Cyber-Prävention: Wie die Mitarbeiter eingebunden werden können

Martin Thaler Cyber-Security Berater Top News

Häufig ist das Verhalten von Mitarbeitern ursächlich für die Verbreitung von Schadsoftware in Unternehmen. Wie können Unternehmen diesem Risiko entgegenwirken? procontra sprach hierüber mit Dr. Niklas Hellemann, Geschäftsführer der SoSafe GmbH.

Die Mitarbeiterinnen und Mitarbeiter eines Unternehmens sind ein großes Einfallstor für Cyber-Angriffe. Sind sie richtig geschult, kann dies das Risiko oder das Ausmaß kostspieliger Cyber-Vorfälle erheblich verringern, sagt Dr. Niklas Hellemann von der So

Die Mitarbeiterinnen und Mitarbeiter eines Unternehmens sind ein großes Einfallstor für Cyber-Angriffe. Sind sie richtig geschult, kann dies das Risiko oder das Ausmaß kostspieliger Cyber-Vorfälle erheblich verringern, sagt Dr. Niklas Hellemann von der SoSafe GmbH. Bild: privat

procontra: Welche Rolle spielt der Faktor Mensch beim Thema CyberSecurity?

Dr. Niklas Hellemann: Auf den ersten Blick scheint es sich bei Cyberangriffen um eher technische Vorgänge zu handeln. Sicherheitslücken werden ausgenutzt, Systeme penetriert und Daten gestohlen. Faktisch sind die Nutzer aber eines der wichtigsten Einfallstore in die Systeme von Unternehmen. Das sieht man auch an den Zahlen: über 9 von 10 erfolgreichen Angriffen auf Unternehmen starten beim Menschen, in der Regel über eine Phishing-Email oder eine andere Form sogenannten „Social Engineerings“. Dieses Muster scheint sich in den Turbulenzen der COVID19-Krise noch weiter zu verschärfen. So berichtet die europäische Agentur für Cybersicherheit ENISA von einer über 600%igen Zunahme von Phishing-Mails seit dem Ausbruch der Pandemie. Die Maschen zielen hierbei auch vor allem auf psychologische Faktoren: Verunsicherung, Angst und das Bedürfnis nach Informationen werden dann z.B. durch eine fingierte Mail der WHO ausgenutzt, die vermeintliche Hinweise zum Schutz vor dem Coronavirus enthält. Der Faktor Mensch spielt gleichzeitig aber auch eine sehr große Rolle bei der Verteidigung von Unternehmen. Sind Mitarbeiter für den sicheren Umgang mit Informationen und Tools geschult, kann dies das Risiko oder das Ausmaß kostspieliger Cyber-Vorfälle erheblich verringern. Dies gilt umso mehr in Zeiten von Home-Office und Remote-Work, in denen Mitarbeiter sich an neue Arbeitsweisen und Tools gewöhnen müssen und die Angriffsfläche für Social Engineering durch dezentrales Arbeiten stark erhöht ist.

procontra: Viele Unternehmen haben Richtlinien in Bezug auf die IT-Sicherheit veröffentlicht. Wieso reicht das nicht aus, um die Mitarbeiter zu sensibilisieren?

Hellemann: Sicherlich ist es der erste Schritt, Sicherheitshinweise und Richtlinien zu kommunizieren und Mitarbeiter ganz allgemein darüber zu informieren. Einen großen Effekt im Sinne einer Risikominimierung darf man dadurch allerdings nicht erwarten. In der Schule legen wir den Schülern ja auch nicht einfach das Lehrbuch vor und erwarten, dass dann damit automatisch der gesamte Stoff in den Köpfen abgespeichert ist. Effektive Sensibilisierung zielt daher auf das nachhaltige Erlernen von sicheren Routinen und Verhaltensweisen, um Risiken handfest zu reduzieren. Nutzer sollten im Idealfall instinktiv wissen, was zu tun ist, wenn z.B. eine merkwürdige E-Mail vom Vorgesetzen im Postfach landet oder sie ein sicheres Passwort auswählen sollen. Das wird im übrigen auch regulierungsseitig verlangt: die Datenschutzgrundverordnung (DSGVO) oder die IT-Sicherheitsnorm ISO-27001 z.B. schreiben eine laufende Schulung in Cybersecurity-Themen vor, letztere sogar Social-Engineering/Phishing-Simulationen als aktive Lernelemente. Auch die BAIT-Anforderungen der BaFin verlangen von den Sicherheitsbeauftragten das kontinuierliche Schulen der Mitarbeiter. Und das kommt auch im Markt an: so berichtet das Analyseunternehmen Gartner von einer Verfünffachung der Investitionen im Bereich Security-Training bei KMU in den nächsten Jahren. Gleichzeitig verknüpfen immer mehr Versicherer Awareness-Angebote mit Ihren Cyber-Policen, um den Schadenseintritt zu verringern – und auch, weil das Thema mittlerweile in den Geschäftsführungsetagen ein guter Einstieg ist.

procontra: Sie selbst sind Psychologe. Inwieweit kann Psychologie helfen, Mitarbeiter im Hinblick auf einen vorsichtigeren Umgang mit Cybergefahren zu schulen?

