Der Feind in den eigenen Reihen

Viele Unternehmen unterschätzen die Gefahren, die von den eigenen Mitarbeitern ausgehen. Dabei sind gerade die Angestellten meist das grösste Sicherheitsrisiko überhaupt.

 

(Quelle: Immersion Imagery / shutterstock.com )

Sicherheit ist im Bewusstsein der allermeisten Unternehmen inzwischen tief verankert: Firewalls, Endpoint-Security, Detection & Response, Access Control und viele weitere Techniken gehören wie selbstverständlich zum Abwehr-Arsenal gegen Cybercrime. Doch nicht wenige Firmen haben einen blinden Fleck - die eigenen Mitarbeiter.

Auch die beste Security-Technik schützt nicht vor der Schwachstelle Mensch. Nicht selten sind die Mitarbeiter ein Einfallstor für Angriffe und Malware. Dabei sind sie in der Regel nicht böswillig, es geschieht eher durch Gutgläubigkeit und Unachtsamkeit. Aktuelle Studien besagen, dass mehr als 80 Prozent der erfolgreichen Cyberangriffe auf menschliches Fehlverhalten zurückzuführen sind. Die Angriffsvektoren sind breit gefächert und reichen von Social Engineering und Phishing über Malware, E-Mails und Drive-by-Downloads bis hin zu zielgerichteten Attacken mit Hilfe von Deepfakes. Wenn es einem Angreifer gelingt, auch nur einen einzigen Mitarbeiter aufs Kreuz zu legen, dann ist die Sicherheit des gesamten Unternehmens gefährdet. 

Das muss aber keineswegs passieren: Mit den passenden Trainings und Schulungen wandeln sich die Mitarbeiter im besten Fall vom Sicherheitsrisiko zu einem unschätzbaren Sicherheitsfaktor.  

Eine Studie der Personalberatung Rochus Mummert kommt zu dem Ergebnis, dass 60 Prozent der IT-Entscheider mögliches Fehlverhalten der Mitarbeiter als hohes bis sehr hohes Risiko einschätzen. Zum Vergleich: Mängel in der IT-Infrastruktur oder beim Umgang mit Passwörtern halten nur 19 beziehungsweise 34 Prozent der Entscheider für ein hohes oder sehr hohes Sicherheitsrisiko.

Einfallstor Mitarbeiter

Die interne Bedrohung stellt für Unternehmen aller Grössenordnungen eine fortwährende Herausforderung dar. Denn der Mitarbeiter von heute setzt viele verschiedene Geräte ein, noch dazu häufig an unterschiedlichen Standorten. Die Aufgabe für die Unternehmen lautet, das ideale Gleichgewicht zu finden zwischen dem notwendigen Mitarbeiterzugriff und der gewünschten Datensicherheit. Dabei gilt der Grundsatz: Je besser die Mitarbeiter darüber Bescheid wissen, wie sie zum Schutz ihres Unternehmens beitragen können, desto sicherer und aufmerksamer verhalten sie sich.

Eine zentrale Aufgabe für die IT-Abteilung besteht darin, die Kontrolle darüber zu behalten, wer auf bestimmte Programme, Geräte und vertrauliche Informationen innerhalb des Unternehmens zugreifen kann. Dazu muss sie die verschiedenen Aufgabenbereiche kennen und den Zugriff jeweils auf bestimmte Mitarbeiter beschränken. Einen Sonderfall stellen dabei die nicht immer wohlgesinnten ehemaligen Mitarbeiter dar, die oft noch über weitreichende Zugriffsrechte verfügen. Hier sollte eine automatisierte Access Control für geordnete Verhältnisse sorgen.

Laut Christopher Schmid, SVP und Head of IT Security DACH beim IT-Dienstleister NTT Data, haben die meisten Unternehmen mittlerweile ihre Unternehmensnetzwerke und Systeme auf- und nachgerüstet, sodass es Hackern immer schwerer fällt, unbemerkt in die Firmennetze einzudringen. «Deshalb versuchen sie es über die Mitarbeiter, die aus Sicht der IT-Security in der Tat das grösste Risiko darstellen. Hacker wissen um die Schwächen der Mitarbeiter, die häufig Gefahren nicht erkennen, zum Beispiel die zum Teil wirklich gut gemachten Phishing-E-Mails, mit diesen falsch umgehen oder verdächtige Aktionen nicht melden.»

