Ob Insider-Bedrohungen, Kontenkompromittierung oder gezielte Phishing- und Malware-Angriffe – unsere Mitarbeiter spielen bei heutigen Cyberangriffen eine zentrale Rolle. Ein einziger unbedachter Klick oder hastiger Download kann in Unternehmen zu Datenverlust, Rufschädigung und Dienstunterbrechungen führen.
Zum Schutz unserer Mitarbeiter und zur Absicherung unserer Daten müssen wir alles daran setzen, die Angriffskette so früh wie möglich zu unterbrechen – noch bevor Cyberkriminelle den Perimeter überwinden können. In diesem Beitrag zeige ich detailliert die Bedeutung einer entsprechenden Sicherheitskultur auf und erkläre, welchen unverzichtbaren Teil unsere Anwender dabei haben.
Der Faktor Mensch in der Angriffskette
Der ursprünglich von Lockheed Martin geprägte Begriff „Angriffskette“ oder „Kill Chain“ bezieht sich darauf, dass Cyberbedrohungen mehrere Phasen durchlaufen. Und der Gedanke dahinter besteht darin, im Detail zu untersuchen, wie Bedrohungsakteure den Kontakt herstellen, Schaddaten übermitteln und ausführen, Daten exfiltrieren usw.
Durch die Unterteilung eines Angriffs in mehrere Phasen können Sicherheitsteams ihre Erkennungsmechanismen, Schutzmaßnahmen und Reaktionspläne für jede dieser Phasen bewerten. Sie müssen daher die Cyberbedrohung nicht als einen großen amorphen Angriff betrachten, den sie abzuwehren versuchen.
Angriffe auf Menschen sind nichts Neues. Angreifer erstellen ein Profil, um zu ermitteln, wer wahrscheinlich Zugriff auf die gewünschten Informationen oder Anmeldedaten hat. Nachdem sie ihre Ziele ausgemacht haben, suchen die Bedrohungsakteure nach der besten Möglichkeit, diese Personen zu kompromittieren, z. B. per E-Mail bzw. in den sozialen Netzwerken oder durch den Missbrauch einer vertrauenswürdigen Partei.
In den meisten Fällen ist das Mittel der Wahl jedoch die E-Mail, da diese Methode einfach, leicht verfügbar, preiswert und massiv skalierbar ist – und damit perfekt für die Angreifer. Mithilfe von Informationen aus den sozialen Netzwerken werden die Nachrichten an die Interessen der Zielperson angepasst, wobei der Faktor Mensch weiter ausgenutzt wird. Wenn all diese Social-Engineering-Maßnahmen zusammenkommen, fallen Anwender sehr leicht auf sie herein.
Sobald ein Konto erfolgreich kompromittiert wurde, kann der Angreifer sich innerhalb des Netzwerks bewegen und weitere Personen angreifen, um an Administratorrechte zu gelangen. Dadurch verfügt der Bedrohungsakteur jedoch über ein legitimes „echtes“ internes Konto, bei dem Anwender nicht davon ausgehen, dass es kompromittiert ist.
Schutz beginnt mit Wahrnehmung
Personenzentrierte Angriffe erfordern eine personenzentrierte Abwehr – und der erste Schritt dazu ist die richtige Wahrnehmung. Anwender müssen ihre Risiken kennen und wissen, wie sie sich im Falle einer Bedrohung verhalten sollen. Das ist der Mindeststandard.
Ebenso wie wir die grundlegenden Vorschriften im Straßenverkehr kennen müssen, bevor wir uns zum ersten Mal ans Steuer setzen, müssen Ihre Mitarbeiter die Grundlagen der Sicherheit verstehen, bevor sie Ihre Daten schützen können.
Allerdings müssen wir noch einen Schritt weitergehen. Wahrnehmung ist wichtig, aber das tatsächliche Verhalten ist wichtiger.
Um die Analogie mit dem Autofahren aufzugreifen: Nur weil Sie wissen, dass es geschwindigkeitsbeschränkte Zonen gibt, heißt das nicht, dass Sie deren Geltungsbereich auch kennen – oder sich daran halten. Aus diesem Grund gibt es Straßenschilder, Geschwindigkeitskontrollen und die Verkehrspolizei. Deren Äquivalent in der Cybersicherheit sind unter anderem Materialien zur Sensibilisierung sowie Kompetenztests und Phishing-Simulationen, die zeigen, ob Mitarbeiter sich erwartungsgemäß verhalten.
