Der menschliche Faktor auf Führungsebene
Immer wieder zeigt sich, dass der Schwachpunkt technischer Systeme der Mensch ist, der mit ihnen umgehen soll. Da verbauen zum Beispiel Automobilhersteller aufwändige, höchst wirksame Bremsanlagen – und der Mensch tritt im Augenblick der Gefahr nicht aufs Pedal, weil er gerade einen Schokoriegel isst oder eine Whatsapp Message verschickt. Das autonome Fahren ist ja nicht zuletzt deshalb so attraktiv, weil man hofft, dass die Technik auf diesem Weg im Wesentlichen unter sich bleiben kann. Bisher aber konnte nicht mal die IT sich ganz vom menschlichen Faktor lösen. Auch hochgradig automatisierte Systeme brauchen irgendwo immer die Schnittstelle zum Benutzer, für den sie schließlich arbeiten sollen. Das gilt auch für Cyber Security.
Die Sicherheitssysteme von Unternehmen sind nur so stark wie ihr schwächstes Glied, und oft ist das die Schnittstelle zwischen Maschinen und Menschen. Die anspruchsvollsten und ausgefeiltesten Sicherheitssysteme nützen wenig, wenn die Benutzer nicht wissen, wie und vor allem warum sie damit arbeiten sollen. Cyber Security kann nicht funktionieren, ohne dass die Mitarbeiter über diese Thematik informiert und entsprechend geschult sind.
Die geringe Sensibilisierung für das Thema Sicherheit hat das Phishing zu einer der beliebtesten Waffen für Cyber-Kriminelle werden lassen. Auch wenn die Erkenntnis trivial erscheint: Menschen sind nun mal keine Maschinen, sie funktionieren – zum Glück – nicht stur nach einem fixen Regelwerk, sie haben Entscheidungskompetenz, sind in ein soziales Umfeld eingebunden und haben auch kein konstantes Leistungs- und Aufmerksamkeitsniveau. Menschen können daher sozial manipuliert werden, man kann sie veranlassen, ihre Anmeldedaten aufgrund von Phishing-E-Mails oder Betrugsanrufen weiterzugeben oder verdeckte Malware herunterzuladen, weil sie schädliche Anhänge öffnen oder auf korrumpierte Links klicken. Und immer wieder erleichtern sie den Cyber-Kriminellen die Arbeit, indem sie Passwörter über mehrere Accounts hinweg verwenden oder einfach zu erratende oder zu analysierende Anmeldedaten verwenden. Der menschliche Faktor ist so die in der Regel ungewollte Hauptursache für die wachsende Zahl schwer zu verhindernder, aber sehr folgenreicher Datenlecks. In Großbritannien war fast die Hälfte aller Verstöße, die in den letzten Jahren dem Datenschutzbeauftragten gemeldet wurden, auf Fehler von Mitarbeitern zurückzuführen.
Soweit zu den Mitarbeitern. Führungskräfte wiederum sind – zurückhaltend ausgedrückt – meist ihrerseits keine Freunde einer umfassenden Security Policy. Die IT-Sicherheit stört die Arbeitsprozesse, sie schafft für sich keinen Mehrwert und wirkt sich damit negativ auf die Produktivität des Unternehmens aus – mit einer sicheren IT wird man nicht berühmt. In den meisten Unternehmen ist man der Auffassung, dass Sicherheit die Sache der Fachleute der IT ist, aber die Unternehmensführung nichts angeht. Diese Einstellung macht es wiederum schwer, umfassende Sensibilisierungsmaßnahmen und Trainingsprogramme für die gesamte Belegschaft anzustoßen. Wenn IT-Sicherheit auf der Führungsebene nur unzureichend verankert ist, ist die IT mit ihren Ideen allzu oft auf verlorenem Posten.
Um in so einer Situation voranzukommen, hat NTT Security einen neuen Weg beschritten. Nach entsprechender Abstimmung mit den betreffenden Unternehmen werden „personalisierte Vulnerabilitäts-Tests“ durchgeführt, um das Sicherheitsbewusstsein insbesondere von Führungskräften zu überprüfen. Das Team von NTT Security nutzt dabei alle Möglichkeiten, um Anmeldungen zu erhalten; es verschickt also zum Beispiel überzeugende Phishing-E-Mails an das Management, surft mit geeigneten „Zielpersonen“ in unsicheren Umgebungen oder startet auch Brute-Force-Angriffe auf Passwörter.
Das klingt komplizierter, als es dann in der Praxis war. Denn die Ergebnisse der Projekte, die zuerst in Skandinavien durchgeführt wurden, waren sogar für die Initiatoren überraschend. Die von NTT Security durchgeführten Tests erfordern selbstredend eine sorgfältige Vorbereitung. Doch diese Zeit nehmen sich professionelle Angreifer ebenfalls. Nach der Vorbereitung dauerte es in der Tat oft nur zehn Minuten, bis die Security-Experten in der Lage waren, Kontrolle über kritische Daten, darunter Business-Pläne, M&A-Planungen, Intranet, Einkaufssysteme, Domain Controller, Passwörter oder Usernamen, zu erhalten. Mit den Admin-User-Rechten und -Passwörtern, ist dann jede Bewegung in den IT-Systemen und der Zugriff auf kritische Informationen eines Unternehmens unentdeckt möglich. Diese realistischen Angriffssimulationen wurden im Management von Unternehmen unterschiedlicher Größe durchgeführt und alle hatten nach eigenen Angaben effiziente und gute Security-Lösungen implementiert. Grundsätzlich lässt sich aufgrund dieser Erfahrungen durchaus sagen, dass die Reife in Bezug auf Cyber Security auf Management-Ebene eher niedrig ist. Stattdessen ist der Gedanke weit verbreitet, dass man selbst kein strategisches Angriffsziel darstellt.
Führungskräften auf diese – in der Tat brutale – Weise einen Spiegel vorzuhalten, ist mehr als nur ein Beitrag zum Sicherheitsbewusstsein auf der Geschäftsleitungsebene. Es geht nicht nur darum, dass das Management künftig besser auf seine Zugangsdaten aufpasst. Es geht darum, eine sicherheitsorientierte Kultur im gesamten Unternehmen zu etablieren, für Aufgeschlossenheit gegenüber sicherheitsrelevanten Themen zu sorgen und last but not least auch darum, entsprechende Mittel bereitzustellen. Es ist ein guter Anfang, um den menschlichen Faktor vom schwächsten Glied in eine starke erste Verteidigungslinie zu verwandeln. Hierzu muss das Senior Management mit gutem Beispiel vorangehen!
Nicht zuletzt mit der Europäischen Datenschutzgrundverordnung (EU- DSGVO) wird das Bewusstsein sich nachhaltig verändern müssen, die Abwehr von Cyberangriffen wird auch für Führungskräfte zu einem entscheidenden Faktor, auch um kommerziellen Schaden für Unternehmen abzuwenden.
* Kai Grunwitz ist Senior Vice President EMEA bei NTT Security
Bildquelle: NTT Security