Wie der Mensch vom Problem zur Lösung in der Cybersecurity wird

Unter dem Motto "The human Factor" ist am 24. Oktober 2023 die diesjährige Ausgabe der Swiss Cyber Storm über die Bühne gegangen. 350 Expertinnen und Experten kamen im Berner Kursaal zum Austauschen zusammen. Zudem gab es etwas zu Feiern, wie Program Chair und Moderator Christian Folini gleich zu Beginn der Fachtagung erwähnte: Es war nämlich die 10. Ausgabe der Swiss Cyber Storm, seit sie vom gleichnamigen Verein organisiert wird.

Die Vergessenen

Es sei Zeit, über Menschen in der Cybersecurity zu sprechen, leitete Folini das Thema der Konferenz ein und präzisierte: "Wir müssen auch Nicht-Techies in die Diskussion einbeziehen. Wir können Server reparieren, Menschen jedoch nicht."

Die Einführungs-Keynote hielt Eva Galperin, Director of Cybersecurity bei der Electronic Frontier Foundation (EFF), einer Nicht-Regierungsorganisation, die sich weltweit für Datenschutz und das Recht auf Privatsphäre einsetzt. In ihrem Referat hob sie ein paar Personengruppen hervor, die zwar besonders häufig Opfer gezielter Cyberangriffe sind, jedoch hinsichtlich Schutzmassnahmen oft vergessen werden. Zu ihnen gehören etwa Aktivistinnen und Aktivisten (darunter Einzelpersonen, Wissenschaftlerinnen und Wissenschaftler oder Anwältinnen und Anwälte), Medienschaffende und Opfer häuslicher Gewalt. Oft werden diese Personen abgehört und gestalkt. Lange Zeit geschah dies über gehackte Smartphones, etwa durch die Spähsoftware Pegasus der NSO-Group. Immer häufiger werden aber auch smarte Tags, wie die Airtags von Apple, fürs Stalking missbraucht: "Die Tags funktionieren grossartig, um Ihre Brieftasche zu finden, aber offenbar funktionieren Sie auch grossartig, um Ihre Ex zu tracken", kommentierte Galperin trocken. Zwar habe Apple inzwischen Schutzmechanismen und Warnmeldungen eingebaut, die vor möglichem Stalking warnen sollen. Ausreichend sei dies noch nicht, merkte die Referentin an.

Eva Galperin, Director of Cybersecurity bei der Electronic Frontier Foundation (EFF) hielt die Einführungs-Keynote. (Source: zVg)

Das Problem: Viele dieser vergessenen Personen haben nicht die Ressourcen für teure und komplexe Cybersecurity-Massnahmen. Ausserdem seien bestimmte Ratschläge auch einfach schlecht, fuhr Galperin fort. Als Beispiel zitierte Sie den Satz "Öffnen Sie keine Anhänge von unbekannten Absendern!". Für Journalisten sei dies "der King aller schlechten Ratschläge", denn das Öffnen unbekannter Links und Anhänge gehöre zu ihrer Arbeit. Ein besseres Beispiel sei, die Verwendung des Lockdown-Modus zu empfehlen, den Apple im Sommer 2022 vorstellte und seither laufend verbessert. Lobend erwähnte die Vortragende auch Android-Produkte, die installierte Spyware aufspüren und davor warnen.

Galperin nannte noch ein tiefergehendes Cybersecurity-Problem: "Wir designen Geräte und Produkte in der Annahme, dass wer das Passwort und den physischen Zugang dazu hat, auch zugriffsberechtigt ist. Das stimmt tatsächlich aber nicht". Den Anwesenden gab sie auf den Weg, bei ihrer Arbeit an die Menschen zu denken, ganz besonders an die vergessenen Gruppen. "Menschen sind keine Dinge. Und am Ende des Tages ist es unsere Aufgabe, Menschen zu schützen."

Die Missbrauchenden

Dass Cyberkriminelle für ihre Angriffe nicht nur technologische, sondern auch psychologische Strategien einsetzen, zeigte Christina Lekati, Senior Social Engineering Trainer & Consultant bei Cyber Risk. Sie erklärte, wie sich böswillige Akteure ihre Opfer ganz gezielt aussuchen und dann über längere Zeit eine Beziehung aufbauen. In einem von ihr geschilderten Beispiel vergingen zwischen dem ersten Kontakt und dem eigentlichen Cyberangriff acht Monate. Dazwischen lagen eine Menge Nachrichten, in denen der Angreifer sein Opfer mit Freundlichkeit und Empathie dazu brachte, immer mehr persönliche Details preiszugeben.

Es komme immer häufiger zu solchen Angriffen, merkte Lekati an. Dabei haben es die Kriminellen auf lohnende Opfer abgesehen: Leute aus der Chefetage oder Angestellte kritischer Infrastrukturen. Es sei Aufgabe der Unternehmen, jene Leute zu schützen, bei denen ein besonders hohes Angriffsrisiko bestehe. Ein erster Schritt könnte sein, diese Personen gar nicht erst namentlich auf der Unternehmenswebsite zu erwähnen. Gleichzeitig müssten die potenziellen Opfer regelmässig für Angriffe sensibilisiert und befähigt werden, Gefahren zu erkennen. "Wir können das Privatleben unserer Angestellten nicht kontrollieren. Aber wir können vermitteln, welche Bedrohung es gibt, woran man sie erkennt und wie man darauf reagiert", schloss die Referentin ihren Vortrag.

