15
Sep.
Autor: UNIVERSUM Fachredaktion
Selbst ausgeklügelte Sicherheitslösungen nützen wenig, wenn der Faktor Mensch nicht berücksichtigt wird. Social Engineering, Phishing und fehlende Awareness sind Einfallstore, die viele Unternehmen unterschätzen. Die Experten der MTNI GmbH aus Karlsruhe schildern, warum Schulung und Kultur entscheidend sind.
UNIVERSUM Fachredaktion:
Welche technischen Maßnahmen sind essentiell – und warum reichen diese alleine nicht aus?
Leonard Frank:
Ganz grundsätzlich muss man sagen, einzelne technische Maßnahmen reichen alleine nie aus. Es ist immer wichtig, dass das Ganze eingebettet in eine ganzheitliche Konzeption erfolgt. Das ist zwei Gründen wichtig.
Zum einen riskiere ich Schutzlücken, wenn ich das Thema nicht ganzheitlich betrachte, und so bestimmte Aspekte übersehe oder vergesse.
Zum anderen riskiere ich teure Redundanzen, weil ich etwa zwei Lösungen habe, die den gleichen Bereich abdecken oder weil ich eine Lösung habe, die ganz toll funktioniert, aber eigentlich durch eine andere Lösung maskiert wird. Das hatte ich selbst schon mal bei einem Kunden. Die hatten eine sehr tolle Sandbox-Lösung in ihrer E-Mail-Kette. Die war super gut, super teuer auch, aber sie haben davor einen Filter gehabt, der im Endeffekt mehr oder weniger alle Dateianhänge rausgefiltert hat. Das heißt, diese Sandbox-Lösung hat eigentlich kaum Dateien gesehen.
Als Teil dieser ganzheitlichen Konzeption ist es wichtig, sich Techniken anzuschauen und nicht Produkte. Denn nur wenn ich Techniken anschaue, dann weiß ich, was ich alles brauche und kann mir dann überlegen. Welches Produkt stellt mir das alles, welches Produkt deckt das alles ab?
Ansonsten wäre es einfach falsch, der Stelle zu sagen, x y reicht aus, ich brauche das, brauche das und dann ist es gut. Aber es gibt natürlich schon Basics, die jeder machen sollte. Das sind so Sachen wie Netzwerksreglementierung, Sachen wie Härtung und ausreichendes Patchmanagement. Das sind aber aus unserer Sicht alles Themen, die ganz grundlegende Cyberhygiene sein sollten. Dinge, die einfach dazu gehören und jetzt keine dezidierten Sicherheitsmaßnahmen sein sollten – oder zumindest nicht so gesehen werden sollten.
Alexander Sperber:
Ergänzend zum Thema, warum technische Maßnahmen alleine nicht ausreichen: Wenn ich mir die Angreiferseite anschaue, sehen wir häufig, dass die Angreifer nicht nur die Systeme auf technischer Ebene angreifen, sondern viel mehr die menschlichen Schwächen ausnutzen. Als Klassiker sei hier Phishing genannt. Dabei wird ein Nutzer mittels einer E-Mail, die scheinbar von einer vertrauenswürdigen Quelle stammt, getäuscht. Ein Angreifer könnte sich beispielsweise als Lieferant ausgeben und eine E-Mail mit einem scheinbar harmlosen Anhang versenden. Informationen über Geschäftsbeziehungen zu Lieferanten sind bei vielen Unternehmen zumindest teilweise öffentlich zugänglich oder recherchierbar. Wenn es dem Angreifer in Folge gelingt, den Anhang so zu gestalten, dass er technische Schutzmechanismen umgeht, ist der Faktor Mensch der letzte Verteidigungsring.
Die E-Mail könnte beispielsweise einen dringenden Handlungsbedarf vortäuschen, indem sie zu schnellem Klicken auf einen Link auffordert, um beispielsweise wichtige Informationen zu aktualisieren. Solche Methoden sind psychologisch sehr wirkungsvoll, da sie häufig auf Neugier, Gier oder Angst abzielen.
Daher muss man sich bewusst machen, dass selbst die besten technischen Schutzmaßnahmen nur so effektiv sind wie der Mensch, der sie bedient. Die Angreifer haben hier einfach den Vorteil, dass sie ihre genutzten Techniken und Szenarien jederzeit anpassen können. Das steht im Gegensatz zu Sicherheitslösungen, die häufig nur reaktiv handeln können und entsprechend nicht unfehlbar sind.
Ebenfalls leider häufig in Unternehmen festzustellen ist eine unzureichende oder gar vollständig fehlende Sicherheitskultur. Eine Sicherheitskultur umfasst weit mehr als die Implementierung technischer Systeme: Sie beschreibt das Bewusstsein und das Verhalten aller Mitarbeiter im Umgang mit Sicherheitsrisiken und wirkt sich dann insbesondere auf Reaktion aus, wenn ein Vorfall eintritt.
Eine wirksame Prävention erfordert daher eine intensive und fortlaufende Schulung der Mitarbeiter. Allen Beteiligten muss klar sein, dass technische Maßnahmen das Bewusstsein und die Eigenverantwortung jedes Einzelnen nicht ersetzen können.
Ein Mitarbeiter, der sich blind auf die technischen Schutzsysteme verlässt und unbedacht auf Links klickt, stellt ein erhebliches Risiko dar. Früher oder später wird eine mehr oder weniger raffinierte Betrugsmasche die technischen Barrieren durchbrechen – dann entscheidet der menschliche Faktor über den Ausgang.
