beebright - stock.adobe.com

Mensch vs. Maschine: Security Awareness verbessert Resilienz

Ausgeklügelte Angriffe lassen sich weder durch Technologie noch durch geschulte Anwender alleine aufhalten. Beide Bereiche müssen richtig aufeinander abgestimmt sein.

Schaut man in ein gewöhnliches Unternehmen in Deutschland, lässt sich eine paradoxe Entwicklung feststellen. Trotz steigender IT-Sicherheitsbudgets geht die Angst vor Cyberattacken nicht zurück – im Gegenteil: Die Furcht vor Angriffen steigt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von 40.000 Angriffen auf die Bundesregierung in den letzten zwölf Monaten, bei denen die eingesetzte Malware nicht durch kommerzielle Schutzprodukte detektiert oder blockiert werden konnte.

Die eingesetzte Schadsoftware wird immer ausgefeilter. Gleichzeitig erkennen Kriminelle aber auch, dass sie den Faktor Mensch gezielt für ihre Zwecke einsetzen können. In den letzten Wochen kam es immer wieder zu Schlagzeilen durch CEO Fraud in mittelständischen Unternehmen. Die Mischung aus gefälschten E-Mails, scheinbarem Zeitdruck und geschickt ausgenutzten Hierarchien reicht aus, um in Organisationen mit unzureichender Vorbereitung auszubeuten zu machen – und dabei riesige Schäden zu hinterlassen.

BSI spricht sich für Erhöhung von Resilienz aus

Für viele IT-Entscheider ist guter Rat teuer. Unternehmensführungen erwarten von ihnen, die Vorteile der Digitalisierung endlich auch in der eignen Organisation nutzbar zu machen. Daher stehen Themen wie Cloud-Migration, Digital Workspace, IoT und Big Data ganz oben auf der Agenda. Gleichzeitig aber den neuen Bedrohungen Herr zu werden, ist schwierig – vor allem, wenn neue Sicherheits-Tools immer nur eine Teillösung versprechen und meistens für Nutzung und Wartung noch weitere Personalressourcen benötigt werden.

Das BSI schlägt im Lagebericht einen möglichen Lösungsansatz vor: „Der Schlüsselfaktor Resilienz, der in Zukunft immer bedeutsamer wird, sollte sowohl bei großen Unternehmen als auch bei KMU mehr Bedeutung bekommen. Vorfalltrainings sind hier ein wichtiger Faktor.“

Um den Bezug zum Thema Trainings zu verstehen, sollte man sich zunächst klarmachen, worum es bei dem Begriff Resilienz in Hinsicht auf die Cybersicherheit geht. Dabei handelt es sich nicht nur um eine reine Abwehr oder Härtung von Systemen, sondern darum, zu jeden Zeitpunkt den bestmöglichen Schutz und die umfassende Funktion des eigenen Unternehmens zu sichern.

Dazu gehören auch Vorkehrungen über mögliche Angriffsvektoren und proaktive Maßnahmen, um mögliche Schwächen frühzeitig zu entdecken und zu beseitigen. Außerdem müssen Notfallpläne für den Fall der Fälle erstellt werden. Bei einem Angriff geht es nicht mehr länger nur um die Verteidigungsmaßnahmen allein, sondern auch um Business Continuity – wie sorge ich dafür, dass mein Betriebsablauf auch während einer Attacke immer noch möglichst optimal weiterläuft? Hier ist der Übergang fließend zum Thema Nachbearbeitung. Waren Systeme betroffen, sollte man Backups nicht nur durchgeführt werden, sondern auch ohne Unterbrechung des Betriebs einspielbar sein. Genauso sollten Unternehmen in der Lage sein, den Ursprung einer Attacke zu beseitigen.

Umsetzung in der Praxis: Threat Intelligence und Security Awareness

Auf Basis der Empfehlung des BSI lassen sich zwei Handlungsbereiche ableiten. Das ist zum Einem der Aufbau von anwendbarem Technologie-Know-how (Threat Intelligence), zum Anderem die Sicherstellung der Aufmerksamkeit und Wachsamkeit der Mitarbeiter (Security Awareness).

Beim Threat Intelligence gehen die Meinungen über das richtige Maß schnell auseinander – je nach Budget, personellen Ressourcen, Skillset und Branche schätzen IT-Experten hier den Umfang der Maßnahmen unterschiedlich ein. Trotzdem ist klar, dass dieser Bereich für die Resilienz eine elementare Rolle spielt. Allerdings gibt es auch Möglichkeiten, Wissen wie Threat Feeds aus frei verfügbaren Quellen wie Open Source Communities oder dem BSI zu nutzen.

