Kurz und aktuell: Erfolgreicher Hacker abwehren
Beeindruckt hat Chronister das Awareness-Programm eines Mittelständlers: "Statt einer Stunde Security-Training im Jahr wurde in jeder monatlich stattfindenden Unternehmensversammlung - die insgesamt immer nur 30 bis 45 Minuten dauerte - jeweils zehn Minuten über Security-Awareness gesprochen, und zwar anhand eines aktuellen Themas." Das Ergebnis war, dass im Laufe eines Jahres mehr und häufiger über IT-Sicherheit gesprochen wurde - zusammen mit den Social-Engineering-Mitarbeitertests ließ sich so herausfinden, an welchen Stellschrauben noch gedreht werde musste, um die Unternehmenssicherheit zu verbessern.
Social-Engineering-Übungen sind schwierig umzusetzen, weil es Security-Experten braucht, die die Mitarbeiter hinter das Licht führen. Das Ziel dieser Übung sollte immer sein, herauszufinden, was vor sich geht - nicht, die Menschen für unabsichtliche Fehler zu bestrafen. Um nachzuhalten, ob Mitarbeiter auf die Angriffsversuche reagieren oder sich an den IT-Support wenden, braucht es einen fortlaufenden und abwechslungsreichen Testprozess.
Man sollte den Mitarbeitern auch vermitteln, wie viele von ihnen den Link in der Phishing-Mail angeklickt haben und auf der Zielseite Daten eingegeben haben. Anschließend sollten Sie gemeinsam überlegen, wie sich diese Zahlen reduzieren lassen.
Hacker-Professionalisierung: Selbst CISOs fallen darauf herein
Unternehmensverantwortliche müssten zudem begreifen, dass die Zahl der gezielten Attacken auf bestimmte Hierarchie-Ebenen zunimmt, merkt Chronister an. "Viele Leute glauben, dass wir es nicht schaffen, dass der CISO oder der IT-Security-Manager auf einen verseuchten Link klickt." Ein Irrglaube: Selbst jemand, der sich den ganzen Tag mit IT-Sicherheit beschäftigt, ist nicht minder anfällig als jeder andere Mitarbeiter der Firma. "Social Engineering funktioniert nicht, weil der Mitarbeiter doof ist", betont auch Chronister.
Ein Trainingsprogramm muss sowohl auf dem Wissen der Mitarbeiter als auch auf der Unterstützung der Hersteller aufbauen. Josh Grunzweig, Threat Intelligence Analyst in Palo Alto Networks‘ Forschungsbereich Unit 42 berichtet: "Viele Angestellte im Hotel- und Gaststättengewerbe nutzen ihre Buchungsterminals als normale Rechner zum E-Mail-Check und für Facebook-Posts. Diese Buchungscomputer sollten aber nur für ihren eigentlichen Zweck verwendet werden können."
Wer den Erfolg seines Security-Awareness-Trainings überprüfen möchte, sollte realistisch an seine Erwartungen an menschliches Verhalten herangehen. "Es geht zu einem großen Teil um technische Kontrollen, sodass Angreifer nicht dahin kommen, wo sie sich nicht aufhalten sollten", meint Grunzweig. "Natürlich sollen die Angestellten ausgebildet werden, worauf sie achten müssen, aber technische Sicherheitsmaßnahmen sind unabdingbar."
Security fängt zuhause an: Tipps für das Privatleben einfließen lassen
Die Unternehmen merken, dass sie die Verantwortung nicht komplett an ihre Mitarbeiter abgeben können - die Zahl der Angriffe ist dafür viel zu groß. Kleine wie große Unternehmen haben deshalb gute Erfahrungen mit Mitarbeiterschulungen gemacht, weil sie sich sowohl innerhalb der Unternehmen auf allen Ebenen um Security-Themen kümmern, als auch ihre Mitarbeiter regelmäßig auf Bedrohungen im privaten Umfeld hinweisen.
Citrix-CSO Stan Black sieht eine Herausforderung für Security-Awareness-Programme darin, dass die Menschen neben dem reinen Fachwissen auch anderweitig profitieren sollten: "Wer Backoffice-Funktionen bekleidet - sei es in der Buchhaltung oder in der Personalabteilung, bekommt Kurse, die speziell auf seine oder ihre Rolle zugeschnitten sind. Dazu kommen Schulungselemente, die über den Tellerrand des eigenen Jobs hinausblicken lassen und den Umgang mit IT auch im Privatleben sicherer gestalten."
Dieser Artikel erschien im englischen Original bei unserer US-Schwesterpublikation CSOonline.com.
