Cybersecurity ist menschlich
Phishing, CEO-Fraud, Ransomware, Malware, Trojaner, gefälschte Login-Seiten. Das Arsenal der Cyberattacken ist mannigfaltig und verlangt nach einem umfassenden Sicherheitsansatz, der den Menschen in den Mittelpunkt der Cyberabwehr stellt.
Im Januar hat das Weltwirtschaftsforum seinen aktuellen Global Risks Report für 2022 veröffentlicht. Dass dabei dem Thema Cybersicherheit ein eigenes Kapitel gewidmet wird, ist vermutlich nicht überraschend. Manche Zahlen stechen jedoch besonders hervor. So lassen sich laut dem Bericht 95 Prozent aller Probleme im Bereich der digitalen Sicherheit auf menschliche Fehler zurückführen. Und das Volumen an Schad-Mails, dem wir uns als User gegenübersehen, nimmt zu: Innerhalb nur eines Jahres stieg das Volumen von Malware um 358 Prozent und von Ransomware um 435 Prozent.
Was heisst das?
Offensichtlich haben Cyberkriminelle ihre Strategien geändert und sie sind erfolgreich damit. Für die Angreifer wird es zunehmend schwieriger, direkt in das Netzwerk eines Unternehmens einzudringen, um dort Daten zu stehlen oder Ransomware zu installieren. Die umfangreichen Investitionen der vergangenen Jahre zur Absicherung des Netzwerks zeigen ihre Wirkung. Der wesentlich leichtere Weg in ein Unternehmen einzudringen, ist einen der Mitarbeitenden für seine Sache zu "gewinnen".
Cyberkriminelle sind auf die Mitarbeitenden angewiesen
Proofpoints Cybersecurity-Experten sehen in dem Zusammenhang zunehmend äusserst zielgerichtete, sprich individualisierte Angriffe. Die Zeit des Gieskannenprinzips ist vorbei. Gerät ein Unternehmen einmal ins Visier einer Angreifergruppe wird der Angriff oftmals minutiös geplant. Soziale Medien werden durchforstet, Mitarbeitende und deren Zuständigkeiten und die daraus resultierenden möglichen Berechtigungen evaluiert. Organigramme werden erstellt und oft wird der Mailverkehr, ohne aktiv einzugreifen, mitgelesen, damit die Kultur und Firmensprache verstanden wird. Sind diese Puzzleteilchen alle zusammengefügt, ist der oft ahnungslose Mitarbeiter nur mehr einen Klick von einer erfolgreichen Cyberattacke entfernt.
Doch der Angriff von aussen ist nicht das einzige Szenario, bei dem das menschliche Verhalten den entscheidenden Unterschied macht. Man spricht hier von den sogenannten "Insider Threats". Hier droht die Gefahr nicht von aussen, sondern sitzt mitten im Unternehmen. Es gibt zwei Typen von Insidern, die zu unterscheiden sind. Den unbedarften Mitarbeiter, der im guten Glauben handelt und ohne zu wissen Firmendaten preisgibt. Im Homeoffice ist diese Gefahr besonders hoch. Dann gibt es noch die Mitarbeitenden, die wissentlich und absichtlich gegen das eigene Unternehmen handeln. In beiden Fällen geraten Firmendaten in fremde Hände. Und in all diesen genannten Fällen ist das menschliche Verhalten die Grundlage für die hohen Zahlen in der Statistik.
Es ist also offensichtlich, dass ein Security-Konzept rund um die Mitarbeitenden sehr sinnvoll ist. Wir empfehlen deshalb Unternehmen folgende Themen zu berücksichtigen:
Transparenz verschaffen: Welcher Mitarbeiter wird mit welchen Angriffszenarien konfrontiert? Wie hoch ist die Anfälligkeit, auf Phishing-Mails zu antworten? Haben diese Mitarbeitenden Zugang zu sensiblen Unternehmensdaten?
Schulungsmassnahmen: Security Trainings dürfen keine "Einmal-Übung" sein. Damit Mitarbeitende wirkungsvoll auf die ständig neuen Angriffsmuster vorbereitet sind, benötigt es permanente Schulungen.
Supply Chain: Wie sicher ist die Kommunikation in der Lieferkette?
Insider Threats: Gibt es entsprechende Sicherheitsmassnahmen, die greifen, wenn Mitarbeitende, aus welcher Intention auch immer, sensible Unternehmensdaten nach aussen transportieren wollen?