Aber was nützen sie, wenn niemand aufpasst? Wie können wir das Risiko minimieren, dass unsere Mitarbeiter gegen Regeln verstoßen, wenn sie wahrscheinlich nicht dabei erwischt werden? Gegenfrage: Wie viele Autofahrer halten sich an Geschwindigkeitsbegrenzungen, wenn niemand aufpasst? Typischerweise lautet die Antwort: An erster Stelle stehen Gewohnheit und gesellschaftliche Erwartungen, d. h. die Kultur. Diesen Ansatz müssen wir auch in der Cybersicherheit umsetzen.
Die Basis der Sicherheitskultur
Wenn Sie eine Sicherheitskultur für Ihr Unternehmen aufbauen, beginnen Sie am besten damit, dass Sie Ihre Mitarbeiter an die Regeln und ihre Verantwortung erinnern.
Je häufiger Sie ein 30-km/h-Schild sehen, desto stärker ist Ihnen bewusst, dass Sie diese Geschwindigkeit einhalten müssen. Das Gleiche gilt für regelmäßige Schulungen und jederzeit sichtbare Materialien mit Sicherheitsempfehlungen. Diese Schulungen zur Sensibilisierung für Sicherheit gewährleisten, dass Ihre Mitarbeiter über die richtigen Vorgehensweisen Bescheid wissen.
Als Nächstes sollten Sie sich auf die Frage konzentrieren, warum das wichtig ist. Gespräche über die Unfallhäufigkeit bei 30 bzw. 50 km/h, an Zebrastreifen oder Unfallschwerpunkten drehen sich alle um die möglichen Konsequenzen des Fahrens mit überhöhter Geschwindigkeit. Wenn diese Information eingebrannt wird, erkennen die Anwender, dass das richtige Verhalten keine Frage der Compliance, sondern essentiell wichtig ist!
Wir möchten sicherstellen, dass diese Regeln umfassend angewendet werden und ein entsprechender gesellschaftlicher Druck dazu besteht. Dieser Druck kann subtil und dennoch effektiv sein. Kein Anwender will unangenehm als derjenige auffallen, der an einem Stoppschild vorbeifährt, während alle anderen stehenbleiben.
Die Analogie ist natürlich nicht perfekt, doch durch den Aufbau einer Sicherheitskultur für die IT-Sicherheit und den Straßenverkehr, können wir die Wahrscheinlichkeit erhöhen, dass die Menschen die richtigen Entscheidungen treffen – ganz gleich, ob sie sich vom CISO (oder der Polizei!) beobachtet fühlen. Wenn Ihre Mitarbeiter sich so verhalten, wird jeder in Ihrem Unternehmen zum Sicherheitsexperten, der so oft wie möglich die richtigen Entscheidungen treffen möchte und Ihnen eine starke Basis liefert, um Cybersicherheitsbedrohungen abzuwehren.
Schulung Ihrer Mitarbeiter, damit sie die Angriffskette unterbrechen können
Eine starke Sicherheitskultur ist in jedem Fall der beste Schutz vor gezielten und personenzentrierten Cyberangriffen. Das lässt sich jedoch nicht mit einem Fingerschnippen umsetzen.
Erstens müssen Sie verstehen, wie gut Ihre Mitarbeiter für Sicherheitsaspekte sensibilisiert sind. Anschließend können Sie sich auf Schulungen, den Aufbau von Kompetenzen und die Schaffung der Grundlagen für Ihre Cyberstrategie konzentrieren. Das bedeutet regelmäßige obligatorische Schulungen, die den Kontext der aktuellen Bedrohungen berücksichtigen und sich an die Mitarbeiter richten, die sie am dringendsten benötigen.
Je besser Ihre Mitarbeiter über Cyberbedrohungen, ihren eigenen Beitrag und ihre Rolle beim Schutz ihres Unternehmens Bescheid wissen, desto schneller können unsichere Verhaltensweisen geändert werden. Und nur von dieser Basis aus können Sie eine Sicherheitskultur aufbauen, mit der Sie die Angriffskette unterbrechen, noch bevor Ihr Perimeter durchbrochen wird.
Erfahren Sie, wie Proofpoint Ihnen helfen kann, die Angriffskette zu unterbrechen. Laden Sie außerdem den Proofpoint-Bericht State of the Phish 2023 herunter, um mehr über die größten regionalen Cyberbedrohungen und darüber zu erfahren, wie Sie Ihre Anwender zu Ihrer wichtigsten Verteidigungslinie machen.