- Fehlende Fachkenntnisse
Die IT-Industrie wächst schneller, als die Universitäten qualifizierte Fachkräfte in den Markt bringen können. So bleiben zahlreiche IT-Abteilungen unterbesetzt und unterqualifiziert. 76 Prozent der von Trustwave für die Studie Befragten fühlen sich deshalb genötigt, sich selbst in ihrer täglichen Arbeit ständig zu übertreffen, um den Fachkräftemangel etwas zu kaschieren. Trustwave-Marketingchef Cas Purdy sieht externe Security-Service-Unternehmen wie sein eigenes in einer guten Position, IT-Abteilungen zu unterstützen. - Ungeduldiger Vorstand
Vier von zehn Security-Experten mögen Vorstandssitzungen überhaupt nicht. Direkt vor oder nach einem solchen Meeting haben sie nämlich den meisten Stress. Damit ist die Zahl derer, die sich von den eigenen Chefs stark unter Druck gesetzt fühlen sogar knapp höher als die Zahl derer, die sich unmittelbar nach einem großen Datendiebstahl gestresst fühlen (39 Prozent der von Trustwave Befragten). - Erkennen vs. vorbeugen
Die Erkennung von Schwachstellen, Malware und schädlichen Netzwerkaktivitäten stellt für jeden zweiten IT-Security-Experten eine Aufgabe im Tagesgeschäft dar, die mit großem Druck verbunden ist. Es geht darum, Hintertüren in den Systemen zu entdecken, die als Einfallstor missbraucht werden könnten und diese zu schließen, bevor es zu einem Sicherheitsvorfall kommt. Ein Katz-und-Maus-Spiel, was einen gewissen Druck entstehen lässt. - Zu frühe Releases
Wenn IT-Produkte veröffentlicht werden, bevor sie wirklich fertig sind – das ist ein Problem, das 77 Prozent der von Trustwave Befragten nur zu gut kennen. Denn zumeist mangelt es den neuen Errungenschaften gerade an einem – an Sicherheit. Dennoch werden Sicherheitsspezialisten häufig von ihren Unternehmen dazu genötigt, das unfertige Produkt so schnell wie möglich aus der Tür zu bringen. - Internet der Dinge
Wenn alles mit allem vernetzt ist und entsprechend viele neue Angriffspunkte entstehen, sind neue Aufgaben für Security-Experten nicht weit. Das Internet der Dinge (IoT) beherrscht viele Unternehmen und stellt IT-Verantwortliche vor die Aufgabe, entsprechende Lösungen zu entwickeln und zu integrieren. Mehr als jeder zehnte Security-Verantwortliche fühlt sich dadurch unter Druck gesetzt, dass ihm gar nicht die Wahl gelassen wird, ob er IoT-Technologie überhaupt als sinnvoll erachtet. Es geht oftmals nur darum, sie schnellstmöglich einzubauen – unter Sicherheitsaspekten alle andere als schnell erledigt. - Big Data
Der Diebstahl von Kundendaten und von Intellectual Property bestimmt die Schlagzeilen – entsprechend groß ist die Angst von Unternehmensverantwortlichen, dass ihnen so etwas auch widerfahren könnte. Security-Verantwortliche haben großen Druck dadurch, fast die Hälfte von ihnen fürchtet sich vor einem Hack im großen Stil – dass erst Kundendaten abhandenkommen, dann auch noch Firmengeheimnisse verschwinden und es anschließend neben dem herben Imageverlust auch noch zu Gerichtsverfahren kommt. Ganz unbegründet ist diese Angst nicht – zahlreiche reale Fälle, die genau so oder ähnlich abgelaufen sind, geben dieser Befürchtung Nahrung. - Angebot und Nachfrage
Dass es an Security-Personal fehlt, wurde bereits deutlich. Der Bedarf an Experten ist dennoch erstaunlich: Fast jeder Dritte für die Trustwave-Studie Befragte wünscht sich eine Vervierfachung des IT- und IT-Security-Personalstamms im eigenen Unternehmen. Jeder zweite immerhin eine Verdoppelung. Ähnlich groß ist der Wunsch nach einem höheren IT-Security-Budget. - Sicherheit des Arbeitsplatzes
Wenn es zu einem Security-Vorfall gekommen ist, fürchtet nur jeder zehnte Verantwortliche um seinen Job – was maßgeblich mit dem Fachkräftemangel zusammenhängt. Sollte doch einmal die Entlassung drohen, finden Security-Experten schnell wieder einen Arbeitgeber. Also immerhin ein Punkt, an dem sich nur wenige größere Sorgen machen müssen.