5second - stock.adobe.com
Cybersicherheit: das Unbekannte darf nicht ignoriert werden
Bei einem nutzerzentrierten Security-Ansatz ist es mit Schulungen allein nicht getan. IT-Teams müssen die Anwenderperspektive einnehmen und die Risiken kennen und bewerten.
Risiken, komplexe Gegebenheiten und Ungewissheit gehören zum Alltag eines jeden CISOs. Mit der Ausweitung und zunehmenden Digitalisierung ihrer technischen Infrastrukturen müssen sich die Sicherheitsteams anpassen und ihre knappen Ressourcen dort einsetzen, wo sie am dringendsten benötigt werden. Doch wie können CISOs angesichts der sich ständig verändernden Bedrohungslandschaft – zunehmend geprägt von immer gezielteren Cyberangriffen und ausgeklügelten Technologien, die Cyberkriminelle für wenig mehr als ein paar Euro erwerben können –, feststellen, welche Aspekte und Bereiche ihre Zeit beziehungsweise Aufmerksamkeit am stärksten benötigen?
Die Antwort darauf liefert eine – je nach Betrachtungsweise – etwas ungewöhnliche Quelle: der ehemalige US-Verteidigungsminister Donald Rumsfeld. Bei einem Treffen im Weißen Haus, das vor rund 20 Jahren stattfand, postulierte er: „... es gibt bekannte Dinge; es gibt Dinge, von denen wir wissen, dass wir sie wissen. Wir wissen auch, dass es bekannte Unbekannte gibt; das heißt, wir wissen, dass es Dinge gibt, die wir nicht wissen. Aber es gibt auch das unbekannte Unbekannte – etwas, von dem wir nicht wissen, dass wir es nicht kennen.“
Dieses auch als Rumsfeld-Matrix bekannt gewordene Framework der „Knowns and Unknowns“ kann gerade im Bereich der Cybersicherheit von großem Nutzen sein. Durch die Anwendung dieses Ansatzes lässt sich der Schutz gegen „bekannte“ Bedrohungen verstärken, „bekannte Unbekannte“ lassen sich besser erkennen und die Verantwortlichen bleiben dennoch stets wachsam. Nicht zuletzt, da sie sich auf dieser Basis gewahr sind, dass die „unbekannten Unbekannten“ immer eine Bedrohung darstellen werden.
Das Problem: der Mensch
Zunächst zu dem, was bereits bekannt ist: Bei mehr als 90 Prozent aller Cyberangriffe steht der Mensch im Mittelpunkt. Unabhängig von der Ursache werden Daten nicht einfach zur Tür hinausgeschmuggelt. Sondern Mitarbeiterinnen und Mitarbeiter sind für Datenverluste verantwortlich – in der Regel auf eine von drei Arten.
Unvorsichtige, kriminelle oder kompromittierte Insider sind für gewöhnlich das Haupteinfallstor die Unternehmens-IT und verursachen im Fall der Fälle jährliche Kosten in Höhe von rund 15 Millionen US-Dollar (durchschnittlich pro betroffenem Unternehmen).
Angesichts der Tatsache, dass immer mehr Mitarbeiter abseits der strengen Sicherheitsstandards der Büros arbeiten, überrascht es nicht, dass Nachlässigkeit bei 56 Prozent der Angriffe als Ursache an erster Stelle steht. Ob durch nicht autorisierte Anwendungen oder Datentransfers von Drittanbietern, die Umgehung von Kontrollen oder mangelnde grundlegende Sicherheitshygiene – die Nachlässigkeit von Insidern kostet Unternehmen weltweit 485.000 US-Dollar pro Vorfall. Böswillige Insider, die vorsätzlich Daten stehlen, verkaufen oder für ein Datenleck verantwortlich sind, verursachen mit 648.000 US-Dollar pro Vorfall sogar noch höhere Kosten.
Cyberkriminelle nutzen gestohlene Anmeldedaten, die ihnen häufig durch Phishing in die Hände fallen, um Benutzerkonten zu kompromittieren. Dies verursachte im Jahr 2022 je betroffenem Unternehmen durchschnittliche Kosten in Höhe von 4,6 Millionen US-Dollar. Da Angreifer sich verstärkt auf Benutzeridentitäten konzentrieren und sich immer häufiger seitlich in kompromittierten Netzwerken bewegen, wuchs dieser Wert seit 2020 von 2,79 Millionen US-Dollar um 65 Prozent an.
Es ist das Eine, dass Cyberkriminelle sich die Verwundbarkeit des Menschen als Teil der Cyberverteidigung zunutze machen. Das Andere ist jedoch, dass zunehmende Jobwechsel und die jüngsten Massenentlassungen in der IT-Branche das Problem zusätzlich verschärfen. Da immer mehr Arbeitnehmer zu anderen Unternehmen wechseln, ist das Risiko, dass im Zuge dessen Daten gestohlen werden, größer denn je.
Das Unbekannte sichtbar machen
Da sich die Bedrohungslandschaft in immer höherem Tempo verändert, ergeben sich daraus auch immer mehr Unbekannte. Das heißt aber nicht, dass Security-Teams nichts tun könnten, um Licht in die dunklen Ecken zu bringen und möglichst viele Unbekannte sichtbar zu machen.
Dies beginnt mit der Identifizierung der am stärksten gefährdeten Benutzer, auch VAPs (Very Attacked People) genannt. Natürlich kann es innerhalb der Belegschaft überall böswillige beziehungsweise nachlässige Benutzer geben, jedoch gilt es besonders Hochrisikogruppen zu erkennen. Beispielsweise unter den Aussteigern und neuen Mitarbeitern, Angestellten, die ihrer Arbeit im Homeoffice nachgehen, privilegierten Administratoren, Auftragnehmern sowie bei Finanz- oder HR-Accounts.
„Jedes Unternehmen muss damit rechnen, dass einige Bedrohungen die technischen Schutzmaßnahmen überwinden. In diesem Fall bilden die Mitarbeiterinnen und Mitarbeiter die letzte Verteidigungslinie.“
Bert Skaletski, Proofpoint
Ausgehend davon lässt sich feststellen, wer Zugang zu welchen Daten hat: angefangen mit Finanzdaten und persönlichen Informationen bis hin zu Geschäftsgeheimnissen und geistigem Eigentum. Ebenso wichtig ist es zu wissen, wie und wann auf diese Daten zugegriffen wird. IT-Sicherheitsteams sollten einen vollständigen Einblick in die Protokolle haben, um Benutzeraktivitäten, Absichten und den Kontext über alle Kanäle, Dateiquellen und -ziele, Geräte, Netzwerke, Rollen, Überwachungslisten und anderem hinweg zu erkennen. Finden sich die für das Unternehmen wichtigsten Daten beispielsweise in einem einzigen System oder einer einzigen Datenbank, ist es unter Umständen verdächtig, wenn an einem Samstagmorgen um 2 Uhr auf diese Daten zugegriffen wird.
Ferner sind ergänzende Einblicke nötig, weniger was die die aktuelle Bedrohungslandschaft anbelangt, sondern vielmehr in Bezug auf neue Bedrohungen, die in Zukunft Probleme verursachen könnten. Erst auf Basis dieser Transparenz und einem entsprechenden Verständnis können die Verantwortlichen beginnen, geeignete Schutzmaßnahmen zu implementieren, um Mitarbeiter und Daten langfristig zu schützen.
Zweifelsohne kann angesichts des Zeitdrucks, widersprüchlicher Prioritäten und Budgetbeschränkungen leicht der Eindruck entstehen, dass die Sicherheitsteams bereits genug Probleme zu lösen hätten, und sich nicht noch um weitere kümmern können. Allerdings ist eine Gewissheit geradezu in Stein gemeißelt: auch Cyberkriminelle suchen nach den Schwachstellen einer Organisation – und kein Unternehmen sollte die Erfahrung machen müssen, was erst passiert, wenn die Angreifer eine solche Lücke entdeckt haben.
Aufbau einer auf den Menschen ausgerichteten Cyberabwehr
Jede wirksame Abwehrstrategie gegenüber Cyberbedrohungen basiert auf umfassenden Schutz- und Kontrollmaßnahmen, um bösartige Nachrichten unter Quarantäne zu stellen, verdächtige Aktivitäten zu melden und potenzielle Bedrohungen zu erkennen, bevor sie weiteren Schaden anrichten können. Kein Tool der Welt ist jedoch zu 100 Prozent unfehlbar. Jedes Unternehmen muss folglich damit rechnen, dass einige Bedrohungen die technischen Schutzmaßnahmen überwinden. In diesem Fall bilden die Mitarbeiterinnen und Mitarbeiter die letzte Verteidigungslinie.
Um sicherzustellen, dass die eigenen Mitarbeiter dieser Aufgabe gewachsen sind, müssen die Verantwortlichen zunächst deren aktuellen Kenntnisse in puncto Cybersicherheit kennen, um Aus- und Weiterbildungsmaßnahmen entsprechend anzupassen. Schulungsprogramm sollten dabei regelmäßig durchgeführt werden und sich auf die Bedrohungen konzentrieren, denen die Mitarbeiter am ehesten ausgesetzt sind.
Bei einem personenzentrierten Ansatz reichen jedoch Schulungsprogramme allein nicht aus. Sondern die Security-Teams müssen bei ihrer Arbeit immer auch eine nutzerorientierte Perspektive wählen sowie Verhalten, Risiken und Bedrohungen in dieser Hinsicht bewerten.
Die Entwicklung und der Aufbau einer derartigen Sicherheitskultur bedarf Zeit. Sie ist auch kein Allheilmittel. Aber bei bekannten Unbekannten und unbekannten Unbekannten, die es immer geben kann, gibt es nie eine Garantie. Daher sind steter Fortschritt und Pragmatismus ein entscheidender Faktor.
Über den Autor:
Bert Skaletski ist Resident CISO EMEA bei Proofpoint.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.