 

Auch für Bogdan Botezatu, Director of Threat Research and Reporting beim Security-Spezialisten Bitdefender, sind die Mitarbeiter oft das schwächste Glied in der Sicherheitskette eines Unternehmens. «Meistens handeln sie in gutem Glauben, aber es fehlen ihnen schlicht die Cybersicherheitskenntnisse. Hin und wieder sind es aber auch verärgerte Mitarbeiter, die wissentlich Vorgaben umgehen. Eine Studie, die wir 2019 durchgeführt haben, zeigt, dass die Mitarbeiter bei den Sicherheitsbedenken von CISOs an erster Stelle stehen.» Ein mangelndes Verständnis der Mitarbeiter für die Cybersicherheit bei den täglichen Routinen ist demnach der grösste Stressfaktor für die IT-Fachbereiche (36 Prozent), gefolgt von Unterbesetzung der Teams (33 Prozent) und mangelndem Sicherheitsverständnis auf der Führungsebene (30 Prozent).

Jochen Koehler, Sales Director Security Solutions bei HP, sieht es so: «Viele Sicherheitsvorfälle wären zu vermeiden, wenn die Mitarbeiter adäquat für IT-Gefahren sensibilisiert wären. Diese Aussage ist zwar richtig, greift aber zu kurz. Viel wichtiger wäre die Implementierung eines Schutzschildes, der Unachtsamkeiten von Mitarbeitern folgenlos macht.» Er betont aber auch: «Natürlich muss bei der Sicherheit der Faktor Mensch Berücksichtigung finden. Mitarbeiter sind die letzte Verteidigungslinie in Sachen Sicherheit und damit auch ein bevorzugtes Angriffsziel. Gerade das Social Engineering, das vor allem in Form von Spear-Phishing-Mails auftritt, stellt eine grosse Gefahr für jedes Sicherheitssystem dar.»

Typische Fehler

Kaum ein Mitarbeiter will seinem Arbeitgeber vorsätzlich schaden. Aber bei Stress und hohem Arbeitsdruck ist man weniger aufmerksam und klickt vielleicht auf Dateien in E-Mails, die eigentlich sofort in Quarantäne müssten. «Vor allem, wenn eine E-Mail im Namen des CEOs im Postfach liegt, klicken viele automatisch», bestätigt Christopher Schmid von NTT Data. «Und dann gibt es natürlich ausgereifte Social-Engineering-Attacken, bei denen auch typisch menschliche Eigenschaften ausgenutzt werden: Hilfsbereitschaft - etwa einem unbekannten Kollegen mal schnell die Türe öffnen -, Angst vor Konsequenzen und Automatismen.v

«Phishing nicht zu erkennen und das Wiederverwenden von Passwörtern gehören zu den häufigsten Problemen», weiss Bogdan Botezatu. Gefährlich sei auch das bewusste Ignorieren von Sicherheitspraktiken, etwa indem Mitarbeiter die Antiviren-Lösung vorübergehend deaktivieren, um eine Einschränkung aufzuheben. «Auch die Installation eines Remote-Support-Clients auf einem Firmencomputer, damit sich die Mitarbeiter von ausserhalb des Büros am PC anmelden können, kann die Sicherheit gefährden. Dies führt in der Regel zu Sicherheits­lücken, die Angreifer leicht ausnutzen könnten.» Wie Mitarbeiter mit Unternehmensdaten umgehen, werde ebenfalls leicht übersehen. So sollten Kunden- oder Firmendaten etwa nicht auf öffentliche Cloud-Sharing-Plattformen kopiert werden.

Die zeitlosen Klassiker sind das gedankenlose Öffnen von E-Mail-Anhängen und das leichtfertige Klicken auf Links. Christian Knothe, Head of Security Sales Germany beim britischen TK-Riesen BT, geht noch weiter: «Dazu kommen aber auch Vorfälle, die nicht auf einen Angriff, sondern auf die unbedachte Nutzung und Konfiguration von Systemen zurückgehen. Besonders im Hinblick auf die Nutzung von Cloud-Diensten ist hier noch einiges zu tun.»