IT-Entscheider wägen für sich selbst ab, wie viel Zeit und Budget sie in den Aufbau von Threat Intelligence stecken können. Wichtig ist, dass die gewonnenen Informationen die nötige Zeit am Ende wirklich wert sind. Außerdem ist es wichtig, so viel Prozesse wie möglich automatisiert ablaufen zu lassen. Gleichzeit ist es sinnvoll, dass man alle Vorgänge so aufarbeitet, dass Mitglieder der Geschäftsführung jederzeit über wichtige Entwicklungen beim Thema Cyberbedrohungen im Bilde gehalten werden können.

Michael Heuer, Mimecast

„Ausgeklügelte Cyberattacken wie CEO-Fraud gehören mittlerweile fest zum Unternehmensalltag, lassen sich aber weder durch neueste Sicherheitstechnologie noch durch geschulte Augen der Angestellten aufhalten.“

Michael Heuer, Mimecast

Wenn Organisationen merken, dass ihre Fähigkeiten im Bereich Threat Intelligence nicht mehr ausreichend sind, sie aber auch keine großen Mittel für den Ausbau bereitstellen können, bleibt noch der Einsatz einer oder mehrerer Dienstleister. Dies ist mittlerweile Regel und für die meisten Unternehmen die passende Lösung. Viele IT-Entscheider sehen durch skalierbare Kostenmodelle hierbei die optimale Absicherung.

Im Idealfall sind es Service-Provider, die nicht nur das technische Know-how, sondern darauf abgestimmt auch Schulungen und Trainings anbieten. Wie im CEO-Fraud-Beispiel deutlich wird, sind die besten Security Tools machtlos, wenn die nötige Awareness nicht in die Belegschaft hineingetragen wird. Einige Organisationen arbeiten bereits mit ihren Mitarbeitern an dieser Problematik, denken aber bei Schulungen zu sehr an Schulunterricht – dabei bleiben die Ergebnisse häufig hinter den Erwartungen zurück. Gute Dienstleister nutzen ihre Erfahrung und Lehrmethoden, welche dem Arbeitsalltag entsprechen, um Angestellte wirklich auf mögliche Attacken vorzubereiten.

Solche Trainings sollten nicht ein einem starren Turnus, sondern genau nach individuellem Bedarf ausgeführt und überprüft werden. Dazu gehört auch eine rollenbasierte Prognose: Beispielsweise sollten Mitarbeiter in der Buchhaltung auf andere Angriffsmuster geschult werden als Hausmeister oder Wartungspersonal.

Trotz der Cheftrick-Betrugsmasche muss man sich vor Augen führen, dass 75 bis 95 Prozent der Cyber Incidents durch Versehen von Angestellten begünstigt wurden – obwohl diese mit besten Absichten handelten.

Fazit

Sicherheitsexperten sprechen bereits seit einiger Zeit über das Thema Cyber Resilience und einer Erhöhung der Widerstandskraft auf allen Ebenen und in sämtlichen Unternehmensprozessen. Zudem geht jetzt das das BSI in seinem Lagebericht auf den „Schlüsselfaktor Resilienz“ ein. Daher müssen sich IT-Verantwortliche der Tragweite der Thematik bewusst werden.

In der Praxis reichen Gedanken und Bewusstsein aber nicht aus. Um entsprechende Konzepte in Alltag umzusetzen, gilt es, vor allem in den Bereichen Threat Intelligence und Security Awareness die richtigen Schlüsse zu ziehen. Ausgeklügelte Cyberattacken wie CEO Fraud gehören mittlerweile fest zum Unternehmensalltag, lassen sich aber weder durch neueste Sicherheitstechnologie noch durch geschulte Augen der Angestellten aufhalten. Stattdessen müssen beide Bereiche aufeinander abgestimmt sein, um den Attacken Einhalt bieten zu können. Organisationen stehen jetzt vor der Mammutaufgabe, das richtige Gleichgewicht zu finden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kritischen Bedrohungen richtig begegnen

Erkenntnisse über Attacken in Threat Intelligence umwandeln

Regeln für Security-Awareness-Schulungen

Erfahren Sie mehr über Bedrohungen