Cybersicherheit: Mensch und Maschine im Team
Die Cyber-Sicherheitslage ist volatil. Eine Kombination von Technologie und Schulungen der Mitarbeiter scheint da ideal zu sein. Das funktioniert aber nur, wenn diese, wie Ingo Schäfer von Proofpoint ausführt, nicht wie eine Pflichtübung anmuten. Darüber und über die generellen Trends im IT-Security-Bereich sprachen wir mit ihm.
Herr Schäfer, die bei Cyberkriminellen beliebte Malware wie Emotet ist nicht tot zu kriegen. Proofpoint gestaltet zahlreiche Analysen und betreibt viel Research-Arbeit. Was sind da die Trends aus Ihrer Sicht? Mit welchen Szenarien müssen wir rechnen?
Tatsächlich ist die Bedrohungslandschaft sehr volatil und entwickelt sich ständig fort. Im Allgemeinen gibt es nur wenige Gewissheiten in diesem Bereich. Eine davon ist jedoch, dass Cyberkriminelle, egal ob finanziell motiviert oder staatlich gelenkt, alles tun, um den Menschen als Schwachstelle auszunutzen.
Ein Trend, der sich darüber hinaus abzeichnet, besteht darin, dass bestimmte APIs (Schnittstellen von Anwendungen) angegriffen werden, um Lieferketten zu kompromittieren. Dies ist ein Beleg dafür, wie innovativ die kriminellen Akteure sind und dass sie ständig neue Tools zur Ausnutzung von Schwachstellen verwenden. Die menschliche Komponente bei Cyberangriffen, z. B. die Gefahr, Opfer von Social Engineering oder Insider-Bedrohungen zu werden, verstärkt sich mit dem Trend hin zu hybriden Arbeitsformen. Da die Fluktuation unter der Belegschaft vieler Unternehmen aktuell sehr groß ist, entsteht dadurch eine wachsende Qualifikationslücke im Bereich der Cybersecurity. Dies hat Auswirkungen auf die Sicherheit von Organisationen insgesamt, wodurch sich der Bedarf an effektiver Automatisierung in diesem Bereich massiv erhöht.
Zudem ist davon auszugehen, dass Bedrohungen rund um die Cloud weiter zunehmen und im Zuge der Cloud-Migration vieler Unternehmen auch kostspieliger werden. Auch der Gesetzgeber wird hier voraussichtlich nicht untätig bleiben, sondern die Vorschriften zur Stärkung der Cybersicherheit dürften in den nächsten Jahren erheblich ausgebaut werden. Standardisierte Meldepflichten im Falle von Sicherheitsverletzungen werden sich dabei als notwendig erweisen. Und auch im Bereich der Cyberversicherungen wird sich einiges verändern, da sich die Branche einer Explosion an Forderungen gegenübersieht. In der Folge müssen viele Unternehmen selbst für ihre Sicherheit sorgen, weil dieser Schutzschirm im Fall der Fälle möglicherweise nicht mehr alle Schäden abdecken kann.
Das geopolitische Umfeld ist so volatil wie nie zuvor. Das macht die Gemengelage unberechenbar. Wie kann man Mitarbeitende in den Unternehmen so schulen, aber auch so „resilient“ machen, dass sie möglichst im Sinne ihres Unternehmens kühlen Kopf bewahren und Gefahren bestmöglich erkennen?
Schulungen zur Steigerung des Sicherheitsbewusstseins, sogenannte Security Awareness Trainings, empfinden viele Mitarbeiter häufig als eine Aufgabe, die sie in bestimmten Zeitintervallen einfach „abhaken“ müssen. Dies ist vor allem dann der Fall, wenn Unternehmen einen mangelhaften Ansatz bei ihren Schulungen verfolgen und keine sinnvollen Erfahrungen bieten, die den Teilnehmern einen Mehrwert liefern. Viele Security-Teams stellen dann fest, dass das Bewusstsein der Mitarbeiter für Cybergefahren schnell nachlässt und die Benutzer die Schulungen nicht ernst nehmen oder ihr Verhalten nicht ändern. Der erste Schritt auf dem Weg zu Besserung besteht darin, dass die Verantwortlichen sicherstellen, dass die in den Schulungen genutzten Ressourcen und Inhalte ansprechend, relevant und verständlich sind.
Um das Interesse der Mitarbeiter längerfristig aufrechtzuerhalten, ist es wichtig, eine Vielzahl von einfach zu nutzenden Materialien zur Verfügung zu stellen, die die Bedeutung der Cybersicherheit unterstreichen und die Mitarbeiter zu einem richtigen Verhalten motivieren.