Apurba Bhangale ist Senior IT Security Specialist bei Teamviewer. Ihrer Meinung nach gehören schwache Passwörter und die Weitergabe von Passwörtern zu den häufigsten
Sicherheitsfehlern, die Mitarbeiter machen. Ebenso kritisch sei es, kostenlose Software aus nicht vertrauenswürdigen Quellen zu installieren oder Anwendungen wie Antiviren- oder Endpoint-Security-Tools nicht ernst zu nehmen. Weitere Sicherheitsrisiken könnten durch die Verbindung mit ungesicherten WLAN-Netzwerken entstehen. Dazu kommt: «Viele melden sich nicht beim IT-Sicherheitsteam, wenn sie etwas Verdächtiges bemerken.»

Social Engineering

Besonders beliebt bei Angreifern ist Social Engineering, also die gezielte Beeinflussung und Manipulation von Mitarbeitern, um sie zur Preisgabe von vertraulichen Informationen zu bewegen. «Social Engineering ist auch deshalb so erfolgreich, weil die Mittel der Angreifer immer besser werden», vermutet Jochen Koehler. «Gerade Entwicklungen wie Deepfakes, also täuschend echte Fakes von Bildern, Videos oder Audiodateien, erhöhen die Gefahren erheblich. Damit können Betrugsversuche per E-Mail oder am Telefon noch besser kaschiert werden, um Zielpersonen zum Öffnen von E-Mail-Anhängen oder zur Preisgabe von Dokumenten zu veranlassen.»

Deepfakes sind quasi der letzte Schrei. Sie basieren auf Deep Learning, einer besonderen Art des Machine Learnings. Die den Deepfakes zugrunde liegenden KI-Algorithmen werden mit grossen Mengen an Bild- und Videomaterial gefüttert. Je mehr Daten von einer Person vorliegen, desto besser und glaubwürdiger fällt das Ergebnis aus. Schon wenige Hundert Bilder der Zielperson reichen aus, um einen plausiblen Deep­fake zu erzeugen. Deepfakes werden bald so gut sein, dass eine Stimme in Echtzeit generiert werden kann. Ein Angreifer kann so direkt mit seinem Opfer interagieren und wie ein Vorgesetzter aussehen oder wie der CEO klingen. Der grundlegende Unterschied zu herkömmlichen Fakes, bei denen etwa der Kopf aus einem Bild in ein anderes Bild eingefügt und retuschiert wird: Deepfakes hantieren nicht mit bestehenden Daten, sondern erzeugen neues Material.

«Wir sind alle Menschen mit Tugenden und Schwächen», sagt Christopher Schmid. «So ist es ein Charakterzug von Menschen, gern zu helfen, auf Druck zu reagieren oder mit Kollegen zu fachsimpeln. Dieses Verhalten machen sich Hacker beim Social Engineering zunutze. Hacker bereiten sich gründlich auf solche Angriffe vor, etwa indem sie Insights im Web oder in Social Networks recherchieren, die sie dann gekonnt im Gespräch oder in der E-Mail einsetzen.»

Gefahrenherd Home Office

In Zeiten von Corona ziehen viele Mitarbeiter freiwillig oder gezwungenermassen ins Home Office. Das Büro in den eigenen vier Wänden ist aber besonders gefährdet, weil es private und geschäftliche Risiken verbindet. Nun rächt sich, dass viele Firmen Home Office bislang ablehnten. Bromium-Manager Koehler führt aus: «Die im Unternehmen getroffenen Sicherheitsmassnahmen können zu Hause oft nicht uneingeschränkt greifen. Ein Beispiel dafür sind nicht ausreichend gesicherte WLAN-Router.» Hinzu kommt, dass Hacker die Ängste und Hoffnungen der Menschen ausnutzen und infizierte Corona-E-Mails mit Horrormeldungen oder Wundermitteln verschicken.

NTT-Experte Christopher Schmid betont, dass viele Mitarbeiter bisher keine Erfahrung mit der Arbeit im Home Office haben. «Die wenigsten davon dürften ein gezielt auf ein Arbeiten im Home Office abgestimmtes Sicherheitstraining bekommen haben. Einige Firmen dürften nicht einmal Policies haben, mit denen Sicherheitsregeln fürs Home-Office-Arbeiten festlegt sind.» Das Problem, so Schmid: Im Home Office kommen private und firmengestützte IT zusammen. «Was wird auf welchen Geräten erledigt? Berufliche Aktivitäten wie Telefon- und Videokonferenzen werden unter Umständen ausserhalb des Firmennetzwerks durchgeführt, also auf Privatgeräten oder auf Firmenrechnern ohne aktivierten VPN-Zugang.»

