IT-Security

Human Firewall

06.10.2022 - Der Mensch und sein Verhalten haben weiterhin eine Schlüsselrolle in der Cyber-Sicherheit. Ein Beitrag von Sven Klüver, Tüv Süd Akademie.

Der Trend zur Automatisierung in der IT-Sicherheit kann Unternehmen einen Vorteil im Kampf gegen Cyber-Kriminelle verschaffen. Denn ebenso wie die Angreifer arbeiten auch die Unternehmen zunehmend mit KI und automatisierten Lösungen. Trotz dieser technischen Fortschritte haben der Mensch und sein Verhalten aber weiterhin eine Schlüsselrolle in der Cyber Security. Ein Beitrag von Sven Klüver, Leiter Geschäftsbereich Datenschutz Consulting Services, Tüv Süd Akademie.

Die „Human Firewall“ ist ein wichtiges Element in der Cyber Security-Strategie von Unternehmen, sie muss allerdings ebenso kontinuierlich trainiert und gestärkt werden wie regelmäßige Software-Updates und -Patches, die regelmäßig ausgeführt werden müssen, um ein hohes Sicherheitsniveau zu halten. Deshalb sollte sich jedes Unternehmen damit auseinandersetzen, wie stark das Bewusstsein der eigenen Belegschaft für Cyber-Sicherheit ausgeprägt ist und in Weiterbildung investieren.


Automatisierung erhöht den Takt

Der technologische Fortschritt bringt nicht nur die Chance für leistungsfähige Sicherheitsanwendungen, sondern auch erhebliche Risiken mit sich. Die digitale Infrastruktur befindet sich im Wandel und Unternehmen versuchen naturgemäß, ihre Prozesse effizient und skalierbar zu gestalten. Deshalb setzten Unternehmen zunehmend auf die Cloud und SaaS-Lösungen. Cyber-Kriminellen nutzen das, da sich somit die Angriffsfläche vergrößert. Angriffe, entweder durch Phishing-Kampagnen oder Social Engineering haben eine hohe Erfolgsquote, da sie durch Automatisierung sehr breit ausgerollt werden können. Jede Nutzerin und jeder Nutzer der digitalen Infrastruktur eines Unternehmens sollte daher ein ausreichendes Gefahrenbewusstsein und Wissen über Bedrohungssituationen sowie geeignete Reaktionsweisen besitzen. Die gelebte Sicherheitskultur in einem Unternehmen kann die Handlungen einzelner Mitarbeitenden nachhaltig und prägen.

Bei Spear-Phishing haben Organisationen es inzwischen mit hochentwickelten neuen Angriffsmethoden zu tun. Die Angreifer sind durch KI und Open Source Intelligence (OSINT) in der Lage, mit geringem Aufwand Angriffe durchzuführen, die auf die individuellen Sicherheitslücken von Unternehmen angepasst sind und dadurch eine höhere Erfolgswahrscheinlichkeit aufweisen. Durch das Wettrüsten zwischen Sicherheitsanbietern und Kriminellen ist die Entwicklung auf beiden Seiten sehr dynamisch. Deshalb müssen die Mitarbeiter im entscheidenden Moment, in dem Sicherheitslücken entstehen, als „Human Firewall“ funktionieren. Das Gegenbeispiel ist der „Human Error“. Im schlimmsten Fall könnte ein Mitarbeiter hier die Sicherheitsmechanismen bewusst oder unbewusst aushebeln, indem zum Beispiel Sicherheitseinstellungen deaktiviert oder vertrauliche Daten wie Passwörter weitergegeben werden.


Cyber Security ist Chefsache

Die Zeiten, in denen Cyber Security ein reines Technikthema war, sind längst vorbei. Cyber Security ist heute eine Top-Priorität für das Top-Management. Führungskräfte leben die Unternehmenskultur und damit auch die Sicherheitskultur vor. Sie müssen Weiterbildungsangebote etablieren, aber auch insgesamt einen Sicherheitskultur im Unternehmen schaffen, in dem sie diese von ihrer Belegschaft einfordern, klar kommunizieren und vor allem selbst mit guten Beispiel vorangehen.

Hilfreich sind Guidelines im Unternehmen, die Transparenz und Verständnis für den Aufbau der internen IT-Infrastruktur schaffen und auf die Bedrohungen aufmerksam machen. Das Ziel sollte es sein, Cyber Security in allen Prozessen des Unternehmens  mitzudenken. Die Trainingsmaßnahmen sollten sich an den rollenspezifischen Bedürfnissen orientieren. Wenn Mitarbeiter beispielsweise mit sehr sensiblen Daten arbeiten, sollte dem Training dieser Abteilung eine besonders hohe Priorität eingeräumt werden.


Sicherheitskonformes Verhalten

Maßnahmen zur Weiterbildung und Sensibilisierung sind elementar für die Cyber-Sicherheit und die gesamte Sicherheitskultur im Unternehmen. Deshalb gibt es dazu auch Vorgaben im BSI-Grundschutz oder der ISO 27001. Ein Großteil der mittelstän-dischen Unternehmen schult seine Mitarbeiter bereits regelmäßig, zum Beispiel in Form jährlich verpflichtender Unterweisungen. Die entscheidende Frage ist, ob die Mitarbeiter das Erlernte im Ernstfall sicherheitskonform anwenden.


