfolgreichen Security-Awareness-Lösung

Die messbaren Ergebnisse sehen bei einem erfolgreichen Zusammenspiel von Mensch und Technologie wie folgt aus:

  • Geringere Klickraten bei Phishing-Mails
  • Transparenz für Verantwortliche, etwa via Dashboards über den Awareness-Status und -Fortschritt der Mitarbeitenden durch anonymisierte Kurztests.
  • Verantwortliche können jederzeit den aktuellen Risk Score sehen.
  • Security ist in der DNA der Organisation verankert.
  • Das Personal ist für mehr Cybersicherheit motiviert und befähigt.

Das Ziel von Security Awareness ist es, den Faktor Mensch zu einem festen Bestandteil einer langfristigen IT-Sicherheitsstrategie und somit zu einem entscheidenden Security-Vorteil zu entwickeln. Es handelt sich dabei nicht um eine einmalige Aktion, sondern vielmehr einen stetigen Prozess, um eine verantwortungsbewusste, sichere Unternehmenskultur zu etablieren. So tragen Security-Awareness-Lösungen dazu bei, User und Systeme mit dem richtigen Zusammenspiel von Technologien und dem Intellekt des Menschen vor Cyberbedrohungen zu schützen.


Laut dem Bayerischen Landesamt für Sicherheit in der Informationstechnik sollten Security-Awareness-Maßnahmen in der Praxis folgende Punkte aufgreifen:

  • Grundlagen der Informations-und Datensicherheit (Rechtsnormen, DSGVO, BDSG, § 35 SGB I, § 30 AO)
  • Sensibilisierung hinsichtlich der Zugangskontrolle zu Gebäuden und Gebäudeteilen
  • Sicheres Surfen im Internet
  • Umgang mit E-Mails, deren Anhängen und Links
  • Gefährdung durch Phishing-Angriffe Umgang mit Passwörtern (Aufbau, Richtlinien, Vertraulichkeit)
  • Schadsoftware und deren Verbreitungs- und Bedrohungspotenzial
  • Aufbewahrung und Zugriffsschutz von (mobilen) Datenträgern
  • Bedrohung durch Nutzung nicht zugelassener Software
  • Social Engineering
  • Verhalten beim Erkennen von Gefahren und sicherheitsrelevanten Ereignissen

Andreas

Fuchs

Director Product Management

DriveLock SE

Andreas Fuchs ist Experte für Endpoint Security, UEM, Produktentwicklung und -strategie. Der Forrester ZTX Strategist (ZTX-S) spricht regelmäßig zu verschiedenen Themen im Bereich IT-Security.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.