Ende Oktober wurde der Bericht zur Lage der IT-Sicherheit in Deutschland 2022 des BSI veröffentlicht. Ein großes Thema daraus: Der menschliche Faktor als Sicherheitsrisiko für die Informationssicherheit, paraphrasiert natürlich. Wie könnte man bloß ein solches Risiko vermindern? Diese Frage beschäftigte auch viele Aussteller auf dem it-sa Congress in Nürnberg. Wer jetzt noch nicht die Augen verdreht und an die letzte IT-Sicherheitsschulung denkt, oder gar das Schaubild der menschlichen Firewall vor Augen hat, der sollte die folgenden Zeilen gründlich lesen.
Der Inhalt im Überblick
Wofür braucht es in der IT-Sicherheit Awareness?
Wenn im Deutschen von „Bewusstseinsbildung“ gesprochen wird, denken wohl die wenigsten an Informationssicherheit. Wörtlich gesprochen, muss sich aber jeder darüber bewusst sein, dass der Umgang mit IT-System gewisse Risiken birgt. Hinter welcher E-Mail versteckt sich ein Phishing-Angriff? Ist das gewählte Passwort sicher? Ist das wirklich mein Chef in der Videokonferenz?
Der menschliche Faktor ist und bleibt eine Schwachstelle in jedem IT-System. Nicht überraschend geht aus dem Bundeslagebild Cybercrime 2021 hervor, dass Phishing einer der am häufigsten genutzten Eintrittsvektoren für Folgeangriffe ist. Dies unterstützen auch Zahlen aus dem G DATA Magazin „Cybersicherheit in Zahlen“, wonach 44 % der Sicherheitsvorfälle im Jahr 2021 auf nicht-böswillige Benutzerfehler zurückzuführen sind. Diesbezüglich wurde uns auf der it-sa eine weitere beunruhigende Zahl genannt, nämlich, dass Phishing mit über 80 % die Liste der Cyberangriffsversuche in 2022 anführt. Dies bestätigen auch Zahlen aus Großbritannien.
Was war jetzt mit dem Chef in der Videokonferenz? Gemeint sind Deepfakes und CEO-Frauds. Denn Motion-Capturing ist nicht mehr nur Teil von Filmproduktionen, und Face-Swapping ist nicht nur auf Social Media Plattformen möglich. Hierzu bietet auch das BSI Infomaterial an, und war sogar mit einer Live-Demo auf der it-sa vertreten. Gerade zu Zeiten von Internetverbindungsabbrüchen, limitierter Bandbreite, und (schlecht) ausgeschnittenen Hintergründen wirken solche Deepfakes schon auch überzeugend.
Was sind die Hauptziele der Angreifer?
In den letzten Jahren rückte der Fokus von Angreifern immer stärker auf Nutzer von IT-Systemen. Der Konsens einer Podiumsdiskussion zum Thema Cyberversicherung war, dass Identitäten und Accounts zu den begehrtesten Zielen von Angreifern gehören. Diese können dann nicht nur direkt für weitere Straftaten genutzt werden, sondern werden auch von sogenannten Initial Acces Brokern (IAB) im Darkweb verkauft. Dadurch wird es möglich, dass der Zugang mehrere Monate lang kompromittiert war, bevor dieser für Angriffe genutzt wird. Dann ist es nicht nur erschwert nachzuvollziehen, seit wann der Angreifer Zugang hatte. Es kann nämlich auch ein Problem sein, ein Backup von einer Zeit vor der Kompromittierung zu finden.
Zwei weitere beliebte Ziele sind auch Intelectual Properties (IPs) und Kundendaten. Aus beiden Bereichen können Daten für Erpressungsversuche genutzt werden, mit der Drohung diese an die Konkurrenz zu verkaufen, oder im Internet zu veröffentlichen. Nicht zu unterschätzen ist auch, dass auch Kundendaten als Initial Access genutzt werden können, beispielsweise wenn Passwörter oder Bankdaten abgegriffen werden konnten.
Wie gehen Angreifer vor?
Der erste Schritt ist immer das Suchen und Finden eines Einfallsvektors. Ob dies nun eine Schwachstelle im klassischen Sinne, ein eigener Phishing-Angriff, oder eben auch nur von einem IAB gekaufte Zugangsdaten sind, ist dem Angreifer am Ende egal. Über diesen ersten Einfallsvektor werden dann zunächst weitere Hintertüren geschaffen, damit der Angreifer auch trotz eines blockierten Initial Access Zugang zum System behält. Außerdem wird in der Regel weitere Schadsoftware installiert, damit sich der Angreifer weiter in dem Netzwerk des Opfers ausbreiten kann. Automatisiert werden hier auch schon technische Daten gesammelt und an den Angreifer übertragen.
Nachdem die vorgenannten Schritte hauptsächlich automatisiert abliefen, wird dann eine manuelle Bewertung vorgenommen, quasi eine Risikobewertung. Der Angreifer wird abschätzen, wie hoch eine Ransomware-Forderung sein kann, die das Opfer bereit ist zu zahlen, und ob sich das Risiko im Nachhinein erwischt zu werden lohnt. Erst dann beginnt der Angreifer mit bereits im Netzwerk verteilter Schadsoftware den eigentlichen Ransomware-Angriff.