UNIVERSUM Fachredaktion:
Was macht das Thema Awareness so wichtig?
Leonard Frank:
Das Thema Awareness ist unglaublich wichtig. Man darf den Menschen als Komponente in seiner Angriffskette nicht unterschätzen. Nicht nur in der klassischen Rolle, als kleiner Teil einer Angriffskette. Es gibt auch komplette Angriffe, die immensen finanziellen Schaden erzeugen können, aber komplett ohne technische Komponente auskommen. Beispiel wäre der sogenannte CFO-Fraud. Das sind Fälle, wo ein Angreifer versucht, jemandem im Unternehmen zum Beispiel per Telefon zu erreichen, sich als der CFO oder sonstiger ranghoher Mitarbeiter auszugeben und zu sagen: ich bin jetzt gerade in einem Business Deal mit einem ganz wichtigen Kunden und es muss jetzt ganz schnell eine Summe überwiesen werden. Die Angreifer versuchen so Druck zu machen, dass eben diese Summe überwiesen wird. Dagegen kann ich mich technisch gar nicht anders wehren, außer dass ich das Telefon abschalte. Das ist ein Angriff, der rein über Social Engineering, also über die menschliche Komponente passiert. Und wenn ich dem entgegenwirken will, dann muss ich eben Awareness schaffen.
Alexander Sperber:
In den letzten Jahren beobachten wir immer wieder CFO-Fraud und ähnliche Maschen, da es oft einfacher ist, menschliche Schwächen auszunutzen, als komplexe technische Systeme zu überwinden. Insbesondere bei kleineren und mittelständischen Unternehmen kommt diese Betrugsmasche häufiger vor.
Ein Angreifer kann beispielsweise die Assistenz des CFOs mit einer überzeugenden Geschichte, die Dringlichkeit und Autorität vortäuscht, dazu bringen, eine Zahlung auszuführen. Diese Methode ist für Angreifer schnell und einfach durchzuführen und verspricht im Erfolgsfall einen sehr hohen Gewinn.
UNIVERSUM Fachredaktion:
Was würden Sie Unternehmerinnen und Unternehmern sagen, die glauben, sie seien vorbereitet?
Leonard Frank:
Da würde ich ganz klar sagen: Lassen Sie es uns auf die Probe stellen. Nur wenn ich es auf die Probe stelle, wenn ich den Versuch mache, kann ich rausfinden, ob wirklich alles in der Praxis so funktioniert, wie ich es mir ausgedacht habe. Ich habe das leider in realen Krisen schon oft scheitern sehen. Beispielsweise hat man sich auf eine Backup-Lösung verlassen. Und die Backup-Lösung hat aber zwei Jahre lang defekte Backups gemacht. Man hat nie probiert, sie wiederherzustellen, deswegen hat man nie rausgefunden, dass die Backups einem gar nicht helfen.
Ein anderes Beispiel: wir hatten da mal eine Krise, es war spät am Abend, wir waren im Endeffekt so weit durch und mussten nur noch unser Forensik-Tool auf allen Windows-Rechnern verteilen. Da kam die Frage, wie machen wir das denn? „Ja,“ hieß es „da ist die Person XY für zuständig, aber diese Person ist jetzt gerade nicht da. Die Person ist vielleicht morgen wieder erreichbar, den Mitarbeitenden kriegen wir jetzt auch nicht ans Telefon.” Und dann saßen wir alle da, Däumchen drehend und wussten nicht ganz, wie wir weitermachen sollten.
Das sind alles so Situationen, die finde ich nur raus, wenn ich es auf die Probe stelle. Die sind mir auf dem Papier vielleicht gar nicht klar. Das Schöne daran ist: ich kann dabei ja nur gewinnen, denn Übung macht den Meister, das ist jedem bekannt. Wenn ich Routine habe, wenn ich sowas mehrfach durchgespielt habe, dann weiß ich einfach, was ich zu tun habe. Ich kann mit kühlerem Kopf agieren und die Handgriffe sitzen.
Alexander Sperber:
Angreifer entwickeln ihre Methoden kontinuierlich weiter, um mit Cyberkrisen finanziellen Profit zu erzielen. Aus diesem Grund müssen auch die Abwehrmaßnahmen eines Unternehmens ständig angepasst werden.
IT-Sicherheit ist schlicht kein statischer Zustand, sondern ein dynamischer Prozess. Was heute noch dem Stand der Technik entspricht, kann in wenigen Monaten bereits überholt oder gar bekannt gefährlich sein. Selbst wenn Ihr Unternehmen aktuell sicher erscheint und dies durch Tests bestätigt wurde, ist das keine Garantie für die Zukunft.
Daher unterstützen wir Unternehmen auf verschiedenen Ebenen: von der Bewertung der aktuellen Sicherheitslage über die Entwicklung neuer Konzepte bis hin zur Implementierung technischer Lösungen. Unser Ziel ist es, Unternehmen langfristig widerstandsfähiger zu machen.
Zusammenfassend:
Wer nur in Technik investiert, vergisst die wichtigste Verteidigung: informierte, wachsame Menschen. Ohne Awareness ist jede Lösung angreifbar.
Das gesamte Interview finden Sie in unserer Lernwelt „Krisen managen“.
Wie gut funktioniert das Krisenmanagement in Ihrem Unternehmen?
Machen Sie den kostenfreien Krisencheck und erhalten Sie direkt eine erste Einschätzung!
Zum Krisencheck
Sie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen