peterschreiber.media - stock.ado
Phishing und Ransomware: Die Belegschaft sensibilisieren
Gut geschulte Mitarbeiter sind für die IT-Sicherheit eines Unternehmens ein wichtiger Faktor. Das gilt insbesondere für die Abwehr von Ransomware, Phishing und Social Engineering.
Cybererpressung ist in den Augen von Sicherheitsexperten weltweit eine der größten Bedrohungen. Das Bedrohungspotenzial wird verdeutlicht durch die stetig steigende Anzahl an Angriffen durch Ransomware-Banden, die bereits Zehntausende von Organisationen jeder Größenordnung und Branche attackiert haben. Dabei ist es ihnen unter anderem gelungen, Krankenhäuser, Pipelines, Polizeistationen und auch ganze Häfen lahmzulegen.
Der Kerngedanke von Cybererpressung ist, jemandem etwas Wertvolles wegzunehmen, damit dieser für die Rückgabe zahlt. Der mikrokosmische Markt bildet sich so ab, dass ein Verkäufer, der Cyberkriminelle, auf einen verzweifelten Käufer, das Opfer des Datendiebstahls, trifft. Hier-bei ist das Risiko für den Kriminellen verschwindend gering, was die Lösegeldzahlungen und damit die immensen Gewinne der Bedrohungsakteure in die Höhe treibt.
Da die Erpressungsmethoden immer ausgefeilter und umfangreicher werden, fordern Cyberversicherer, Aufsichtsbehörden und Aktionäre die Unternehmen auf, ihre Abwehrmaßnahmen gegen diese permanente Bedrohung zu verstärken. Der Einsatz eines „Anti-Ransomware“-Tools ist hierfür nicht ausreichend, vielmehr ist eine tiefgründige und umfassende Verteidigungsstrategie mit mehreren Kontrollebenen notwendig. Es gibt zahlreiche Angriffsmethoden, die es Cybererpressern ermöglichen, Geräte und Umgebungen zu kompromittieren.
Die gängigen sind im Folgenden nach der Reihenfolge ihrer Beliebtheit: Social Engineering/Phishing, ungepatchte Software, Missbrauch des Microsoft Remote Desktop Protokolls (RDP) und Authentifizierungsangriffe.
Der Aufbau einer ganzheitlichen Sicherheitskultur beinhaltet die Stärkung der menschlichen Verteidigungsebene und die Sensibilisierung der Mitarbeiter für die Erkennung und Verhinderung der oben genannten Angriffstechniken als entscheidende Elemente einer effektiven und umfassenden Verteidigung.
Vorteile eines umfassenden Security Awareness-Trainingsprogramms
Sicherheitsexperten skizzieren ein Programm mit dem Ziel, der menschlichen Verteidigungsebene eine Schlüsselrolle im Kampf gegen Erpressungsangriffe zuzuweisen. Herkömmliche Sensibilisierungsmaßnahmen beruhen auf dem Glauben, dass Informationen zum Handeln führen. Obwohl dies ein wichtiger erster Schritt ist, besteht die Einschränkung bei der Sensibilisierung darin, dass sie allein nicht automatisch zu einem sicheren Verhalten führt. Das Ziel sollten daher wirksame Verhaltensinterventionen sein, die helfen, die Kluft zwischen Bewusstsein, Absicht und Verhalten zu überbrücken.
Das Problem erhält eine neue Dimension durch Einbezug des Verhaltensdesigns. BJ Fogg, der „Vater des Verhaltensdesigns“, ist Sozialwissenschaftler und außerordentlicher Professor an der Stanford University. Sein Modell des Verhaltensdesigns umreißt sehr treffend, dass Verhalten entsteht, wenn drei Dinge gleichzeitig zusammenkommen: Motivation, Fähigkeit und eine Aufforderung.
Motivation
Das Verhaltensmodell von Fogg hebt drei zentrale Motivatoren hervor: Sensation, Antizipation und Zugehörigkeit. Jeder dieser Faktoren hat zwei Seiten: Freude/Schmerz, Hoffnung/Furcht, Akzeptanz/Ablehnung. Diese Kernmotivatoren gelten für alle Menschen und sind zentral für die menschliche Erfahrung.
Fähigkeit
BJ Fogg sagt, dass die Ausbildung von Menschen harte Arbeit sei und dass die meisten Menschen sich dagegen sträuben, etwas Neues zu erlernen. Durch die Bereitstellung eines Werkzeuges oder einer Ressource, die das Lernen erleichtert, kann diese Barriere überwunden werden. Wenn also eine Sensibilisierungskampagne für Ransomware ins Leben gerufen wird, stellt sich die Frage, wo es Möglichkeiten gibt, Tools bereitzustellen, die es den Menschen leichter machen, ihre Kenntnisse zu erweitern.