Bogdan Botezatu ist ebenfalls besorgt: «Home Office birgt grundsätzlich aus mehreren Gründen Risiken. Hier einige Beispiele, über die man nachdenken sollte: Das IT-Sicherheitsteam verfügt vielleicht über Sensoren innerhalb des Unternehmensnetzwerks, um bei Traffic-Anomalien oder verdächtigem Verhalten zu warnen. Da wir jetzt zu Hause in unserem eigenen Netzwerk sind, hat die IT-Sicherheit keine Ahnung, was durch unser Netzwerk geht. Wir könnten eine unangemessene Sicherheitskonfiguration haben oder Router mit veralteter Firmware. Wenn unsere Büronetzwerke auf Zero-Trust-Sicherheit basieren, dann sind unsere Netzwerke im Home Office genau das Gegenteil. Wir nutzen vielleicht zudem anfällige IoT-Geräte, die sich von Angreifern dazu verwenden lassen, andere Geräte zu kompromittieren. Zu Hause haben mehr unternehmensfremde Personen Zugriff auf die Geschäftsgeräte wie Laptops oder Smartphones.»

BT-Manager Knothe sieht besondere Gefahren vor allem für Unternehmen, die sich in ihren Sicherheitsbemühungen bisher nur innerhalb der Grenzen des eigenen Perimeters bewegt haben. «Wer sich bereits im Vorfeld darum gekümmert hat, Mitarbeiter ausserhalb des eigenen Netzwerks zu schützen, ist eindeutig im Vorteil.»

Gegenmassnahmen

Unternehmen können verschiedene Strategien verfolgen und Produkte nutzen, um dem Sicherheitsrisiko durch die Mitarbeiter zu begegnen. Bromium etwa setzt mit seiner Lösung auf Isolation statt Detektion. Das technische Fundament bildet eine Mikro-Virtualisierung. Sie kapselt jede riskante Anwenderaktivität wie einen Anhang öffnen, ein Dokument herunterladen oder eine Webseite aufrufen in einer eigenen Micro-Virtual-Machine, die nach jeder Aktion automatisch wieder gelöscht wird. «Eine Infizierung des Endgeräts mit Schad-Software - auch mit neuer, bisher unbekannter - ist damit nahezu ausgeschlossen», erklärt Jochen Koehler.

Teamviewer wiederum, so berichtet Apurba Bhangale, sensibilisiert die Mitarbeiter und ihr Sicherheitsbewusstsein kontinuierlich. Dazu werde in All-hands-Meetings mit der ganzen Belegschaft die Bedeutung von IT-Security besonders betont und es gebe regelmässige Workshops, in denen auf die geltenden IT-Security-Policies hingewiesen werde. IT-Security-Best-Practices seien ausserdem fester Bestandteil des Onboarding-Programms für neue Mitarbeiter und man informiere auch regelmässig per E-Mail über neue Angriffsmethoden.

In vielen Unternehmen aber befindet sich das Sicherheitsbewusstsein der Mitarbeiter in einem Dornröschenschlaf. «Viele reden drüber, aber wenige Vorstände und Entscheider wollen Security Awareness nachhaltig finanzieren und wenige haben sie ganzheitlich umgesetzt. Teure Tools zu implementieren reicht nicht aus und vermag fehlende Security Awareness nicht zu kompensieren. Vor allem KMUs haben bei dem Thema einen grossen Nachholbedarf», konstatiert Christopher Schmid.

Egon Kando, Area VP beim SIEM-Unternehmen Exabeam, sieht sehr grosse Unterschiede, wie Branchen mit dem Thema Security Awareness umgehen. «Generell kann man sagen, dass Unternehmen mehr in Schulungen investieren, je wichtiger die von ihnen verwalteten Daten sind. Verbesserungspotenzial gibt es vor allem dabei, auch Schulungen zur Auffrischung anzubieten. Die Bedrohungslage und die Angriffsvektoren verändern sich sehr schnell und Mitarbeiter sollten regelmässig geschult werden, um sie auch für die neuesten Angriffsmuster zu sensibilisieren.»

