Menschlichen Risikofaktoren richtig begegenen
Cyber Security: Um den menschlichen Risikofaktoren richtig zu begegnen, müssen Unternehmen den einzelnen Mitarbeiter in den Mittelpunkt ihrer Betrachtungen stellen. Ingo Schaefer, Team Lead Channel Sales DACH bei Proofpoint erläutert im Gespräch wie IT-Securitystrategien in diesem Kontext aufgebaut sein sollten.
Herr Schaefer, wo sehen Sie aktuell hohe Gefährdungspotenziale?
Für Unternehmen ist das Risiko, Opfer einer Cyberattacke zu werden, weiterhin sehr hoch – und es steigt zusehends. Laut den Untersuchungsergebnissen unseres diesjährigen Human Factor Report 2019 waren insbesondere das Finanzwesen, der Bildungssektor aber auch die Marketing-Branche hinsichtlich Schweregrad und Risiko der Angriffe am stärksten durch Cyberattacken gefährdet. Am häufigsten attackiert wurden 2018 jedoch Unternehmen aus der Maschinenbau- und Automobil-Branche sowie ebenfalls dem Bildungssektor. Hier waren Organisationen im Schnitt mit 75 Angriffen konfrontiert.
Im ersten Halbjahr 2019 verschob sich aber der Trend. Hier waren nun vor allem Firmen aus dem Feld der Finanzdienstleistungen, der Fertigung und dem Gesundheitswesen sowie dem Einzelhandel betroffen. Die größte Gefahr für Unternehmen aller Branchen besteht jedoch darin, sich rein auf technische Hilfsmittel zu verlassen und dabei die schwerwiegendste Sicherheitslücke jeder Organisation außer Acht zu lassen: den einzelnen Mitarbeiter. Denn Cyberkriminelle greifen eher selten technische Schwachstellen eines Systems an, sondern versuchen Mitarbeiter zu unbedachten Aktionen zu verleiten.
Cybercrime-Trends 2020: Worauf können wir uns gefasst machen?
Cyberkriminelle werden weiterhin versuchen, sich möglichst effektiv zu bereichern. Anstatt in einem langwierigen Prozess eine technische Schwachstelle zu finden und aufwändig einen Exploit dafür zu schreiben, werden vor allem einzelne Mitarbeiter Ziel der Angriffe bleiben. Hinsichtlich der Effektivität ihrer Angriffe ist es für Cyberkriminelle am einfachsten, sich spezieller Social-Engineering-Techniken zu bedienen, um ihre Opfer mit maßgeschneiderten Attacken in die Falle zu locken. Insbesondere der E-Mail-Kanal, der in der heutigen Kommunikation von Unternehmen eine herausragende Stellung einnimmt, ist dabei das Einfallstor der Wahl.
Der Trend geht aber auch in Richtung der Verwendung dieser Taktiken über andere Kanäle, wie beispielsweise Social Media, via Telefon (Voice Phishing) oder SMS bzw. Messenger-Apps (SMS Phishing). Neben den klassischen, profitorientierten Akteuren beobachten wir zunehmend aber auch staatlich geförderte Angriffe, bei denen Regierungen oder oppositionelle Gruppen Ziel von Cyberattacken werden. Auch hier müssen wir uns auf einen Anstieg in Häufigkeit und Finesse der Attacken gefasst machen.
Welche Rolle spielt der Mensch in dieser Bedrohungslage?
Sich den Menschen als Schwachstelle der Unternehmens-IT zunutze zu machen ist für Angreifer nicht neu. Schon seit Jahren vollzieht sich ein Trend in diese Richtung. Dieser wird durch das Thema Cloud Computing noch verstärkt, da über das Abgreifen von Zugangsdaten relativ einfach der Weg zu vielen Unternehmenssystemen offensteht. Außerdem ist für die Kriminellen die Ausnutzung menschlicher Schwächen der einfachste Weg, sich finanziell zu bereichern.
Viele Unternehmen haben hier bislang nur unzulänglich reagiert. Dabei erfordern bereits heute 99 Prozent aller Angriffe eine Interaktion eines Mitarbeiters, um aus Sicht der Angreifer erfolgreich zu sein. Ein unbedachter Klick auf einen Link oder die Aktivierung von Makros in einem Datei-Anhang reicht schon aus, damit sich Cyberkriminelle Zugriff auf Ressourcen des betroffenen Unternehmens verschaffen. Daher sollten Organisationen bei der Wahl einer geeigneten Lösung sicherstellen, dass diese den Mitarbeiter in den Mittelpunkt der Betrachtung stellt. Auch die Sensibilisierung und Schulung der Mitarbeiter für Cybergefahren muss daher mehr Aufmerksamkeit erfahren.
Die Schulung aller Mitarbeiter muss ein zentrales Element jeder Sicherheitsstrategie sein.
Ingo Schäfer, Team Lead Channel Sales DACH bei Proofpoint
Wie sollte vor diesem Hintergrund die IT-Sicherheitsstrategie aufgebaut sein?
Unternehmen sollten sich zunächst einen Überblick darüber verschaffen, wer ihre am häufigsten attackierten Mitarbeiter sind – wir sprechen hier im Gegensatz zu den VIPs von den sogenannten VAPs, also den Very Attacked Persons. Denn entgegen der weitverbreiteten Annahme, sind die am häufigsten attackierten Mitarbeiter oft keine Mitglieder der Führungsebenen. In der Mehrzahl sind sie Teil des mittleren Managements bzw. Projektleiter einer Firma, da deren Zugriffsrechte oftmals sehr umfangreich sind, während zugleich ihr Schutzniveau niedriger ausfällt als beim C-Level. Darüber hinaus muss die Schulung aller Mitarbeiter ein zentrales Element jeder Sicherheitsstrategie sein.
In sogenannten Security Awareness Trainings können Mitarbeiter dabei mit individuell auf ihre Bedürfnisse zugeschnittenen Schulungen für das Thema IT-Sicherheit sensibilisiert werden. Jedoch ist es mit einer Schulung noch nicht getan. Um die Aufmerksamkeit der Mitarbeiter dauerhaft auf einem hohen Niveau zu halten, sollten auch fingierte Angriffe im Arbeitsalltag Teil dieser Trainings sein.
Welche Rolle wird Künstliche Intelligenz (KI) in Zukunft im Rahmen von IT-Security einnehmen?
Schon heute kommen KI und Machine Learning (ML) bei einer Vielzahl von Cybersecurity-Anwendungen zum Einsatz. Die ersten Spamfilter für E-Mails setzten bereits auf Techniken, die wir heute als KI und ML bezeichnen. Im Falle der E-Mail wurden anfangs nur die Domain und die IP-Adresse des Senders mittels dieser Technologien geprüft. Heute sind wir schon einen Schritt weiter und analysieren neben dem Header der E-Mail, also den Informationen zum Sender, auch den Nachrichteninhalt automatisiert auf Basis von KI und ML. Die Trainingsmodelle, die dem Einsatz dieser Technik zugrunde liegen, werden mit den Jahren immer besser.
Wenngleich sich dieser Prozess noch nicht innerhalb weniger Monate vollzieht, ist doch zu erwarten, dass sich die Erkennungsraten bei betrügerischen E-Mails in den nächsten Jahren erheblich verbessern werden. Für den einzelnen Mitarbeiter bedeutet das aber nicht, dass er in seiner Achtsamkeit beim Umgang mit E-Mails nachlassen sollte. Denn es gibt schlicht keine einhundertprozentige Garantie, dass nicht doch eine betrügerische E-Mail durch die Maschen schlüpft und das eigene Postfach erreicht.