Dies könnten beispielsweise sich wiederholende Spiele zum Trainieren der Erkennung von Phishing-Angriffen sein, die das Wissen in intuitives Situationsbewusstsein umwandeln. Eine weitere Möglichkeit ist die Ausstattung der Menschen mit Hilfsmitteln wie Phishing-Buttons, Passwort-Managern, Haussicherheitssystemen und so weiter. und mit einfachen Anleitungen, kurzen Erklärvideos oder Schulungsmodulen.
Aufforderungen
Das Konzept der Aufforderung ist unter verschiedenen Namen zu finden: Hinweis, Auslöser, Aufforderung zum Handeln, Aufforderung, etc. Sie alle haben den Zweck, die Menschen zu erinnern und sie aufzufordern, die nötigen Schritte jetzt zu unternehmen.
Bei der Gestaltung einer Ransomware-Aufklärungskampagne ist es wichtig zu berücksichtigen, wo Aufforderungen eingesetzt werden können. Dies könnte zum Beispiel der Fall sein, wenn Benutzer dem Unternehmen beitreten und sie gleich über die Gefahr durch Ransomware aufgeklärt werden. Ebenso können Warnungen zur Phishing-Erkennung in den E-Mail-Clients der Benutzer integriert werden. Das kann zum Beispiel durch Hinweise umgesetzt werden, wie „Sind Sie sicher, dass Sie diesem Link/Anhang vertrauen können?“.
„Jeder im Unternehmen sollte so oft, wie es die jeweilige Unternehmenskultur zulässt, einem zufällig zugewiesenen, simulierten Phishing-Angriff ausgesetzt sein.“
Jelle Wieringa, KnowBe4
Wenn es möglich ist, die drei Elemente Motivation, Fähigkeit und Aufforderungen sinnvoll zu kombinieren, ist eine Verhaltensänderung deutlich wahrscheinlicher als bei der bloßen Verbreitung von Sensibilisierungsinhalten, gefolgt vom bangen Hoffen auf das gewünschte Ergebnis.
Ursachen für eine Kompromittierung
Die wichtigsten Ursachen für einen Kompromittierung sind bekannt. Social Engineering stellt die häufigste Methode bei Ransomware und anderen Malware-Angriffen dar, um sich Zugang zu verschaffen. Daher ist es sinnvoll, die Gruppen, die typischerweise als vorrangige Ziele für diese Angriffe dienen, für die meisteingesetzten Angriffsvektoren zu sensibilisieren.
Bewährte Praktiken zur Sensibilisierung des Bewusstseins für IT-Sicherheit
Über die Jahre haben sich einige bewährte Praktiken herauskristallisiert, die bei der Durchführung einer Kampagne zur Sensibilisierung für Sicherheit und Sicherheitskultur hilfreich sind:
Keine Verwaltung dessen, was nicht gemessen werden kann. Es wird ein Überblick über den aktuellen Stand des Sicherheitsbewusstseins benötigt, indem eine Bewertung der Fähigkeiten und/oder der Sicherheitskultur durchgeführt und dies regelmäßig aktualisiert wird. So können Verbesserungen sichtbar gemacht werden. Der Prozentsatz der Phishing-Anfälligkeit kann als Messgröße hilfreich sein, kann aber durch die wechselnde Raffinesse der Bedrohungsakteure manipuliert werden, sodass dieser Wert im Kontext angegeben werden muss.
Führungskräfte sollten stets einbezogen werden. Die Einbindung geht über das Sponsoring oder die Budgetgenehmigung für die Kampagne hinaus. Die Führungskräfte sollten das Gesicht der Kampagne sein, denn die Menschen achten darauf, wie sie sich verhalten.
Teamwork makes the dream work. Die Zusammenarbeit der Teams für Marketing, interne Kommunikation, Personalwesen und Compliance hilft dabei, Beiträge und Zustimmung für die Sicherheitsbewusstsein-Kampagne zu erhalten.
Die Kombination von Schulungen mit häufigen Phishing-Simulationen. Jeder im Unternehmen sollte so oft, wie es die jeweilige Unternehmenskultur zulässt, einem zufällig zugewiesenen, simulierten Phishing-Angriff ausgesetzt sein. Dadurch wird die Erfahrung spielerisch vermittelt, da jede E-Mail unter die Lupe genommen werden muss. Mit gezielten oder angepassten Phishing-E-Mails können die privilegierten Benutzer getestet werden.
Angebot einer ausführlichen Schulung für besonders aktive Nutzer. Ein spezielles, automatisch zugewiesenes Training für Mitarbeiter, die besonders aktiv sind, kann sicherstellen, dass die Schulung genau auf die individuellen Bedürfnisse der Personen ausgerichtet ist.