Christian Knothe zufolge hat sich die Lage in den vergangenen Jahren verbessert, sie sei aber noch nicht optimal. «Der Grad der Security Awareness in Unternehmen ist dabei nicht nur eine Frage von Trainings, sondern spiegelt auch die generelle Unternehmenskultur wider. Die Arbeit wird niemals aufhören.»

Effizientes Training

Ein Weg zur Sensibilisierung sind firmenspezifische Schulungen, in denen auf mögliche Social-Engineering- und Deepfake-Angriffe eingegangen wird. Allgemeine Awareness-Trainings dagegen werden von den Mitarbeitern oft als lästige Pflichtübung betrachtet und erzielen bestenfalls mässigen Erfolg. Viele Firmen setzen nach wie vor auf den Angstfaktor. Erfolgversprechender ist es, die positiven Auswirkungen eines korrekten Verhaltens hervor­zuheben.

Bei Security-Awareness-Training sollte es nicht einfach darum gehen, Wissen zu vermitteln, sondern Verhalten zu verändern. Das gelingt am besten mit Emotionen. Es muss den Mitarbeitern Spass machen, sicherheitsbewusstes Verhalten zu erlernen. Die Schulungsplattform KnowBe4 etwa arbeitet auch mit Comics und Netflix-ähnlichen Videoserien. Cliffhanger sorgen dafür, dass die Nutzer von sich aus mehr davon haben wollen. Auch Gamification-Elemente wie zu gewinnende Badges oder Wettkämpfe zwischen mehreren Teams eines Unternehmens sorgen spielerisch für Sensibilisierung.

Christopher Schmid teilt eine Awareness-Schulung in drei Teile ein: die Phase des Wachrüttelns, die Phase der Inhaltsvermittlung und die Phase der Einübung, bei der Inhalte, zum Beispiel mit Hilfe von E-Learning, kontinuierlich wiederholt werden. Gutes Training sollte sich Schmid zufolge an einigen Prinzipien orientieren: Augenhöhe statt Bevormundung - also nicht mit Konsequenzen drohen, aber Konsequenzen von falschem Verhalten trotzdem aufzeigen - , dabei aktuelle und verständliche Fallbeispiele nutzen und Handlungsanweisungen in das Training einbauen.

Bitdefender-Mann Botezatu kennt kein allgemeingültiges Patentrezept. «Wir sind der Meinung, dass alle Unternehmen oder Betriebe ihr Bedrohungsmodell evaluieren und ihre Mitarbeiter entsprechend schulen müssen. Wenn Sie zum Beispiel eine Buchhaltungsfirma sind, die von Ransomware betroffen sein könnte, dann sollten Sie Ihre Schulung wahrscheinlich so anpassen, dass die Mitarbeiter bösartige Anhänge in E-Mails erkennen. Wenn Sie im Finanzwesen tätig sind und viel mit CEOs oder CFOs zu tun haben, sollten Sie Ihre Mitarbeiter darin schulen, die Finanztransferprotokolle gewissenhaft zu befolgen und nie von den Regeln abzuweichen.»

Hoffungsträger KI

Künstliche Intelligenz dringt in immer mehr Bereiche vor. Womöglich ist auch ein Einsatz beim Human Learning denkbar. Christopher Schmid sagt dazu: «Grundsätzlich ja. Wenn aus Daten, ermittelt aus internen Sicherheits-Appliances, sinnvolle Erkenntnisse gewonnen werden können, mag dies ein Unternehmens-Awareness-Programm positiv beeinflussen, aber weniger das Lernverhalten des einzelnen Mitarbeiters. Wenn Mitarbeiterverhalten direkt analysiert wird und eine Machine-Learning-basierte Lösung den Nutzer direkt auf Fehlverhalten aufmerksam macht, würde dies hohen Mehrwert bringen. Aus datenschutz- und betriebsrechtlichen Gründen sollte das Tracking jedoch auf anonymisierte Informationen ausgerichtet sein.»

