Wenn wir davon ausgehen müssen, dass die Schwachstelle Mensch früher oder später ausgenutzt wird, gilt es, die dahinterliegende IT-Infrastruktur entsprechend zu härten und die Angriffsfläche konsequent zu verkleinern.
Es gibt schon unzählige Berichte und Abhandlungen über die Schwachstelle Mensch und genauso viele Angebote die sogenannte „Awareness“ zu verbessern. Und dennoch spielt der Mensch immer wieder die zentrale Rolle bei nennenswerten Sicherheitsvorfällen in der Informationstechnologie.
Ausgewachsene Krisen entstehen üblicherweise in Situationen, in denen sich zu den menschlichen Schwächen auch noch technische Sicherheitslücken gesellen. Beispiele gibt es hierfür zu genüge, und zwar über alle Branchen und Wirtschaftszweige hinweg. Nicht nur werden Unternehmen in ihrer Existenz bedroht, sondern durch Angriffe auf das Gesundheitssystem auch Menschenleben gefährdet. Zu den sehr bekannten Fällen zählen Maersk, das nach einem NotPetya-Angriff wochenlang analog arbeiten und einen Millionenschaden verkraften musste1, sowie das Lukaskrankenhaus in Neuss, das Opfer eines Ransomware-Angriffs wurde, der für mehr als einen Monat die gesamte Krankenaus-IT lahmlegte2.
Die gute Nachricht: Zwar gibt es kaum ein IT-System, das frei von Schwachstellen (Vulnerabilities) ist, aber technische Schwachstellen können, im Gegensatz zu menschlichen Schwächen, durch entsprechend technisch gestützte Prozesse effektiv beseitigt werden.
Die schlechte Nachricht: Die menschliche Verwundbarkeit, die trotz aufwendiger Weiterbildungsprogramme niemals vollständig beseitigt werden kann.
Der Mensch als effektiver Angriffsvektor
Aus Sicht eines potentiellen Angreifers gibt es eine Reihe menschlicher Eigenschaften, die den Menschen zu einem solch effektiven Angriffsvektor machen, z.B.:
Neugier
Schon ein durch Neugier getriebener Klick auf einen vermeintlich interessanten Link in einer seriös erscheinenden E-Mail genügt, um den eigenen Rechner mit Malware zu infizieren. Landläufig bekannt, aber trotzdem passiert es regelmäßig.
Eitelkeit und Hilfsbereitschaft
Während viele Angriffstypen ihre Opfer wahllos finden, ist der sogenannte CEO-Fraud (bzw. Geschäftsführer-Trick) sehr zielgerichtet. Die Opfer werden im Vorfeld mittels öffentlich verfügbarer Informationsquellen ausgespäht, so dass die direkte Ansprache der Opfer über E-Mail, aber auch über traditionelle Post oder Telefon, leicht möglich ist. Der Angreifer scheint ein Vorgesetzter zu sein, der zur Überweisung hoher Geldbeträge auffordert. Dabei sind die Ansprachen so gut gestaltet, dass sie nicht ohne weiteres als Fälschungen entlarvt werden können. Aber vor allem die Eitelkeit und Hilfsbreitschaft des angesprochenen Opfers spielen in diesem Zusammenhang eine ganz wesentliche Rolle: „Ich spreche mit Ihnen, weil Sie wichtig, vertrauenswürdig und zuverlässig sind.“
Einer der bislang erfolgreichsten Vorfälle dieser Art ereignete sich 2016 bei der Leoni AG. Der Schaden belief sich dabei auf €40 Mio.3
Reziprozität
gilt in den Sozialwissenschaften als Bedingung des Menschseins. Und was im Marketing effektiv eingesetzt werden kann, lässt sich auch gut auf die IT übertragen. „Gibst Du mir Dein Passwort, löse ich das Problem für Dich“. Damit lässt sich erklären, weshalb es immer wieder Fälle gibt, in denen sich gutgläubige Nutzer am Telefon von einem Fremden überzeugen lassen, eine Remote Desktop Session freizuschalten…
Eine sehenswerte Zusammenfassung des Phishing Phänomens und der Zusammenhänge mit den Stärken und Schwächen des menschlichen Gehirns, gibt es an dieser Stelle.
Angriffsfläche durch Schwachstellenmanagement verkleinern
Also was tun?
Wenn wir davon ausgehen müssen, dass die Schwachstelle Mensch früher oder später ausgenutzt wird, gilt es, die technische Angriffsfläche durch Schwachstellenmanagement zu verkleinern und die IT-Infrastruktur entsprechend zu härten.
Durch die Schwachstelle Mensch wird zunächst nur das einzelne System kompromittiert und ggf. unbrauchbar, aber erst durch nachgelagerte technische Schwachstellen wird die Weiterverbreitung und der Cyber-Angriff auf die IT-Infrastruktur der Gesamtorganisation ermöglicht.
Es gibt kaum ein IT-System, das frei von Schwachstellen („Vulnerabilities“) ist. Die Maßgabe ist also, Schwachstellen frühzeitig zu erkennen, ihre Relevanz zu bewerten4 und zu beseitigen, so dass die Weiterverbreitung eines Angriffs von vornherein im Keim erstickt werden kann.
Effektiver Schwachstellenmanagementprozess
Zusammenfassend ist zu sagen, dass Investitionen in Awareness-Schulungen für einen sicherheitsbewussten Umgang mit der IT sinnvoll sind, aber ihren größtmöglichen Sicherheitsgewinn nur dann entfalten, wenn sie mit einem effektiven Schwachstellenmanagementprozess verbunden werden. Bestandteile dieses Prozesses sind:
- Erkennung
- Verwaltung
- Behebung
Möchten Sie mehr über effektives Schwachstellenmanagement erfahren? Kontaktieren Sie uns. Wir unterstützen Sie bei der nahtlosen Einführung entsprechender technischer Infrastruktur samt dazugehörigem Prozess. Ohne große Anlaufinvestitionen und ohne Belastung Ihres bestehenden IT-Teams.
1 https://www.heise.de/newsticker/meldung/NotPetya-Maersk-erwartet-bis-zu-300-Millionen-Dollar-Verlust-3804688.html
2 https://www.heise.de/newsticker/meldung/Trojaner-im-OP-wie-ein-Krankenhaus-mit-den-Folgen-lebt-3617880.html
3 https://www.leoni.com/en/press/releases/details/leoni-targeted-by-criminals/
4 Es gibt zwar gängige Bewertungssysteme, die die Merkmale einer Schwachstelle numerisch darstellen, doch müssen diese natürlich mit der Bedeutung des Systems für das Unternehmen in Zusammenhang gebracht werden. Ohne diesen Zusammenhang ist es nicht möglich einen robusten Prozess zur Verwaltung und Behebung aller bedrohlichen Schwachstellen aufzusetzen.