Beim Entwurf von Schulungen sollten Unternehmen auf anerkannte Prinzipien aus der Bildungswissenschaft zurückzugreifen, um die besten Ergebnisse zu erzielen. So bietet es sich beispielsweise an, Wissen durch Schulungen in kurzen, themenspezifischen Abschnitten zu festigen, anstatt stundenlange E-Learning-Module vorzuschreiben. Auch Interaktivität spielt hier eine große Rolle.
Im Idealfall sollten sich die Sicherheitsschulungen an den tatsächlichen Bedrohungen des jeweiligen Unternehmens orientieren. Sie sollten die Mitarbeiter also auf die realen Bedrohungen aufmerksam machen, mit denen sie am wahrscheinlichsten konfrontiert werden. Auch das Wissen um Social-Engineering-Taktiken von Cyberkriminellen muss dabei vermittelt werden.
Damit die Angestellten zu jeder Zeit wachsam bleiben, müssen die Security-Teams auch nach den Schulungen die Abwehrbereitschaft der Mitarbeiter mittels simulierter Phishing-Versuche immer wieder testen. Hier ist es wichtig, dass bei der Phishing-Simulation E-Mails – in entschärfter Form – verwendet werden, die bereits bei tatsächlichen Angriffen zum Einsatz kamen. Auf diese Weise können die Verantwortlichen feststellen, wer sich im Falle einer Attacke richtig verhält und wer ggf. individuell nachgeschult werden sollte. Darüber hinaus müssen kurze Schulungen häufig und regelmäßig, bestenfalls einmal pro Monat, stattfinden.
Wie kann KI vielleicht helfen, die Mitarbeitenden unterstützen, wenn es um Fragen der IT-Sicherheit geht?
Besonders die Erkennung von textbasierten Angriffen wie im Falle von BEC (Business Email Compromise, auch CEO-Betrug genannt), bei denen keine Malware oder präparierte Web-Links verwendet werden, ist eine Herausforderung für klassische Security-Lösungen. Hier können KI- und Machine-Learning-Technologien einen wichtigen Beitrag leisten, um derartige Angriffe frühzeitig zu erkennen und eine Zustellung an das Postfach des Benutzers zu unterbinden.
Bei Proofpoint haben wir es zu unserer Aufgabe gemacht, den Schutz unserer Kunden mit Hilfe von KI und Machine Learning erheblich zu verbessern, um die größtmögliche Sicherheit zu gewährleisten. Proofpoints Targeted Attack Protection (TAP) beispielsweise erkennt Bedrohungen, die auf Menschen und ihre Daten abzielen, und zwar in den Tools, die sie in ihrem Arbeitsalltag nutzen. Es verfügt über mehrere Machine-Learning-Engines zur Identifizierung von Bedrohungen bzw. zusammengesetzter mehrstufiger Bedrohungen, der Klassifizierung von Beziehungen im Rahmen der Kommunikation, der Klassifizierung von Mitarbeitern in Schlüsselpositionen sowie der Bewertung und Identifizierung von sich verändernden Webseiten bzw. Links. Dadurch werden nicht nur neue und noch unbekannte Bedrohungen erkannt, sondern diese Daten werden auch für die künftige Erkennung genutzt.
Welche Ratschläge geben Sie IT-Sec-Verantwortlichen mit auf den Weg für die kommenden Monate?
Ganz generell lässt sich festhalten, dass eine Kombination aus Technologie und auf den Menschen ausgerichteter Maßnahmen in Sachen Cybersicherheit den größtmöglichen Schutz bietet. Wir empfehlen Unternehmen, einen personenzentrierten, also am Menschen ausgerichteten Sicherheitsansatz zu verfolgen, der alle Beteiligten (Mitarbeiter, Kunden und Geschäftspartner) vor Cyberbedrohungen schützt. Zudem müssen die Security-Verantwortlichen technische Maßnahmen wie eine mehrschichtige Verteidigung am Netzwerk-Edge, am E-Mail-Gateway, in der Cloud und am Endpunkt ergreifen. Ferner ist es unerlässlich die eigenen Mitarbeiter regelmäßig für aktuelle Cyberbedrohungen in umfassenden Benutzerschulung zu sensibilisieren und ihnen dabei das nötige Rüstzeug mit auf den Weg zu geben, diesen Gefahren zu begegnen. Benutzer müssen verinnerlichen, dass alle E-Mails, die sie unaufgefordert erhalten, mit Vorsicht zu genießen sind, insbesondere solche, die eine Handlung vom Benutzer verlangen – beispielsweise in Form einer Aufforderung, einen Anhang herunterzuladen bzw. zu öffnen oder auf einen Link zu klicken bzw. Anmeldedaten oder sensible Informationen mitzuteilen.
Bildquelle / Lizenz Aufmacher:
Photo by sebastiaan stam on Unsplash
Creative Commons Lizenz CC BY-ND 4.0
Sie dürfen:
Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.
Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
Unter folgenden Bedingungen:
Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.