Minimieren Sie das Cyber-Sicherheitsrisiko mit menschenzentrierten Strategien

Der „Mensch in der Maschine“ ist eine grundlegende Überlegung bei der Entwicklung einer effektiven Strategie zur Minimierung von Cybersicherheitsrisiken. Diese Aussage hat jedoch viele Aspekte, denn unsere Mitarbeiter sind ein wesentlicher Bestandteil des Erfolgs unseres Unternehmens. Anstatt Schuldzuweisungen vorzunehmen, müssen wir das Bösartige vom Versehen unterscheiden, das Erstere erkennen und das Letztere verhindern.

Durch gezieltes Sicherheitstraining können menschliche Faktoren, die zu menschlichem Versagen führen, gemildert werden. Hier erfahren Sie, wie und warum das Risiko der Cybersicherheit durch Sicherheitsbewusstsein gemanagt werden kann.

Warum menschliche Faktoren zu Cybersicherheitsrisiken führen

Der menschliche Faktor bei Cybersicherheitsrisiken wird gewöhnlich als „Insider-Bedrohung“ bezeichnet. Bei den „Insidern“ handelt es sich um Mitarbeiter und Nicht-Mitarbeiter, wie z.B. Berater. Die einfache Tatsache, dass Insider ein integrierter Bestandteil der Prozesse eines Unternehmens sind und IT-Ressourcen mit Erlaubnis nutzen, macht es schwierig, die menschlichen Fehler zu beheben, die zu Cybersicherheitsrisiken führen.

Insider-bedingte Cybersicherheitsrisiken sind ein großes Problem: Ein 2020 Insider Threat Report von Cyber Security Insiders weist darauf hin, dass 68% der Organisationen sich „mäßig bis extrem anfällig“ für Insider-Bedrohungen fühlen. Das ist nicht überraschend, wenn man sich einige der Schlagzeilen über Cyberangriffe des letzten Jahres ansieht, wie z.B. den Twitter-Hack von 2020, bei dem auf hochkarätige Twitter-Konten, darunter auch das von Barack Obama, zugegriffen wurde und Twitter-Nutzer dazu gebracht wurden, illegale Bitcoin-Transaktionen durchzuführen. Der Schaden wird auf rund 180 Millionen Dollar (129 Millionen Pfund) geschätzt und der Aktienkurs von Twitter wurde um 4 % gedrückt. Bei dem Hack wurden Twitter-Mitarbeiter durch Speerphishing angegriffen und privilegierte Zugangsdaten gestohlen.

Cyberkriminelle nutzen menschliche Faktoren, um sich unbefugt Zugang zu verschaffen, Anmeldedaten zu stehlen und IT-Systeme und Endgeräte mit Malware wie Ransomware zu infizieren. Ohne den Mensch-im-Maschine-Effekt wäre Cyberkriminalität viel schwieriger.

Die menschlichen Faktoren, die zu menschlichem Versagen führen

Laut einer Studie von IBM sind die drei wichtigsten Bereiche, auf die man sich bei der Entwicklung von Sicherheitsstrategien zur Minderung von Cybersicherheitsrisiken konzentrieren sollte:

Phishing

Scannen und ausnutzen

Unbefugte Verwendung von Zugangsdaten

Alle drei Vektoren haben ein Element, das an irgendeinem Punkt der Angriffskette einen menschlichen Faktor beinhaltet.

Phishing und Spear-Phishing – menschliche Faktoren: Hier muss ein menschliches Ziel auf einen Link klicken oder einen infizierten Anhang öffnen, um die Infektionskette zu starten. Oft wird Phishing eingesetzt, um privilegierte Benutzer anzusprechen (Spear-Phishing), um deren Anmeldedaten abzugreifen. Privilegierte Benutzer haben Zugang zu wichtigeren Ressourcen – der Diebstahl von privilegierten Zugangsdaten ist der goldene Kelch des Hackings. Hier kommt ein menschlicher Faktor ins Spiel, z. B. die automatische Klickreaktion.

Scannen und Ausnutzen – menschliches Versagen: Hacker nutzen alles, was ihnen das Leben leicht macht, und die Möglichkeit, automatisch nach Schwachstellen zu suchen, ist ein nützlicher Vektor für die Infektion mit Malware. IT-Systemkomponenten wie Webserver, Datenbanken und Cloud-Anwendungen können falsch konfiguriert werden, wenn die Auswirkungen mangelnder Sicherheit nicht vollständig verstanden werden. Unsichere Anwendungen und Webkomponenten führen zu Sicherheitslücken, die Hacker ausnutzen können. In diesem Fall führt menschliches Versagen zu einem Cybersicherheitsrisiko.

Unberechtigte Nutzung von Zugangsdaten – menschliches Versagen und menschliche Faktoren: Diebstahl von Zugangsdaten führt zu unberechtigtem Zugriff auf IT-Systeme und Ressourcen. Zu den Möglichkeiten der unbefugten Nutzung von Anmeldeinformationen gehören:

Shoulder Surfing: Zugangsdaten werden gestohlen, wenn eine böswillige Person jemanden bei der Eingabe eines Passworts beobachtet.

Phishing: eine Person dazu verleiten, ihre Anmeldedaten auf einer gefälschten Anmeldeseite einzugeben.

