Cyberbedrohungen: Echte Security trotz menschlicher Fehler
Mitarbeiterschulungen reduzieren zwar das Fehlerrisiko, doch je nach Zielen und Aufwand eines Angreifers, hat er gute Chancen auf Erfolg. Deshalb muss es in einer Sicherheitsstrategie vor allem um die Resilienz gehen.
Mit einer kleinen Demonstration wurden die Teilnehmer eines Webinars darauf hingewiesen, dass bereits der kostenlos verfügbare KI-Chatbot ChatGPT es Internetkriminellen erlaubt, Phishing- oder Betrugs-Mails in astreinem Deutsch zu entwickeln, selbst wenn der Täter der Sprache nicht mächtig ist. Das Programm wäre sogar in der Lage, eine vernünftige Geschäftskommunikation zu führen und dabei Antworten und Inhalte selbständig oder nach Rahmenbedingungen zu erstellen. Daraufhin kam die berechtigte Frage, wie man seine Belegschaft darauf vorbereiten könne.
Die Antwort mag viele nicht befriedigen: Egal wie man Mitarbeiterschulungen selbst beurteilt, am Ende bleibt immer ein Restrisiko. Und dieses ist weniger davon abhängig, wie Schulungen durchgeführt werden, sondern hat mehr mit den Zielen und dem damit verbundenem Aufwand eines Täters zu tun. Für den Aufbau einer Security-Strategie bedeutet das vom Ernstfall auszugehen. Experten sprechen deshalb zunehmend von Resilienz, also Widerstandsfähigkeit. Gemeint ist, dass der erste Zugriff möglicherweise nicht abgewehrt werden kann, dafür aber der dadurch entstehende Einschlag überstanden wird.
Der Sinn des Trainings
Damit steht aber der Sinn einer Mitarbeiterschulung nicht in Frage. Sinnvoll ist sie sehr wohl. Allerdings empfiehlt es sich, realistische Erwartungen daran zu knüpfen. Ein geschulter Mitarbeiter wird offensichtliche Angriffe sehr schnell erkennen und entfernen können. Weil diese Art der Attacken den Grossteil der Taten ausmachen, können so effizient bereits viele Fälle eliminiert und der Druck auf die IT-Sicherheitsabteilung vermindert werden. Auch lernen die Mitarbeitenden einige Tricks hinzu, wie Cyberkriminelle versuchen sie abzuzocken – etwas, das sie auch im Privatleben gut anwenden können. Die allermeisten dieser einfachen Phishing-Kampagnen sind gar nicht auf Unternehmen ausgerichtet, sondern auf Privatnutzer. Es geht oft „nur“ um Kontonummern, Geburtsdaten und andere private Informationen oder Zugänge. Nichtsdestotrotz freuen sich Cyberkriminelle natürlich, wenn sie auch durch solche Massen-Mails Zugang zu Firmen erhalten.
Nicht auf den Menschen vertrauen
„Cybersecurity gibt es, weil wir uns nicht darauf verlassen können, dass Menschen die richtige Entscheidung treffen.“ Es ist eine der ältesten Weisheiten unserer Branche, und sie ist immer noch gültig. Als Menschen reagieren wir nicht vorhersehbar und das ist gut – und schlecht. Gut, weil dadurch Cyberangriffe entdeckt werden, die Maschinen nicht erkennen, eben weil der Mensch auf sein Gefühl hört und ihm die Mail „komisch“ vorkommt.
Schlecht, weil wir durch unsere eigene Gefühlswelt oft am klaren Denken gehindert werden. Wir begehen Fehler, weil wir gestresst sind, wütend, müde oder anderweitig abgelenkt. Und wir sind neugierig; auch eine Eigenschaft, die Fluch und Segen zugleich ist. All das sorgt dafür, dass eine menschliche Reaktion unvorhersehbar wird. Hinzu kommt, dass ein Angreifer eine unbegrenzte Zahl von Versuchen hat, so dass es immer nur eine Frage der Zeit ist, bis einmal eine Person innerhalb ihres Unternehmens einen Fehler begeht.
Und das ist nur der Normalfall
Aber es geht noch übler, dann nämlich, wenn wir nicht mehr von der Standard-Mail sprechen, sondern von einem gezielten Angriff. Bei Phishing geht es in der Regel um das Abgreifen von Daten bis hin zu Einwahlinformationen. Ein gezielter Angriff, wie Ransomware oder auch Business E-Mail Compromise (BEC), verführt ein Opfer nicht dazu, auf einer Webseite Daten einzugeben. Die Täter wollen vielmehr, dass ihr Opfer Daten über einen Anhang, einen Link oder eine andere Aktion nachlädt.
Die Überredungstaktiken gehen dabei so weit, auch Firmeninterna, wie z.B. die Namen von Kollegen oder sogar Projekten zu verwenden. Aber auch andere Verfahren gibt es. Gemein ist diesen Angriffen, dass sie oft mit deutlich mehr Aufwand erstellt und deshalb auch für aggressivere kriminelle Taten verwendet werden. Doch gerade aufgrund des Aufwands gab es bislang eher wenige Vorfälle. Ohne Frage wird sich das dank moderner KI demnächst ändern. Und damit sind wir wieder am Anfang: Wie kann man seine Belegschaft auf die neuen Angriffsmethoden vorbereiten? Die Antwort: Mitarbeiter sind nicht das Problem!
Herausforderung Mensch?
