Bozen – Ein unachtsamer Klick auf einen Anhang in einer E-Mail, und schon sind die gesamten Daten weg – nicht nur jene auf dem eigenen PC, sondern gleich alle Daten auf dem zentralen Server noch dazu. Man hat ja uneingeschränkten Zugang darauf. Und das Ganze passiert, obwohl technische Sicherheitssysteme vorhanden sind. Wie kann so etwas geschehen?
Obiges Szenario ist schon millionenfach vorgekommen. Selbstverständlich stecken technisch äußerst raffinierte Werkzeuge von Kriminellen dahinter, aber letztendlich ist der Auslöser der Katastrophe immer eine menschliche Aktion. Die Ursache für den entstandenen Schaden liegt im betrachteten Fall einerseits in der Unachtsamkeit oder Neugier des Benutzers, und andererseits in der Bequemlichkeit des Systemadministrators (und der Benutzer). Er hat es versäumt, ordentliche Zugriffsbeschränkungen für die Daten einzurichten.
Die Methode, menschliche Schwächen auszunutzen, um an die gesteckten (kriminellen) Ziele zu gelangen, ist so alt wie die Menschheit selbst. Die Digitalisierung des Geschäftslebens und vor allem des Privatlebens, besonders die sozialen Netzwerke und die Allgegenwärtigkeit der mobilen Geräte schaffen aber komplett neue Möglichkeiten, um in eine Beziehung zu den Personen zu treten, etwa mit dem Ziel, diese zu manipulieren. Was nützt die beste Sicherheitstür, wenn sie fahrlässig geöffnet wird? Was nützt der beste technische Schutz für die vertraulichen Daten, wenn der Besitzer sie sorglos oder unachtsam preisgibt?
Social Engineering, so nennt sich diese Angriffsmethode, bei der zunächst über das Opfer intensiv Informationen gesammelt werden, besonders über die menschliche Seite, etwa über Hobbys, Vorlieben, private Interessen und informelle Beziehungsgeflechte im Berufsleben. Unter falscher Identität versucht dann der Angreifer, in eine Vertrauensbeziehung zum Opfer zu treten. Wenn dies gelingt, ist es ein Leichtes, das Opfer zu den gewünschten Handlungen zu verleiten.
Es mag Kopfschütteln verursachen, aber leider ist es bittere Realität. Allein durch geeignete Ausnutzung besonderer menschlicher Verhaltensweisen ist es Betrügern schon mehrfach gelungen, hohe Summen zu ergaunern, ganz einfach mit der Formel: Der Chef hat gesagt, dass aus irgendwelchen geheimen Gründen dringend eine Überweisung durchzuführen ist. Und die hochrangigen Mitarbeiter haben tatsächlich das Geld an die Betrüger überwiesen.
Bei den Angriffen über den Faktor Mensch werden vorwiegend positive Eigenschaften der menschlichen Psyche ausgenutzt: Hilfsbereitschaft, Kundenfreundlichkeit, Dankbarkeit, Stolz auf die Arbeit und das Unternehmen. Über all diese Eigenschaften sind die Mitarbeiter sehr empfänglich und dadurch aber auch sehr leicht manipulierbar.
Neben diesen positiven Eigenschaften besitzt der Mensch aber auch Verhaltensweisen, etwa Bequemlichkeit, Trägheit, Oberflächlichkeit, Geschwätzigkeit und Neugier, welche nicht unbedingt für die IT-Sicherheit förderlich sind. Bekanntlich sind die am meisten verwendeten Passwörter aus Bequemlichkeitsgründen alles andere als sicher. Herumliegende USB-Sticks werden innerhalb kürzester Zeit angeschlossen. Wer kann schon widerstehen, wenn so etwas wie „Gehaltsliste“ draufsteht?
Was also tun? Bewusstsein für Sicherheit, oder security awareness, schafft man sicher nicht mit Verhaltensvorschriften und Richtlinien. Als erster Schritt sind solche Regelungen aber trotzdem unverzichtbar, einerseits um Klarheit zu schaffen, und andererseits um im Falle eines Streites über eine rechtliche Handhabe zu verfügen.
Ein sinnvolles Programm zur Sensibilisierung der Mitarbeiter muss längerfristig und nachhaltig angelegt werden. Es hat zum Ziel, eine Sicherheitskultur zu schaffen, welche auch im Alltag gelebt wird. Wesentlich dabei ist die Miteinbeziehung der gesamten Belegschaft. Die Vorgesetzten haben dabei eine wichtige Vorbildrolle, und das Management darf nicht nur als Sponsor auftreten. Die höchsten Entscheidungsträger sind ein sehr beliebtes Angriffsziel von Social Engineering, und sie müssen deshalb genauso fit gemacht werden.
Zu einer Sensibilisierungskampagne gehören zweifellos Informationsveranstaltungen in Form von traditionellen Schulungen, durchgeführt von professionellen Trainern mit Praxiserfahrung. Besser noch eignen sich Workshops mit einer aktiven Teilnahme der Benutzer. Sie bieten Gelegenheit zu Fragen und Diskussionen und erzielen damit eine größere Nachhaltigkeit. Informationsmaterial in Form von Flyern, Videos und Broschüren sollen bei der täglichen Arbeit die Aufmerksamkeit wachhalten. Befragungen und Quiz sind geeignet, den Lernerfolg nach Schulungen zu überprüfen.
Diese Sensibilisierungsmethoden haben alle den Nachteil, dass sie in der Organisation recht aufwändig sind. Smarte Methoden sind gefragt, und dafür eignen sich am besten Online-Schulungsplattformen. Besondere Eigenschaften dieser Schulungsplattformen sind:
kurze, überschaubare Lerninhalte, jederzeit und überall verfügbar;
laufend gepflegte und immer aktuelle, praxisrelevante Themen;
moderne und ansprechende Präsentation mit Unterhaltungscharakter;
spielerische Elemente mit konkreten Herausforderungen an die Benutzer.
Üblicherweise wird bei der Einführung solcher Systeme mit einem initialen Assessment des Sicherheitsbewusstseins gestartet. Aufgrund der Ergebnisse wird dann vollkommen automatisch für die einzelnen Teilnehmer ein individuelles Programm zusammengestellt. Damit ist höchste Effizienz garantiert.
Bei der Durchführung der Sensibilisierungskampagne können sogar simulierte Angriffe mit speziell präparierten betrügerischen, aber harmlosen E-Mails zum Einsatz kommen. Statistiken geben dann Aufschluss, wie viele Personen sich innerhalb welcher Zeit unvorsichtig verhalten haben.
Die Messung der Wirksamkeit einer Maßnahme zur Sensibilisierung war in der Vergangenheit meist eine unlösbare Herausforderung. Die Online-Schulungsplattformen ermöglichen es nun, die Fortschritte eindeutig festzustellen und zu dokumentieren.
Fantasie und Kreativität sind gefragt, um mit den vielfältigen Bausteinen der Plattform die geeigneten Maßnahmen zu kombinieren und durchzuführen und damit die besten Ergebnisse zu erreichen.
Fazit: Mitarbeiter plaudern vertrauliche Informationen aus, Laptops mit strategischen Daten werden gestohlen, fremde USB-Sticks werden unachtsam eingesteckt, Passwörter sind leicht zu erraten, kritische Daten landen auf den privaten Geräten der Mitarbeiter: Die Liste der Sicherheitsrisiken, welche auf menschliches Verhalten zurückzuführen sind, ist lang. Ein angemessenes Sicherheitsniveau kann nur erreicht werden, wenn auch der Faktor Mensch in richtigem Maße berücksichtigt wird.