Hellemann: Die Psychologie kennt verschiedene Arten des Lernens. Die „klassische“ lineare Wissensvermittlung, also das Kommunizieren von Informationen im Sinne einer Einbahnstraße, ist hierbei nur eine Form – und obendrein keine besonders effektive. So haben Lernende bereits nach 6 Tagen 75% der Inhalte vergessen, wenn dieses nicht wiederholt oder mit anderen Wissensbereichen vernetzt wurde. Bei unseren Lösungen setzen wir daher auf kontinuierliche Lernformate und solche, die die Lernenden aktivieren. Das bedeutet konkret auch, dass wir versuchen, die Inhalte verteilt über die Zeit zu vermitteln, über sogenannte Micro-Module. Im Gegensatz zum Lernen in einem langen Block führt das dazu, dass sich das Wissen nachhaltiger einprägt. Darüber hinaus versuchen wir den vermeintlich „trockenen“ Stoff durch Storylines, Charaktere und interaktive Elemente ansprechender zu vermitteln. So begleiten unsere Hauptfiguren Jan und Clara die Lernenden durch die Themenbereiche und bieten eine Identifikationsfläche und einen Anknüpfungspunkt, das Gelernte in den eigenen Arbeitsalltag und Kontext zu integrieren.

procontra: Welches sind die größten Cybergefahren und wie helfen Sie dabei, diesen zu begegnen?

Hellemann: Im Sinne des Volumens ist aktuell sicherlich Ransomware, also Verschlüsselungstrojaner, eine der größten Gefahren für Unternehmen aller Größen. Hierbei installiert ein Mitarbeiter ungewollt – meist auf Basis einer Phishing-Mail – eine Schadsoftware, die daraufhin sämtliche Daten in den Netzen des Unternehmens verschlüsselt. Die Daten werden dann erst wieder freigegeben, wenn ein Lösegeld (engl.: Ransom) gezahlt wird. Und die Höhe der geforderten Lösegelder steigt seit geraumer Zeit an. So zahlte jüngst das Touristikunternehmen CWT in den USA umgerechnet ca. 4,5 Mio Dollar in Bitcoin an Betrüger, die ihre Daten verschlüsselt hatten. Interessant an diesem Fall ist auch ein kleines Detail: so rühmte sich das Unternehmen ganz öffentlich, die Angreifer von 10 Mio Dollar „heruntergehandelt“ zu haben. Das Signal, das jedoch von solchen Fällen an die Gruppe der Cyberkriminellen geht, ist natürlich fatal. „Cybercrime lohnt sich“ und das hat auch die Angreiferseite verstanden, die sich in den letzten Jahren massiv professionalisiert hat.

procontra: Sie setzen bei ihren Präventionsangeboten unter anderem auf simulierte Phishing-Mails. Welche Reaktionen stellen Sie bei Mitarbeitern fest, die auf die von Ihnen gestellten Mails hereinfallen und ist anschließend ein Lerneffekt feststellbar?

Hellemann: Genau, unser Expertenteam scannt laufend aktuelle Angriffstaktiken und erstellt dann simulierte Phishing-Mails, die wir an die Mitarbeiter schicken. Diese Simulation ist ein zentraler Bestandteil unserer Lernplattform. Der Grund dafür ist einfach: durch simulierte Phishing-Emails lernen die Mitarbeiter direkt am Objekt, wie aktuelle Angriffe aussehen. Gleichzeitig müssen sie dafür nicht aktiv werden, sondern erhalten die Lerneinheiten direkt dort, wo sie auch relevant sind: in der Mail-Inbox. Wichtig ist dabei aber natürlich, dass die Mitarbeitenden auch nach dem versehentlichen Klick eine differenzierte Aufklärung erhalten, wie sie solche Mails künftig erkennen können. Auf diese Aufklärungsseite verwenden wir daher auch sehr viel Zeit und beschäftigen z.B. auch Lernpsychologen, die einen optimalen Lernpfade designen. Gleichzeitig unterstützen wir unsere Kunden bei der offenen Kommunikation und der Ankündigung der Simulation. Denn wir möchten die Mitarbeitenden ja nicht testen und vorführen, sondern ein kontinuierliches Lernangebot schaffen. Unsere Simulationen sind daher auch standardmäßig immer vollkommen anonym. Die Reaktionen der Mitarbeitenden sind daher auch extrem positiv: wir werten das Feedback aktiv aus und erhalten aktuell z.B. über 4,8 von 5 Punkten. Die Mitarbeitenden schätzen z.B. insbesondere den Praxisbezug und dass sie das Gelernte ja auch im privaten Bereich anwenden können. Denn hier werden sie ja in gleicher Weise angegriffen.

procontra: Wie lange hält die Prävention vor? Reicht eine einmalige Schulung aus, um die Mitarbeiter fit in puncto Cyber-Sicherheit zu machen?

Hellemann: Der Effekt einer systematischen Sensibilisierung ist schnell erkennbar. So können wir meist die Klickraten bei den simulierten Phishing-Mails innerhalb weniger Wochen um über 50% reduzieren – im weiteren Verlauf geht es dann noch einmal herunter. Sensibilisierung muss allerdings nicht als Einmalmaßnahme verstanden werden, sondern als kontinuierlicher Prozess. Dafür gibt es zwei Hauptgründe: zum einen vergessen Menschen nun einmal Gelerntes nach einiger Zeit wieder, so dass das Wissen aufgefrischt werden sollte. Und zum anderen verändert sich die Angriffssituation laufend. Das ist ein Naturgesetz der Cybersecurity: Firmen rüsten nach, Angreifer verändern ihre Taktik. Und deshalb sagt z.B. auch Linus Neumann, der Sprecher des Chaos Computer Clubs, dass beispielsweise Phishing-Simulationen insbesondere dann einen nachhaltigen Effekt haben, wenn sie kontinuierlich durchgeführt werden.

  • Facebook Kommentare
  • Disqus Kommentare