Vorbereitet sein: Was passiert, wenn eine Cyberattacke doch einmal erfolgreich war?
----------
Hacker setzen mehr auf Organigramme als auf Netzwerk-Diagramme
Der Weg ins Firmennetzwerk führt oft über die eigenen Mitarbeitenden. Die Bedrohung kommt aber nicht immer von aussen. Wie Unternehmen ihre Mitarbeitenden schützen und mit Insider-Bedrohungen umgehen können, erklärt Irene Marx, Country Manager Alps bei Proofpoint. Interview: Coen Kaat
Welche Mitarbeitenden sind besonders im Visier der Cyberkriminellen?
Irene Marx: Während Schutz oft in Netzwerkdiagrammen gedacht wird, sind Hacker dazu übergegangen, anhand von Organigrammen in Unternehmen "einzubrechen". Sie überlegen sich, über welche Mitarbeitenden sie am einfachsten Zugang zu den gewünschten Daten und Systemen erlangen. Wir verwenden dafür das VAP-Modell, wobei wir die drei Dimensionen Anfälligkeit (V für Vulnerability), Angriffe (A für Attacks) und Zugriffsrechte (P für Privileges) miteinander in Bezug setzen. Das grösste Risiko geht von denjenigen aus, die Zugriff auf sensible Daten und Systeme haben, gerne schnell auf alle Links klicken und Makros in Anhängen öffnen und zudem viele beziehungsweise gefährliche Angriffe erhalten.
Wie sieht eine Cyberabwehr aus, die den Menschen in den Mittelpunkt stellt?
Es ist für Unternehmen im ersten Schritt extrem wichtig, zu wissen, wer womit angegriffen wird und wie die Mitarbeitenden darauf reagieren. Denn erst wenn ich weiss, welchen Angriffen meine Mitarbeitenden ausgesetzt sind, kann ich sie zielgerichtet schützen. Abgesehen von allgemeinen Security-Massnahmen kann ein Unternehmen aufgrund dieser Transparenz zusätzliche, individuelle Massnahmen installieren. Hier ist beispielsweise an Zwei-Faktor-Authentifizierung zu denken, an zusätzliche Schulungen zu den spezifischen Bedrohungen, die Mitarbeitende aktuell erhalten, an Web-Isolation-Technologie. Dies lässt sich mittlerweile schon technologisch automatisiert umsetzen, sodass der Aufwand für die IT-Security minimal bleibt.
Inwiefern lastet die Sicherheit einer Firma auf den Schultern der Mitarbeitenden?
Offen gesagt sind die Angriffe von heute wirklich sehr ausgeklügelt und professionell. Wenn es so einfach wäre, legitime Mails von den Schad-Mails zu unterscheiden, würde es nicht so viele erfolgreiche Angriffe geben. Bei unserer aktuellen State-of-the-Phish-Umfrage gaben 83 Prozent der IT-Experten an, 2021 einen erfolgreichen Phishing-Angriff verzeichnet zu haben; im letzten Jahr hatten dies nur 57 Prozent bejaht. Gerade aus diesem Grund ist es so wichtig, dass Technologie, Prozesse und Schulungen ineinandergreifen. Die Mitarbeitenden sind zwar im Visier der Angreifer, deshalb kann man sie aber nicht ausschliesslich in der Verantwortung sehen.
Wie kann sich ein Unternehmen gegen Mitarbeitende schützen, die mit unlauteren Absichten Daten nach aussen transportieren wollen?
Hier helfen Schulungen natürlich nicht, denn der Mitarbeiter weiss ja, dass er die Daten nicht nach aussen transportieren darf. Es gibt ausgeklügelte Technologien, die Unternehmen davor schützen, ihre wertvollen Daten zu verlieren. Wichtig ist dabei, verschiedene Handlungen in Korrelation zu setzen. Jede Aktion, sei es der Download einer Kundendatei, das Umbenennen der Datei oder das Weiterleiten der Datei an einen externen Empfänger, kann in sich gesehen durchaus legitim sein und im Rahmen der normalen Tätigkeit erfolgen – doch erst in der Kombination der einzelnen Handlungen wird offensichtlich, dass hier wichtige Daten nach aussen gelangen, und dies in böswilliger Absicht. Möglicherweise wurde aber auch der Account eines Mitarbeitenden durch kriminelle Akteure übernommen. In jedem Fall aber schlagen die Security-Systeme Alarm.