In jedem Unternehmen finden Schulungen statt, doch die eigenen Prozesse innerhalb der Firma werden dabei völlig ausser Acht gelassen und stellen dabei gerade bei gezielten Attacken das gefährlichste Potential da. Die Security-Strategie eines Unternehmens darf nicht davon ausgehen, dass Menschen keine Fehler machen. Gegen einen gezielten Angriff werden die wenigsten Mitarbeiter eine Chance haben. Ein Beispiel: Sie haben doch sicherlich einen Prozess in Ihrer Verantwortung, über den die Mitarbeiter Ihre Firmenrichtlinien unterschreiben müssen (Code of Conduct). Machen Sie doch mal den Test, und schicken Sie Anfang des Jahres eine Mail mit Betreff: „Aktualisierung der Firmenrichtlinien“ über eine externe E-Mailadresse, die entfernt nach Ihrer Personalabteilung aussieht. Sehen Sie sich an, wie viele Kolleg:innen tatsächlich den Unterschied bemerken. Die Herausforderung vom Sicherheitsstandpunkt besteht darin, dass die Mail erwartet wird, genauso wie die Notwendigkeit einen Anhang zu lesen oder einen Link zu öffnen. Selbst die Eingabe persönlicher Informationen wie Einwahldaten würde nicht auffallen. Das ist die Situation, die ein gezielter Angriff erreichen möchte, und die Täter sind Spezialisten darin Menschen zu manövrieren. Echte Security geht deshalb davon aus, dass es den Angreifern gelingen wird – Mitarbeiterschulungen hin oder her.
Fazit… und dann echte Security
Mitarbeiterschulungen, aber auch Schutzsoftware, wie z.B. Antimalware oder Firewalls dienen der Minimierung der Eintrittswahrscheinlichkeit eines Vorfalls. Die Herausforderung dabei ist, dass sehr oft nichts mehr existiert, was ihn stoppt, sollte es einem Angriff gelingen, diese Hürden zu überwinden. Deswegen spricht man in der IT-Security zunehmend über Resilienz. Ziel ist es, den Angriff zu überstehen, das Blocken ist nur ein Teil der Strategie. Ihn zu entdecken, falls er doch durchgekommen ist, und Gegenmassnahmen zu ergreifen der Zweite.
Echte Security kümmert sich um beides. Der Vorteil: Mitarbeiterschulungen und auch Schutzsoftware ist in den meisten Unternehmen bereits eingerichtet. Die Qualität dieser Massnahmen entscheidet darüber, wie viele ernste Cybersecurity-Vorfälle über nachgeordnete Massnahmen wie Detection & Response (XDR) behandelt werden müssen. Damit haben Sie eine direkte Kontrollmöglichkeit ob der Wirksamkeit Ihrer Gesamtverteidigung und können im Zweifel nachbessern. Was die Überprüfung von Wirksamkeiten angeht, kann man sogar noch einen Schritt weitergehen. Über sogenannte Attack Surface Risk Management (ASRM), welches die gleiche Sensorik wie XDR verwendet, können schon vor dem Angriff Schwachstellen in der Verteidigung erkannt werden. Dazu zählen u.a. neben veralteter Software auch geleakte User Accounts oder mehrfache Einwahlen eines Users aus verschiedenen Geolokationen. Es handelt sich hierbei um Technologie, die den aktuellsten Leistungsstand von „Werkzeugen der Angriffserkennung“ widerspiegelt. Sie muss auch funktionieren, selbst wenn die Mitarbeiter bewusst Fehler begingen.
Über Trend Micro
Bei Trend Micro ist es unser Ziel, die Welt für den Austausch digitaler Informationen sicherer zu machen. Wir sind davon überzeugt, dass Cyberrisiken gleichzeitig Geschäftsrisiken darstellen. Deshalb ermöglichen wir Unternehmen vollständige Transparenz und Kontrolle ihrer digitalen Assets. So verstehen sie, wie gut sie geschützt sind und welche Investitionen wichtig sind, um das Risiko zu senken.
Mit uns wird die Welt sicherer, da wir schon früh erkennen, wie sich moderne Infrastrukturen, Nutzerverhalten, Applikationsentwicklung und damit auch Cyberbedrohungen verändern und darauf reagieren. Wir unterstützen unsere Kunden bei der Transformation ihrer Cybersecurity von silobasierten Technologien zu einer einheitlichen Sicherheitsplattform.
So ermöglichen wir es ihnen, die Digitale Transformation, hybride Formen der Zusammenarbeit, die Modernisierung von Security Operations Centern, Anbieterkonsolidierung und eine Zero-Trust-Strategie voranzutreiben. Gleichzeitig integrieren wir uns in ihre bestehenden Infrastrukturen und Partner-Ökosysteme.
Als einer der weltweit führenden Anbieter von Cybersicherheit werden unsere Plattform, Threat Intelligence und Services von über 500.000 Unternehmen in 175 Ländern eingesetzt und von unabhängigen Prüfern und Analysten anerkannt.
Die deutsche Niederlassung von Trend Micro befindet sich in Garching bei München. In der Schweiz kümmert sich die Niederlassung in Wallisellen bei Zürich um die Belange des deutschsprachigen Landesteils, der französischsprachige Teil wird von Lausanne aus betreut; Sitz der österreichischen Vertretung ist Wien.
Protonmail lanciert Dark Web Monitoring
Gil Shwed über Rücktritt, Cybercrime und KI
Hamster entrinnt dem Regenbogen-Labyrinth
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Bitdefender startet Förderprogramm für Start-ups
Update: Fast 34 Millionen Roblox-Zugangsdaten landen im Darknet
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
Update: Cloud-Anbieter nach Ransomware-Angriff Konkurs