Awareness in drei Stufen

Damit das Bewusstsein für Cyber-Sicherheit in aktives Wissen übergeht und zu einer nachhaltigen Veränderung des Verhaltens der Mitarbeiter führt, sollten Sicherheitsschulungen bestimmte Kriterien und Merkmale erfüllen. Es reicht nicht aus, den Teilnehmern lediglich Wissen über die Bedrohungslage zu vermitteln. Um echte Aufmerksamkeit im Berufsalltag zu erreichen, sollte Hintergrundwissen zu den häufigsten Angriffsvektoren mit praktischem Training kombiniert werden. So kann die Anwendung eingeübt und gleichsam zur Routine werden, um einen langfristigen Lernerfolg zu erzielen.

Security Awareness und sicherheitskonformes Verhalten entstehen in drei Stufen, die aufeinander aufbauen:

  • Perception: Mitarbeitende können die Bedrohungslage und Phishing erkennen.
  • Protection: Mitarbeitende wissen, wie sie sich vor Phishing schützen können. In diesen ersten beiden Stufen wird durch Schulungen Wissen aufgebaut und vertieft.
  • Behavior: Die Mitarbeitenden verhalten sich im entscheidenden Moment sicherheitskonform. In dieser dritten Stufe wird das Gelernte trainiert und angewendet – zum Beispiel mit simulierten Phishing-Angriffen – und so im Verhalten verankert.

Jeder Mitarbeiter soll ein tiefergehendes Verständnis dafür entwickeln, inwiefern das eigene Handeln eine zentrale Rolle in der übergreifenden Sicherheitskultur des Unternehmens spielt. Aus dieser Erkenntnis kann die Motivation entstehen, sich und das Umfeld effektiv zu schützen. Ein bewährter Ansatz, um diese Einsicht zu erzeugen, ist es, die Teilnehmer auf ganz praktische Art und Weise mit in die Bedrohungsszenarien hineinzunehmen. Auch Simulationen, zum Beispiel in Form von Planspielen, können den Teilnehmern helfen, Situationen besser zu erkennen und einzuordnen. Simulationen sind besonders effektiv, weil Menschen die Wirkung sowie die Konsequenzen von richtigem Handeln durch das Erlebte leichter verinnerlichen können. Dadurch entwickeln sie eine gewisse Routine für den Ernstfall. Die Vermittlung und Einübung konkreter Handlungsoptionen, die im Falle eines Angriffs möglichst einfach anzuwenden sind, sind der Schlüssel zur erfolgreichen Etablierung der Alarmsignale im Bewusstsein der Mitarbeiter.


Praxisrelevant: Das richtige Training

Um die Cyber Security-Trainings mit möglichst hohem Praxisbezug und Interaktion der Teilnehmenden zu gestalten, können kleine Spiele, die aus beispielhaft erstellen Fake-Profilen sozialer Netzwerke bestehen, eingesetzt werden. Auch Simulationen bieten sich an, um die Sensibilität für Phishing-Attacken zu trainieren. Derartige Initiativen sollten sorgfältig mit den Verantwortlichen in der Abteilung und dem Betriebsrat abgestimmt werden. Denn die Mitarbeiter erhalten dann simulierte Phishing-Mails, die auf ihre individuellen Arbeitsaufgaben angepasst sind. Je nach Schwierigkeitsstufe sind diese dann mit mehr oder weniger offensichtlichen Hinweisen auf eine Phishing-Attacke versehen. Falls jemand dann unachtsam auf einen gefälschten Link klickt oder gar Daten auf einer gefälschten Seite eingeben möchte, wird die Simulation aufgedeckt und der Empfänger erhält entsprechende Hinweise zur Kampagne und wie er sich künftig besser schützen kann. Man spricht hier vom „teachable moment“, dem Augenblick also, in dem die Sensibilität zum Verinnerlichen des Gelernten besonders ausgeprägt ist. In dieser Situation kann Hintergrundwissen gut vermittelt werden, beispielsweise über die Angreifer und deren Vorgehensweise aber auch über Merkmale, an denen ein Angriff erkennbar ist.

In jedem Fall sollten Mitarbeiter Teil der Lösung „Human Firewall“ sein und nicht das Problem. Das Sensibilisierungs-Programm muss unternehmensintern breit kommuniziert sein und nicht zuletzt von den Führungskräften selbst vorgelebt werden. Damit das Gelernte tatsächlich im Verhalten verankert wird, sind die richtige Vorbereitung, Durchführung und Erfolgskontrolle der Maßnahme essenziell. Das beinhaltet auch Erfolgskennzahlen (KPIs) sowie deren Analyse und Auswertung im Rahmen von Management Reviews.

Kontakt

TÜV SÜD Akademie GmbH

Westendstraße 160
80339 München

+49 89 5791 2476