Social Engineering: eine Person dazu bringen, ihre Anmeldedaten per Telefon, über soziale Medien oder andere Kommunikationsmethoden wie E-Mails, Helpdesks und SMS zu übermitteln.

Bei allen drei erfolgreichsten Hacking-Vektoren spielen sowohl der menschliche Faktor als auch menschliches Versagen eine große Rolle. Das Cybersicherheitsrisiko konzentriert sich auf unsere Mitarbeiter und Nicht-Mitarbeiter, aber wie können wir dieses Risiko verringern?

Bewährte Praktiken, die verhindern, dass menschliche Faktoren zu menschlichem Versagen werden?

Eine Studie von Kaspersky, die sich mit der Rolle menschlicher Faktoren beim Cyber-Sicherheitsrisiko befasste, ergab, dass „unvorsichtiges oder uninformiertes Personal“ die zweitwahrscheinlichste Ursache für einen schwerwiegenden Sicherheitsverstoß ist; die Infektion mit Malware steht an erster Stelle, wird aber oft selbst durch unvorsichtiges oder uninformiertes Personal verursacht. Angesichts des hohen Risikos, das mit menschlichen Faktoren verbunden ist, ist die Reduzierung von Fehlern entscheidend für die Minderung des Sicherheitsrisikos.

Zwei Bereiche stechen hervor, die sowohl nachlässiges als auch uninformiertes Personal betreffen:

Unvorsichtige Entscheidungen, die zu Sicherheitsmängeln führen: Schlechte Sicherheitsentscheidungen, wie die Fehlkonfiguration von IT-Systemen und -Komponenten oder das Klicken auf einen Phishing-Link, ohne darüber nachzudenken, sind menschliche Fehler, die zu einem erhöhten Cyber-Sicherheitsrisiko führen. Die Fehlkonfiguration von IT-Systemen und -Komponenten ist ein Beispiel für eine unbedachte Sicherheitsentscheidung. Das Anklicken eines Phishing-Links ist ein weiteres. Sowohl IT- als auch Nicht-IT-Mitarbeiter sind zu unbedachten Entscheidungen fähig, die zu Sicherheitsmängeln führen. Wenn Sie sicherstellen, dass alle Mitarbeiter, sowohl die technischen als auch die nicht-technischen, sich der Auswirkungen ihrer Entscheidungen bewusst sind, können Sie das Risiko der Cybersicherheit deutlich verringern.

Uninformierte Mitarbeiter führen zu Sicherheitsmängeln: Wenn die Mitarbeiter sich ihrer Handlungen nicht bewusst sind, wie können sie dann die Konsequenzen für die Sicherheit erkennen? Unternehmen schulen ihre Mitarbeiter routinemäßig in anderen Bereichen des Unternehmens, und dies sollte auch auf die Schulung des Sicherheitsbewusstseins ausgedehnt werden. Zu den Sicherheitsschulungen gehört auch, dass die Mitarbeiter verstehen, wie Phishing funktioniert, sowie andere häufige Sicherheitsfehler wie die gemeinsame Nutzung von Passwörtern und die falsche Zustellung von E-Mails. Laut dem Verizon Data Breach Investigation Report (DBIR) steigt die Zahl der Fehlzustellungen als eine Form menschlichen Versagens weiter an.

Abschwächung des menschlichen Faktors bei Cybersicherheitsrisiken

Die Kaspersky-Studie hat ein entscheidendes Element menschlichen Versagens im Sicherheitsbereich identifiziert – den Drang, Fehler zu verbergen. Die Umfrage ergab, dass in 40 % der Unternehmen die Mitarbeiter Sicherheitsvorfälle verheimlichen. Diese Zahl sollte die Alarmglocken läuten lassen und die Menschen dazu veranlassen, ihre Sicherheitsschulungen zu intensivieren. Selbst wenn die Mitarbeiter die Tragweite eines Sicherheitsvorfalls verstanden haben, fühlten sie sich gezwungen, die Informationen zu verbergen. Das wirft die Frage nach dem Warum auf, auf die es eine zweiteilige Antwort gibt:

Machen Sie Sicherheit zu einer Kultur: Es mag wie ein Klischee klingen, aber wenn der Sicherheitsgedanke in Ihrer Unternehmenskultur verankert ist, ist es weniger wahrscheinlich, dass die Mitarbeiter überfordert sind und Angst haben, wenn etwas passiert. Eine Sicherheitskultur wird durch Sicherheitsschulungen geschaffen, die dazu beitragen, bei den Mitarbeitern positive Sicherheitsgewohnheiten zu entwickeln.

Erleichtern Sie die Meldung von Sicherheitsvorfällen: Vorfälle müssen gemeldet werden, damit das richtige Fachpersonal entsprechend dem Risiko auf sie reagieren kann. Ein Meldesystem, das so konzipiert ist, dass es den Mitarbeitern die Meldung von Sicherheitsvorfällen erleichtert, wird die Wahrscheinlichkeit erhöhen, dass dies auch geschieht.

Menschliche Faktoren führen zu menschlichem Versagen. Durch Schulungen zum Thema Cybersicherheit können Unternehmen die menschlichen Verhaltensweisen ansprechen, die zu unbedachten Fehlern und schlechten Entscheidungen führen, und so das Cybersicherheitsrisiko verringern.