Forschung

Der Faktor Mensch als schwächstes Glied in der Security-Kette

5. Mai 2020

Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Johannes Eltgen.

„Eine Kette ist nur so stark wie ihr schwächstes Glied». Ein Sprichwort, das sich allgemeiner Beliebtheit in verschiedensten Situationen erfreut, ist auch Teil der Antwort auf die Frage: «Was ist die grösste Security-Herausforderung in der Branche?»

Versucht man dieser Frage mit einer Internetrecherche zu begegnen, erlebt man eine vielfältige Diskussion. Fakt ist, dass das Bundesamt für Sicherheit in der Informationstechnik «den Menschen als vermeintlich schwächstes Glied»[i] bezeichnet. Ich teile diese Einschätzung. Weshalb?

Die Maschine ist rational, der Mensch nicht
Die Informatik und ihre Systeme basieren, vereinfacht dargestellt, auf einem simplen Grundsatz: Strom oder kein Strom, wahr oder falsch, eins oder null – sie sind binär und Stand heute rational. Dementsprechend verhalten sie sich berechnet. Folgt man der vereinfachten Darstellung, kann man nun ableiten, dass man in diesem berechneten Umfeld auftretenden Security-Herausforderungen auch berechnet begegnen kann. Es ist nicht einmal eine Frage der Komplexität.

Anders hingegen sieht es beim Menschen aus. Dieser ist ein Individuum mit allen menschlichen Eigenschaften und nicht vorhersehbar berechnet. Gerade diese menschlichen Eigenschaften, wie  Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität, werden im Rahmen von beispielsweise Social Engineering gezielt von Cyberkriminellen ausgenutzt[ii]. Führt bei einem Menschen sein (beeinflusstes) Verhalten in der Folge nun zu einem Security Incident, kann, im Gegensatz zur Informatik, nun nicht „einfach“ ein Patch ausgerollt werden und die Security-Lücke ist übergreifend behoben[iii]. Für den Risikofaktor Mensch gibt es keine technische Lösung[iv] und damit einhergehend auch keine einfache Skalierung.

Durch die Unvorhersehbarkeit und die fehlenden Möglichkeiten der Skalierung kristallisiert sich der Mensch als anfälligstes und schwächstes Glied. Zu betrachten ist der Mensch hierbei nicht nur in der Rolle des Angegriffenen, die Unvorhersehbarkeit bezieht sich auch auf den Menschen in der Rolle des Angreifers.

Möglichkeiten zur Risikominimierung
Welche Möglichkeiten gibt es im Umgang mit diesem Risiko? In der Folge werden drei empfohlene Massnahmen beleuchtet.

  • Aufnahme ins Risikomanagement

Der Mensch als Security-Risiko muss (mindestens im operationellen) Risikomanagement eines Unternehmens behandelt werden, damit unternehmensspezifische und adäquate Massnahmen definiert werden können. Der Angriff von innen ist ebenso wie der Angriff von aussen zu behandeln. Dabei spielt auch die Unternehmenskultur eine gravierende Rolle, da weiterleitende Massnahmen für das Risiko „Angriff von innen“, wie z.B. die Einführung eines Behaviour-Analytics-Systems, hochbrisant im Umgang mit der Belegschaft sind.

  • Abbildung im Security Operation Center

Die Einführung eines Security Operation Centers (SOC), unabhängig ob intern betrieben oder als managed Service bezogen, zahlt mit folgendem Argument massiv auf die Risikominimierung ein: Anomalien können schnell erkannt werden.

Wurde der Mensch für einen Angriff überwunden, gilt es, den Angriff möglichst rasch zu erkennen und die Auswirkungen möglichst gering zu halten. Ein SOC erkennt Anomalien schnell, automatisiert und mit hoher Verlässlichkeit. Dazugehörige spezialisierte Security-Analysten interpretieren die Anomalien und können 24/7 notwendige Gegenmassnahmen einleiten[v].

  • Awareness, Awareness, Awareness

Der Mensch ist nicht nur das Risiko, sondern auch die Chance. Der Perspektivenwechsel offenbart, dass der Mensch genauso Teil der Lösung sein kann[vi]. Gut ausgebildete und sensibilisierte Mitarbeitende verringern nicht nur das Risiko, dass sie selbst als Schwachstelle angegriffen werden. Sie sind zusätzlich in der Lage, Attacken in speziellen Situationen schneller zu erkennen als Security-Tools[vii]. Awareness-Massnahmen sind daher prioritär und vor allem regelmässig durchzuführen. Hilfreich ist, die Durchführung dieser Massnahmen nicht als Aufgabe der Security zu sehen, sondern eher im Bereich der Ausbildung/Personalentwicklung anzusiedeln. Zudem ist eine positive Security-Awareness-Kultur zu fördern. So können beispielsweise unterschiedliche Angriffssimulationen helfen, die Belegschaft auf spielerische Weise für verschiedene Angriffsmuster zu sensibilisieren[viii].

Autor: Johannes Eltgen

Quellen
[i] Bundesamt für Sicherheit in der Informationstechnik: Social Engineering. URL: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html

[ii] Bundesamt für Sicherheit in der Informationstechnik: IT-Sicherheit am Arbeitsplatz. URL: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/IT_Sicherheit_am_Arbeitsplatz_node.html

[iii] Im Rahmen von Awareness-Massnahmen wurden bei meinem Arbeitgeber im Jahr 2019 Phishing-Mails an alle Mitarbeitenden versandt. Ergebnis: Die Quote von eingegeben User/Password Kombinationen lag im niedrigen zweistelligen Prozentbereich!

[iv] Inside IT: 3 Security Awareness Märchen. URL: https://www.inside-it.ch/de/post/security-3-security-awareness-maerchen-20191216 [abgerufen am 10.05.2020]

[v] IT-Daily.net: Das SOC im Spannungsfeld von Anspruch und Wirklichkeit. URL: https://www.it-daily.net/it-sicherheit/enterprise-security/21796-das-soc-im-spannungsfeld-von-anspruch-und-wirklichkeit [abgerufen am 12.05.2020]

[vi] Neue Zürcher Zeitung: Bei der Cybersicherheit ist der Mensch das Problem und die Lösung. URL: https://www.nzz.ch/wirtschaft/bei-der-cybersicherheit-ist-der-mensch-das-problem-und-die-loesung-ld.1489584? [abgerufen am 11.05.2020]

[vii] Computerworld: Warum der Mensch nicht das grösste Sicherheitsrisiko ist. URL. https://www.computerworld.ch/security/sicherheitsluecken/mensch-groesste-sicherheitsrisiko-2502764.html

[viii] IT-Daily.net: Sicherheitsrisiko Mensch. URL: https://www.it-daily.net/it-sicherheit/cyber-defence/20503-sicherheitsrisiko-mensch [abgerufen am 10.05.2020]


CAS Cybersecurity und Information Risk Management

Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?

Persönliche Beratung

Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:

Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)

Cybersecurity und Hacking für Schweizer KMU

Cybersecurity: Chancen & Gefahren der künstlichen Intelligenz

Schlagworte: Cybersecurity, Datenkontrolle, Datenschutz, Homeoffice

zurück zu allen Beiträgen
×