Cybersicherheit als Brennpunktthema ist mittlerweile in den letzten Winkel unserer Gesellschaft vorgedrungen. Regionale Tageszeitungen schreiben regelmäßig über Angriffe auf lokale Unternehmen, Kommunen und Behörden und Krankenhäuser.
INHALT |
IT Security-Anbieter unterstützen Unternehmen und Organisationen mit ihren Lösungen, sich vor Cyber-Angriffen und vor dem Verlust wertvoller Daten zu schützen. Namhafte Gremien empfehlen eine Liste von kritischen Sicherheitskontrollen (CSC), mit denen sich Unternehmen effektiv vor Cyberangriffen schützen können. Je mehr solcher Kontrollen implementiert und im Einsatz sind, desto besser ist die Verteidigungslinie im Unternehmen aufgestellt.
In diesem Zusammenhang wird gerne der Faktor Mensch als das wichtigste, gleichzeitig aber auch schwächste Glied eines ganzheitlichen Sicherheitsansatzes gesehen:
Der Mensch ist ein Einfallstor und damit gleichzeitig auch die ultimative Verteidigungslinie, die den Unterschied macht.
Der Mensch unterscheidet sich von anderen Lebewesen oder Maschinen durch seine Fähigkeiten zur Kommunikation und Kreativität, zu abstraktem und kritischem Denken. Diese Aspekte machen die Cybersicherheit zu einer spannenden Herausforderung: Denn letztendlich ist die Cybersicherheit immer ein Kampf zwischen Menschen. Bei anspruchsvollen Bedrohungen nutzen Angreifer und Verteidiger zur Erreichung ihrer Ziele gleichermaßen ihre einzigartigen menschlichen Fähigkeiten.
Wie steht es daher um Bestrebungen, den Menschen durch KI und Automatisierung zu unterstützen? Wir lesen von "autonomem Schutz in Echtzeit" und "vollautomatischer Erkennung, Untersuchung und Behebung von Vorfällen". Aber trifft das wirklich auf die Funktionen der Security-Produkte zu? Und führt es zur Verbesserung der Sicherheitsabläufe?
Es gibt immer noch einen großen Unterschied zwischen echtem menschlichen Bewusstsein und künstlicher Simulation. KI ist nur so gut wie das Modell, auf dem sie aufbaut. KI und Automatisierung sind gegenüber dem Menschen im Nachteil, weil wir Menschen nicht durch eine Modell bestimmt bzw. eingeschränkt sind. Menschen tun das Unvorhersehbare und das ist genau das, was Angreifer im Bereich Cyber-Sicherheit auch tun. "Menschlichkeit" ist einfach noch nicht (oder möglicherweise nie) durch künstliche Intelligenz replizierbar. Wir müssen erst noch ein wirksames Sicherheitsinstrument für die Cyberabwehr entwickeln, das ohne menschliches Eingreifen funktioniert. Die streitbare Quintessenz ist folgende: Sicherheitswerkzeuge können nicht tun, was Menschen tun können.
Sicherheitslösungen müssen die Security-Teams dabei unterstützen, ihre Arbeit besser zu erledigen, und zwar sowohl auf menschlicher, prozessualer als auch auf technologischer Seite. Technologie und Automatisierung spielen dabei wichtige Rollen. Indem wir den Schwerpunkt von der Technologie auf den Sicherheitsanalysten verlagern, können wir ihn in die Lage versetzen, ein echter Verteidiger zu sein. Technologie sollte den Menschen besser machen, nicht ersetzen - um den Kampf gegen den Angreifer zu gewinnen.
Bisher haben wir den menschlichen Faktor von Seite der Cybersicherheits-Teams betrachtet. Im Zusammenhang mit Sensibilisierung (Security Awareness) denken wir aber in erster Linie an den User. Aber beides ist bei einer Sicherheitsstrategie im Unternehmen wichtig: Auf der einen Seite die IT-Abteilung und auf der anderen Seite der Endnutzer. Das ist nicht immer eine Liebesbeziehung. Die Frage lautet stets: Wie weit müssen Vorgaben der IT reichen, ohne die Freiheit und die Produktivität der Nutzer zu sehr einzuschränken. Spätestens, wenn wir von Security Awareness und einer Cyber-Security-Kultur im Unternehmen sprechen, adressieren wir neben den „harten“ technischen Lösungen die „weichen“ Faktoren an der Grenze zwischen HR, IT und der Belegschaft.