Dabei werden aber mittlerweile nicht mehr zwangsläufig die Daten des Kunden auf dessen Systemen verschlüsselt. Immer beliebter wird stattdessen, die Daten des Opfers auf Datenträgern des Angreifers zu speichern und dann bei dem Opfer zu löschen. So kann sich der Angreifer noch als „Retter in der Not“ präsentieren und nimmt dem Opfer die Hoffnung die Daten doch noch ohne Zahlung, selbstständig oder mit Hilfe externer Dienstleister, zu entschlüsseln. Um sicherzustellen, dass das Opfer auch die Lösegeldforderung bezahlt, drohen Angreifer dann auch noch mit dem Veröffentlichen sensibler Daten, oder dem Verkauf an Konkurrenten.
Was gehört zu einem guten Awareness-Training?
Ein wichtiger Punkt, der im Bezug zur IT-Sicherheit ebenfalls häufig außer Acht gelassen wird, ist das Arbeitsklima. Wenn beispielsweise ein Mitarbeiter auf einen Link in einer E-Mail klickt und sich dann herausstellt, dass es sich um eine Phishing-Mail handelte, ist zwar schon ein Vorfall entstanden, aber der Schaden kann noch eingedämmt werden. Traut sich der Angestellte nun aber nicht den Vorfall zu melden, sei es aus Scham oder Furcht vor negativen Konsequenzen, kann sich dieser unachtsame Klick schnell zu einem großen Problem entwickeln.
In einem früheren Artikel haben wir bereits 10 Erfolgsfaktoren bei der Konzeption von Awareness-Trainings erläutert. Aus den Erkenntnissen des it-sa Congress folgen daher nur kurze Ergänzungen zu dem Thema. Laut G DATA ist die Verfügbarkeit von Informationen ein essenzieller Bestandteil von erfolgreichen Trainings. Das Lernmaterial muss ständig verfügbar sein und Mitarbeiter müssen es schnell referenzieren können.
Hieran knüpft ein weiterer Punkt an, nämlich, dass ein ideales Training aus mehreren kleinen Modulen bestehen sollte. Dies fördert besonders die Bereitschaft der Mitarbeiter, die Trainings regelmäßig zu durchlaufen. Besonders gut wirken sich auch game-based Trainings aus, wie unter anderem diese Studie zeigt. In einem unserer früheren Artikel haben wir auch bereits kurz über Gamification gesprochen. Auch auf der it-sa wurde Gamification bzw. game-based learning in mehreren Vorträgen thematisiert, beispielsweise als Teil von Forschungsprojekten rund um Lernspiele zur IT-Sicherheit.
„Aber das kostet doch Geld!“
Das wird sicherlich der ein oder andere Chef erwidern, wenn das Thema Awareness-Training fällt. Die Antwort ist simpel: Ja, aber Gesundheitsvorsorge auch. Ohne nun auf letztere einzugehen, ist es aber durchaus interessant, sich mit dem Return on Invest (ROI), bzw. dem Return on Security Invest (ROSI) zu beschäftigen. Dieser sagt aus, zu welchem Prozentsatz sich eine Investition rentiert. Im Bereich der IT-Sicherheit ist dies allerdings nicht einfach in Zahlen zu fassen, da sich der ROI aus dem Erfolg geteilt durch den Kapitaleinsatz berechnet. Nun ist aber der Erfolg von IT-Sicherheitsmaßnahmen nicht trivial zu bestimmen.
Eine Studie von Osterman Research zeigt jedoch, dass der ROSI bei kleinen und mittelständischen Unternehmen bis zu 69 % beträgt. Sehr viel höher liegt dieser Wert allerdings bei großen Unternehmen. Hier stellt Osterman Research bis zu 562 % in Aussicht. Zu beachten ist dabei auch, dass ein steigender Trend bei der durchschnittlichen Höhe von Ransomware-Forderungen zu beobachten ist. Laut BSI Lagebericht 2022 stieg dieser Durchschnittswert im vierten Quartal 2021 bereits auf über 320.000 US-Dollar. G DATA vermerkte hier einen Anstieg von mehr als 300 % im Vergleich zum Vorjahr. Dadurch könnte die Prognose aus der o.g. Osterman Studie noch höher ausfallen.
Was lässt sich aus den Zahlen mitnehmen?
Wir raten Ihnen, setzen Sie sich aktiv für gute Trainings ein und begegnen Sie einander auf Augenhöhe. Informationssicherheit geht jeden etwas an, dazu gehören auch Führungskräfte, denn letztlich liegt die Verantwortung für Informationssicherheit immer bei der Geschäftsführung.
Der ROSI liegt generell bei 0 – Awareness bringt bei IT-Security und Datenschutz genausowenig, wie bei der Gesundheit. Oder warum gibt es sonst so viele Raucher und Übergewichtige? Nach 20 Jahren Awareness-Trainings dürfte niemand mehr auf Phishing klicken! Der Beweis, dass es nicht funktioniert.