GlobalSign Blog

13 Mär 2018

Cybersicherheit überdenken: Verlagerung von Bewusstseins- zu Verhaltensschulung

In den letzten Jahren sind in der Welt der Cybersicherheit viele gute Dinge passiert. Vor allem haben Unternehmen in allen Branchen und allen Teilen der Welt erkannt, dass Cybersicherheit ernsthaft anzugehen nicht mehr optional ist.

Trotzdem ist die Zahl der jedes Jahr gemeldeten schweren Datenschutzverletzungen nicht gesunken. In der Tat ist das Gegenteil der Fall.

Warum? Ich könnte Ihnen zig Antworten geben.

Ich könnte über die ständige Weiterentwicklung von Malware und anderen Angriffsvektoren sprechen. Ich könnte über die Schwierigkeiten schreiben, mit denen Strafverfolgungsbehörden konfrontiert sind, wenn sie versuchen, bekannte kriminelle Gruppen über internationale Grenzen hinweg festzunehmen.

Ich könnte erklären, warum, egal wie technisch robust Ihr Netzwerk ist, Sie nie auf die neuesten Zero-Day-Angriffe vorbereitet sein werden.

In der Realität erklärt jedoch nichts davon das eigentliche Problem adäquat.

Warum gesunder Menschenverstand Ihr Unternehmen verletzen wird

Bevor wir fortfahren, ist es wichtig, eines festzuhalten: Fast alle Cyber-Attacken sind von Profit motiviert. Genauso gilt: Wenn durch den Angriff auf Ihr Unternehmen Geld zu verdienen ist, können Sie sicher sein, dass es jemand versuchen wird.

Der gesunde Menschenverstand besagt, dass der beste Weg, Ihr Unternehmen vor diesen Angriffen zu schützen, darin besteht, eine Reihe von technischen Kontrollen zu implementieren, die unbefugten Zugriff verhindern, böswillige Aktivitäten abblocken und eingehende Angriffe identifizieren sollen.

Aber es gibt da ein Problem.

Wenn Sie sich alle gemeldeten Datenschutzverletzungen der letzten zehn Jahren genau anschauen, werden Sie etwas Interessantes feststellen. Bei fast jeder einzelnen wurde irgendwann während des Angriffs Phishing oder eine andere Social-Engineering-Technik eingesetzt.

Warum? Weil es im Großen und Ganzen viel einfacher ist, Menschen zu täuschen als Maschinen zu täuschen.

Wenn ein Angreifer einen Menschen dazu bringen kann, Ihr Netzwerk zu kompromittieren, ist es egal, wie gut Ihre technischen Kontrollen sind. Sobald sich ein Angreifer mit legitimen Berechtigungsnachweisen in Ihrem Netzwerk befindet, ist der schwierige Teil bereits erledigt.

Nun denken Sie vielleicht, dass es viele technische Kontrollen gibt, die die Auswirkungen einer bösartigen E-Mail minimieren sollen. Und das stimmt. Aber egal, wie gut Ihre Spamfilter und Content-Scanner sind, sie werden niemals verhindern, dass 100% der schädlichen E-Mails die Posteingänge Ihrer Benutzer erreichen.

Das einzig geeignete Mittel ist also, eine einfache Wahrheit zu akzeptieren - Technologie ist nicht genug.

Das Ende der "Bewusstseins"-Schulung

Ich werde eine Vermutung riskieren und behaupte, dass das letzte Mal, als Sie an einer Schulung für Sicherheitsbewusstsein teilgenommen haben, diese nicht gerade hilfreich war.

Seien wir doch mal ehrlich. Der allgemeine Standard der Schulung für Sicherheitsbewusstsein in allen Branchen ist ziemlich schlecht.

Aber das ist nicht alles. Das Problem liegt nicht nur beim Schulungsstandard, sondern beim gesamten Konzept. Die Verbesserung des Sicherheitsbewusstseins bei den Benutzern eines Unternehmens mag ein vernünftiges Ziel sein, aber es versagt durchweg dabei, die realen Cybergefahren zu reduzieren.

Es ist einfach so.

Wir wissen alle, dass wir mehr Gemüse essen sollten und nicht so oft McDonald's Drive-Throughs besuchen sollten. Aber wie oft wählen wir trotz dieses Wissen die richtige Ernährung?

Wenn man nach der Adipositas-Epidemie geht, nicht sehr oft.

Wenn wir nun als Ergebnis unserer Sicherheitsschulung eine deutliche Reduzierung der Cybergefahren sehen wollen, müssen wir einen ganz anderen Schwerpunkt wählen: Nicht Bewusstsein, sondern Sicherheitsverhalten.

Und nachdem sich herausgestellt hat, dass Phishing die größte Bedrohung für Unternehmen auf der ganzen Welt ist, sticht besonders ein Sicherheitsverhalten hervor.

E-Mail-Verhalten ändern

Grundsätzlich sollen Phishing-E-Mails eines tun: Ahnungslose Benutzer zu einer Aktion überlisten, die dem Angreifer in gewisser Weise zugute kommt.

Um Phishing zu bekämpfen, müssen wir die Art und Weise ändern, wie Nutzer mit ihrem E-Mail-Posteingang interagieren.

email behavior

Oben sehen Sie ein Beispiel für einen BEC-Phishing-Köder (Business E-Mail Compromise), auch bekannt als CEO-Betrug.

Sie müssen dazu wissen, dass der durchschnittliche Geschäftsbenutzer täglich Dutzende von E-Mails erhält. Daher versuchen die meisten Menschen, ihre ungelesenen E-Mails so effizient wie möglich zu bearbeiten, und gehen davon aus, dass jede E-Mail, die ihren Weg in ihren Posteingang findet, legitim ist. Jeder einzelne Benutzer hat seine eigenen unbewussten Prozesse, um seinen E-Mail-Posteingang zu verwalten. Diese wurden im Laufe von Zehntausenden Wiederholungen als unbewusste Gewohnheiten verankert.

Natürlich wird es nicht möglich sein, mit dem standardmäßigen jährlichen Schulungsformat für Sicherheitsbewusstsein Ihre Benutzer dazu zu bringen, diese Gewohnheiten zu ändern. Stattdessen müssen Sie Ihre Schulung in den normalen Arbeitstag Ihrer Benutzer integrieren.

Operation: Phishing

Wie müssen Sie also vorgehen, um die E-Mail-Gewohnheiten Ihrer Nutzer aufzumöbeln? Ganz einfach: Entwickeln Sie Ihre eigenen realistischen Phishing-Simulationen und senden Sie diese regelmäßig an Ihre Benutzer.

Ja, um es klar zu sagen, ich empfehle das Phishing Ihrer eigenen Nutzer.

Bevor Sie beginnen, die Posteingänge Ihrer Benutzer mit komplexen Phishing-Ködern zu überschwemmen, gibt es ein paar wichtige Überlegungen. Zuerst einmal ist dies nicht etwas, in das Sie sich hineinstürzen und erwarten können, Ergebnisse zu sehen.

Wenn Sie echte, langfristige Verbesserungen des E-Mail-Sicherheitsverhaltens Ihrer Benutzer sehen wollen, müssen Sie sich an ein paar Kernprinzipien halten.

1) Absegnung durch die Geschäftsführung ist kein "Nice to Have"

Es wird nicht über Nacht passieren, dass sich das Sicherheitsverhalten der Mitarbeiter dramatisch verbessert. Ganz im Gegenteil: Sie müssen konsequent bleiben und Ihre Anstrengungen langfristig erhalten. Natürlich können Sie in den ersten Monaten erhebliche Verbesserungen erwarten. Diese werden aber schnell verschwinden, wenn Sie nicht konsequent bleiben.

Und wie bleiben Sie konsequent? Sie stellen sicher, dass Sie Unterstützung von oben haben, insbesondere in Form einer vereinbarten langfristigen Finanzierung. Um sich dessen sicher sein zu können, müssen Sie eine starke Wirtschaftlichkeitsrechnung erstellen, den ROI des Programms genau ermitteln und dem Führungsstab regelmäßig klare Leistungsberichte vorlegen.

2) Erfolg muss einfach sein

Wenn Sie der Meinung sind, dass das Ziel hier nur darin besteht, Benutzer dazu zu bringen, verdächtige E-Mails zu löschen, dann liegen Sie völlig falsch. In Wirklichkeit wollen Sie doch eigentlich, dass Ihre Benutzer verdächtige E-Mails melden, wenn sie eingehen, damit Sie ähnliche E-Mails identifizieren und in Quarantäne verschieben können, Ihre technischen Sicherheitskontrollen verschärfen können, um ähnliche Phishing-Köder in Zukunft abzufangen und einen Pool mit realem Quellenmaterial aufbauen zu können, der beim Aufbau zukünftiger Phishing-Simulationen hilft.

Aber das ist nicht alles. Um dies zu erreichen, müssen Sie das Meldungsverfahren so einfach wie möglich gestalten. Zu diesem Zweck wäre es sinnvoll, dem E-Mail-Client Ihrer Benutzer eine einfache Schaltfläche "Phishing-E-Mail melden" hinzuzufügen.

3) Schulung zu Problemstellen

Wenn Sie das Programm zunächst starten, werden Sie bemerken, dass sich Ihre Benutzer sehr schnell verbessern. Gleichzeitig werden sie am Anfang sehr häufig versagen.

Aber Versagen ist nicht schlecht. Immer, wenn Ihre Benutzer Phishing-Simulationen richtig identifizieren, lernen sie nicht wirklich etwas. Sie zeigen Ihnen nur, was sie können.

Jedes Mal, wenn einer Ihrer Nutzer bei einer Phishing-Simulation versagt, sollte er sofort an eine entsprechende Multimedia-Schulungswebseite weitergeleitet werden, die ihn über die Art der Phishing-E-Mail informiert, mit der er hereingelegt wurde und die ihm hilft, ähnliche Köder in Zukunft zu identifizieren.

Um diese Lektionen wirklich einzubetonieren, sollten Sie die Benutzer innerhalb einer Woche nach der fehlgeschlagenen Simulation erneut testen. Wenn bestimmte Benutzer beide Simulationen durchweg nicht bestehen, kann es sich lohnen, hier persönlich nachzuhaken.

Beharrlichkeit: Der wichtigste Faktor für Erfolg

Wie Sie sicherlich bereits vermutet haben, ist das Schulungsprogramm für Phishing-Bewusstsein, das ich gerade beschrieben habe, so weit von dem üblichen jährlichen Schulungsprogramm für Sicherheitsbewusstsein entfernt, wie Sie sich das nur vorstellen können. Anstatt die Benutzer einmal im Jahr in einen stickigen Schulungsraum zu packen, bieten Sie einen viel höheren Schulungsstandard, regelmäßige echte Tests und eine Möglichkeit für Benutzer, eine aktive Rolle in der Sicherheit Ihres Unternehmens zu übernehmen.

Gleichzeitig endet dieser Prozess jedoch nie wirklich. Wenn Sie sich plötzlich dazu entschließen, das Programm zurückzustellen, werden Sie feststellen, dass Ihre Benutzer innerhalb weniger Monate wieder auf ihre alten Wege zurückkehren.

Und hier ist noch eine andere Sache, die zu beachten ist. Egal, wie gut Ihre Nutzer Phishing-E-Mails erkennen, es werden immer Fehler passieren. Menschen sind keine Maschinen, und obwohl Sie mit Sicherheit erwarten können, dass Sie eine Erfolgsquote von 98 oder 99% erreichen werden, können Sie niemals davon ausgehen, dass 100% aller Phishing-E-Mails korrekt erkannt und gemeldet werden.

Natürlich würde ich niemals im Traum daran denken, vorzuschlagen, dass ein solches Programm hochwertige technische Sicherheitskontrollen und ein professionelles, gut geschultes Incident Response Team ersetzen könnte.

Nein, das war nie ein Fall von "entweder - oder". Im Gegenteil, wenn Sie sich ernsthaft dafür einsetzen, Ihr Unternehmen gegen die Gefahr von Phishing zu schützen, müssen Sie gut geschulte Mitarbeiter mit einer leistungsfähigen, gut gerüsteten Sicherheitsressource kombinieren.

Über den Autor

Dane Boyd ist der Lead Solution Manager für das Managed Phishing Awareness Training von PhishLabs. Er hat Dutzenden Unternehmen geholfen, ihre Mitarbeiter in eine mächtige Schicht zur Verhinderung und Erkennung von Bedrohungen zu verwandeln.

Über PhishLabs

phishlabs logo

PhishLabs wurde 2008 gegründet und bietet rund um die Uhr Managed Security Services, die vor Phishing-Angriffen schützen. PhishLabs ist das einzige Unternehmen, das Unternehmen vor Phishing-Angriffen schützt, die auf ihre Kunden und Mitarbeiter abzielen. Das Unternehmen analysiert jeden Tag Millionen potenzieller Phishing-Attacken und bietet globale Transparenz und Einblicke in die Phishing-Bedrohungslandschaft. Die Experten von PhishLabs nutzen diese Transparenz und Erkenntnisse, um Phishing-Schulungsprogramme zu managen, Phishing-Angriffe vollständig zu reduzieren und wirkungsvolle Bedrohungsanalysen zu liefern. Führende Unternehmen aus Technologie, Finanz- und Gesundheitswesen vertrauen auf PhishLabs, um Betrugsverluste, Sicherheitsvorfälle und Datenschutzverletzungen durch Phishing-Angriffe zu vermeiden.
Für weitere Informationen, besuchen Sie https://www.phislabs.com und folgen Sie @phishlabs.

Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors und geben nicht unbedingt die von GlobalSign wieder.

von Dane Boyd

Artikel teilen