Viele namhafte Institute wie das NIST (National Institute of Standards and Technology), Center for Internet Security (CIS), US Department of Homeland Security, aber auch das BSI und Bitkom in Deutschland weisen auf die Bedeutung und Wichtigkeit von solchen Programmen hin. Security Awareness Trainings sind ein wichtiger Bestandteil der Cybersicherheit in Unternehmen geworden. Die Gründe und Absichten sind bereits genannt.
Aber wie sieht die Erfolgsbilanz wirklich aus?
Wenn sich Sicherheitsteams um IT-Sensibilisierungsmaßnahmen bemühen, konzentrieren sie sich allzu oft ausschließlich auf die Schulung und Aufklärung. Häufig werden Angriffsvektoren und Taktiken im Zusammenhang mit den Menschen in der IT oder auch OT (Operational Technology) besprochen. Dahinter bleibt Einflussnahme auf eine dauerhafte Verhaltensänderung und eine echte Kultur der Cybersicherheit zurück.
Trotz Normen wie z.B. einer ISO 27001, die Security Awareness als Teil eines Sicherheitsprogramms vorschreiben, haben die Security Awareness Trainings oftmals nicht die gewünschten Ergebnisse erzielt. Darin heißt es sinngemäß, dass Unternehmen in der Lage sein müssen, diese Schulungen und deren Einhaltung/Compliance gegenüber Auditoren nachzuweisen. Und das ist vielleicht auch das Problem. Es beantwortet nicht die Frage auf das Warum und Wie. Viele Sicherheitsteams bieten den Mitarbeitenden ein Security Awareness Training an, um die Checkbox für die Einhaltung der Vorschriften ankreuzen zu können.
Aber der Zweck sollte darin bestehen, eine dauerhafte Verhaltensänderung zu bewirken. Das Ergebnis sind:
IT-Security Awareness Methoden berücksichtigen oftmals kaum die Wirkungszusammenhänge und Angriffsketten, sondern hier und da einzelne Angriffsvektoren.
Entwickeln Sie diese Security Awareness Programme unter Einbeziehung der Belegschaft. Diese möchte nur ihren Job machen, sich nicht in ihrer Produktivität oder Freiheit einschränken lassen und sieht Cybersicherheit oft als lästig an.
Firmen erkennen allmählich, dass der reine Fokus auf die Schaffung von Security Awareness nicht ausreicht, um das Verhalten dauerhaft zu ändern. Sie müssen sich auf die Menschen konzentrieren, die diese Programme in Anspruch nehmen. Mitarbeitende in Unternehmen mit einer starken Kultur für Cybersicherheit sind für ihre persönliche Cybersicherheit und die ihres Arbeitgebers geschult, befähigt und begeistert. Deshalb ist es wichtig, die Person ins Zentrum der Cybersicherheit zu stellen, statt nur oberflächliche Schulungen abzuhalten oder hier und da ein Microlearning einzuspielen.
Die Realität sieht nämlich oft so aus, dass die User weiterhin Passwörter in Notizbüchern schreiben oder elektronisch speichern, oder sich auf verdächtige E-Mails einlassen und generell viele unsichere Verhaltensweisen im Internet zeigen. Darüber hinaus geben nur 27 % weltweit an, dass sie sich ihrer aktuellen Sicherheitsrichtlinien bewusst sind, und 8 % von ihnen geben zu, dass sie ihre Sicherheitsrichtlinien ignorieren oder umgehen (Quelle: Forrester Analytics Business Technographics Workforce Survey, 2020).
Beherzigen Sie nachfolgende Ideen und lernen Sie von diesen Ansätzen:
In unserem folgenden Beitrag gehen wir darauf ein, warum trotz Security Awareness Initiativen unzureichende Prozesse Mitarbeiter immer noch hindern, eine Sicherheitskultur zu schaffen, warum Passwörter ein großes Problem darstellen und wie das Zero Trust Modell Abhilfe schaffen kann.