Egon Kando zufolge könnte Machine Learning theoretisch auch beim Lernverhalten der Mitarbeiter etwas bringen. «Sinnvoller wäre es jedoch, Machine Learning so einzusetzen, dass es Mitarbeiter vor unbewussten Fehlern schützt. Cyberkriminelle sind mittlerweile so gut darin, Netzwerke zu infiltrieren, dass es oft eher darum geht, Angriffe möglichst frühzeitig zu erkennen, bevor sie Schaden anrichten können. Hier spielt Machine Learning seine Stärken aus, weil es die Netzwerkaktivität jedes Benutzers und jeder Entität im Netzwerk in Echtzeit analysiert und jede Abweichung vom Normalverhalten sofort erkennt.» «Wichtiger als das Lernverhalten ist es, den Lernerfolg nachzuvollziehen», ergänzt Christian Knothe von BT. «Nur so können Massnahmen optimiert und im richtigen Zyklus wiederholt werden. Künstliche Intelligenz ist dabei eine Möglichkeit, aber sicher kein Wundermittel.»

Angriffsvektor E-Mails

E-Mails sind nach wie vor einer der häufigsten Angriffsvektoren. Die Folgen sind neben der Verbreitung von Malware oft Datendiebstahl, Spam, Betrug, aber auch Datenverlust. «Hier muss bei den Mitarbeitern Awareness geschaffen werden», fordert Christopher Schmid. «Parallel müssen technische Lösungen wie Antiviren-Programme oder Spam-Filter sein, um bösartige E-Mails zu erkennen und zu isolieren. Auch gilt es, Backup-Konzepte zu überprüfen.»

Apurba Bhangale nennt Möglichkeiten, E-Mail-Infrastrukturen zu schützen, etwa durch die Implementierung einer intelligenten Gateway-Lösung. Über Regelsätze können so Spam- und Viren-E-Mails herausgefiltert werden. Zusätzliche Sicherheit bringen Authentisierungsprüfungen und die Validierung der Legitimität von E-Mails. Keine dieser Ansätze bietet jedoch einen 100-prozentigen Schutz vor Spam oder virenbefallenen E-Mails - deshalb bleibt der Nutzer selbst der entscheidende Faktor. «Bei den Mitarbeitern müssen sofort die Alarmglocken läuten, wenn sie unerwartete Mails mit verdächtigem Inhalt, unbekannten Links oder Attachments erhalten, und sie müssen sich direkt beim IT-Security-Team melden.»

Christian Knothe sieht in Sachen E-Mail-Sicherheit viele gute technologische Entwicklungen, warnt aber: «Da E-Mail nach wie vor das wichtigste Kommunikationsmedium in Unternehmen ist, kann rein mengenmässig nicht alles abgefangen werden. Deswegen ist der Mitarbeiter als menschliche Firewall gefragter denn je.»

Fazit & Ausblick

Nachdem die Technik sowohl aufseiten der Angreifer als auch bei der Verteidigung weitgehend ausgereizt zu sein scheint, rückt der Faktor Mensch verstärkt in den Mittelpunkt. Social Engineering wird eine immer grössere Rolle bei Cyberattacken spielen. Viele Schutzmassnahmen lassen sich nach wie vor von den Mitarbeiter aushebeln, die sich wiederum von den Angreifern überlisten lassen.

Das Arsenal der Cyberkriminellen erfährt mit Deepfakes eine signifikante Erweiterung. Auch eine Art Deepfake as a-Service wird früher oder später kommen. Deepfake-Angriffe lassen sich schwer abwehren, auch Vorbeugung ist schwierig. 2020 wird wahrscheinlich das Jahr des Social Engineerings auf Deepfake-Basis, nicht zuletzt wegen der Präsidentschaftswahlen in den USA im November. Unternehmen sind deshalb mehr denn je dazu aufgefordert, ein Bündel an Massnahmen zu ergreifen, um die für sie wichtigen Daten zuverlässig zu schützen - auch vor dem Fehlverhalten der Mitarbeiter. 

Es mag ratsam sein, für kritische Informationen ein Konzept zu erstellen, bei dem die Daten verschlüsselt werden und der Schlüssel in der Kontrolle des Dateneigners bleibt. Netzwerksegmentierung gehört ebenfalls zu den Grundlagen moderner Sicherheitskonzepte und kann stark zur Minimierung von Risiken beitragen. Viele Unternehmen haben hier noch grossen Nachholbedarf.

Quelle: Computerworld