Christina Lekati, Senior Social Engineering Trainer & Consultant bei Cyber Risk zeigte, dass Cyberkriminelle für ihre Angriffe nicht nur technologische, sondern auch psychologische Strategien einsetzen. (Source: zVg)

An die Entwickler und Designer von Produkten richtete sich das Referat von Christine Bejerasco, CISO des finnischen Unternehmens Withsecure. Ihnen legte sie nahe, bei ihrer Arbeit nicht nur an die Nutzer (User), sondern auch die Missbrauchenden (Abuser) zu denken und plädierte für das Prinzip "Secure by Design". Hier habe sich bereits vieles getan, räumte sie ein. Als Beispiel nannte sie etwa verschlüsselte Festplatten, deren Daten ein Angreifer nach einem Diebstahl nicht verwerten kann, oder das Application Sandboxing auf den Smartphone-Betriebssystemen iOS und Android, welches Apps voneinander abschirmt.

Bejerasco riet den Anwesenden, nicht länger zu sagen, sie seien das schwächste Glied in der Angriffskette, zumal dies frustrierend sei. Stattdessen sei es wichtig, Organisationen nach dem Secure-by-Design-Prinzip abzusichern. Dieser Prozess gelinge, wenn man ihn "Abteilung um Abteilung, Rolle um Rolle" anpacke. In der Dev-Ops-Abteilung ist etwa Threat Modelling (Bedrohungsmodellierung) wichtig. "Kennen die Leute diese Techniken nicht, werden sie einen Programmcode nie mit den Augen eines Angreifers anschauen", erklärte Bejerasco. Mehr von ihr hören Sie im unten eingebetteten Podcast.

Die Brennenden

Wie hält man ein grosses Unternehmen in puncto Cybersecurity auf Trab? Die Schweizerische Post tut dies mit sogenannten Security Champions. Sie bilden die Brücke zwischen Entwicklung und Security, erklärte Raphael Schaffo, IT Software Engineer und einer der Security Champions beim Konzern. Ein guter Security Champion "ist fähig, zu Sensibilisieren und das Sensibilisieren weiterzutragen". Die Champions erhalten spezielles Training, das sie dann an ihre Teams weitergeben können. Als Grundlage des Konzepts verwies er auf Dokumente der Owasp-Stiftung. In der Schweizerischen Post dachte man 2019 erstmals über Security Champions nach. 2020 ernannte das Unternehmen erste Security Champions. Ende 2020 gab es 10 von ihnen, Ende 2022 waren es 30.

Wie man ein grosses Unternehmen in puncto Cybersecurity auf Trab hält, erklärte Raphael Schaffo, IT Software Engineer und einer der Security Champions bei der Schweizerischen Post. (Source: zVg)

Das Programm läuft nicht von alleine, erläuterte der Referent weiter. Ziele müssten angepasst werden, insbesondere dann, wenn sich die Vision des Unternehmens ändere. Damit das Konzept gelingt, gab er den Anwesenden sechs Schlüsselprinzipien auf den Weg

• Finden Sie Leute, die von Cybersecurity fasziniert sind und dafür brennen.

• Formulieren Sie eine klare Vision für das Programm.

• Stellen Sie sicher, dass die Geschäftsleitung die Idee unterstützt und den Champions vertraut.

• Schaffen Sie eine Community (etwa mit gemeinsamen Events, einem Logo und so weiter).

• Teilen Sie Ihr Wissen untereinander.

• Belohnen Sie den Einsatz der Champions.

Die Fliegenden

Die abschliessende Keynote hielt Yanya Viskovich, Senior Manager in Security Consulting bei Accenture. "Über 80 Prozent aller Cyberangriffe sind aufgrund menschlicher Fehler erfolgreich", schilderte sie die Lage und fügte an: "Wir haben ein Problem, aber wohl nicht jenes, das Sie erwarten."

Sie erinnerte daran, dass die IT-Industrie schon über Jahre versuche, mittels technologischer Lösungen Herr über die Cybersecurity zu werden. "Trotz diesem exzessiven Fokus auf Tech hat sich die Lage nicht verbessert." Folglich plädierte sie dafür, Menschen und deren Eigenschaft Fehler zu machen, in die Cybersecurity einzubeziehen.

Dabei sei ein wichtiger Schritt, Menschen nicht länger für gemachte Fehler zu bestrafen.

Yanya Viskovich, Senior Manager in Security Consulting bei Accenture, hielt die abschliessende Keynote. (Source: zVg)

Als Beispiel für einen solchen Ansatz verwies Viskovich auf die Luftfahrtindustrie. Dort werde eine Fehlerkultur gepflegt, in welcher Mitarbeitende transparent sein können. Auf die Bedürfnisse von Piloten habe die Branche reagiert, indem sie etwa die Anzahl Instrumente in Cockpits reduzierte und ihnen vertraglich genügend Freizeit zur Erholung zusicherte. "Wie viele von euch CISOs erhalten regelmässig 7 oder 8 Stunden Schlaf? Wie viele von Ihnen fühlen sich wach genug, um eine Krise zu bewältigen?", fragte Viskovich ihr Publikum.

"Wir haben nicht alle Antworten und wir haben nicht den Luxus von Zeit, um das Rad neu zu erfinden", schloss sie Ihren Vortrag. Letzteres sei dank vorbildlichen Branchen wie der Aviatik auch nicht nötig.

Seit 10 Jahren ist Christian Folini in der Swiss Cyber Storm involviert. Welches Thema nächstes Jahr möglicherweise im Fokus des Events stehen wird, erfahren Sie im Podcast.

Im Herbst 2022 stand die Swiss Cyber Storm ganz im Zeichen elektronischer Identitäten. Estland hat hier die Nase vorn. Es wurde aber auch für mehr Datensparsamkeit plädiert, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.