IT-Sicherheit über die menschlichen Ebene erreichen

Angreifer bevorzugen den Weg des geringsten Widerstands

Von unserem Gastautor Perry Carpenter, Chief Evangelist und Strategy Officer bei KnowBe4

[datensicherheit.de, 18.10.2018] In meiner Tätigkeit als Cybersicherheitsexperte und in meiner früheren Rolle als Gartner Research Analyst und Industrieberater habe ich viel Zeit damit verbracht, Unternehmen auf der ganzen Welt dabei zu helfen, ihre Cybersicherheitsprogramme zu durchdenken. Ein großer Teil dieser Zeit war das Nachdenken über die Abwehrmaßnahmen und wie Technologie dabei helfen kann. Selbst mit den besten technologischen Abwehrmaßnahmen besteht jedoch eine gute Chance, dass ein hartnäckiger Angreifer in die IT-Infrastruktur der meisten Unternehmen mit relativer Leichtigkeit eindringen kann. Der Angreifer wird den Weg des geringsten Widerstands – einen Mitarbeiter – einschlagen, um die technischen Abwehrmaßnahmen zu umgehen.

Perry Carpenter, Chief Evangelist und Strategy Officer bei KnowBe4, Bild: KnowBe4

Da die Technologie nie zu 100 Prozent wirksam sein wird, um Sicherheitsvorfälle zu verhindern, habe ich mir den folgenden Satz zu eigen gemacht:

„Technologie ist wichtig, aber fehlerhaft… und Menschen sind fehlerhaft, aber wichtig.“

Erst wenn wir beide Teile des obigen Satzes vollständig akzeptieren, können echte Fortschritte bei der besseren Absicherung der Unternehmen erzielt werden.

Ich bin ein großer Fan des NIST Cybersecurity Framework. Es ist nicht perfekt – aber es ist ein guter Einstieg, um einen strukturierten Prozess für die Planung einer robusten Cybersicherheitsstrategie aufzusetzen. Der Rahmen des National Institute of Standards and Technology (NIST), einer Bundesbehörde der Vereinigten Staaten von Amerika, die für Standardisierungsprozesse zuständig ist,  skizziert fünf Planungsbereiche:

1. Identifizieren
2. Schützen
3. Erkennen
4. Reagieren
5. Wiederherstellen

Einige Leser werden zumindest eine gewisse Vertrautheit mit dem NIST Framework haben. Hier kommt mein Axiom von oben ins Spiel… „Technologie ist wichtig, aber fehlerhaft… und Menschen sind fehlerhaft, aber wichtig.“ Die überwiegende Mehrheit der Organisationen, die ich gesehen habe und die das NIST-Framework durcharbeiten, tun dies auf technologieorientierte Weise. Meine Empfehlung ist einfach, jedes Element auch auf menschlich orientierte Prozesse und Kontrollen abzubilden.

Entwicklung eines menschenzentrierten Cybersicherheitsframeworks

Hier ist ein kurzes Brainstorming, wie dies für Unternehmen funktionieren könnte.

1. Identifizieren:
   1. Katalogisieren Sie die Punkte, an denen Menschen mit Technologie und Daten interagieren.
   2. Befragung von Mitarbeitern, Auftragnehmern usw., um eine Bewertung ihrer sicherheitsrelevanten Einstellungen und Praktiken zu erhalten.
   3. Befragung von Führungskräften, um ihr Verständnis von Sicherheitspraktiken, Datenexposition, Geschäftsrisiken im Zusammenhang mit Verstößen, Einstellungen zur Sicherheit usw. zu erfassen.
   4. Durchführung von Bedrohungsmodellierungsübungen, die den Menschen explizit als Angriffsvektor und/oder als potenziellen Schwachpunkt nutzen.
2. Schützen:
   1. Planen Sie Security Awareness-Kampagnen für kritische Themen.
   2. Implementierung von Verhaltensmanagementprogrammen für Bereiche wie Phishing, Social Engineering, Passworthygiene, etc.
   3. Etablierung von Prozessen, die sicheres Verhalten fördern oder durchsetzen.
   4. Implementierung von Technologien, die helfen, Mitarbeiter an sicherere Verhaltensweisen heranzuführen.
3. Erkennen:
   1. Implementierung von Prozessen zur Meldung vermuteter Phishing-Ereignisse
   2. Implementierung von Prozessen zur Meldung anderer vermuteter sicherheitsrelevanter Vorfälle oder Anliegen
   3. Führen Sie häufig simuliertes Phishing und andere Social-Engineering-Tests durch, um festzustellen, wo Sie das Training oder andere Prozesse verbessern müssen.
   4. Sammeln Sie Daten von Security Information and Event Management- (SIEM), Data Leak Prevention- (DLP), Employee Monitoring Systems-, Web-Proxies und Endpoint Protection Platform- (EPPs)-Systemen, um zu sehen, wo die Mitarbeiter die gewünschten Verhaltensergebnisse nicht erreichen.
4. Reagieren:
   1. Festlegung von Richtlinien und Verfahren, wie Ihr Unternehmen auf verschiedene Arten von menschenbezogenen Sicherheitsfehlern reagieren wird.
   2. Etablierung von Phishing-Reaktionsverfahren
   3. Entwicklung von Plänen zur Kommunikation von Unternehmensbedrohungen und bekannten Problemen
   4. Design/Modellierung für menschenzentrierte Probleme. Die Behebung kann eine beliebige Kombination von Personen, Prozessen und Technologien sein.
5. Wiederherstellen:
   1. After-Incident Reviews und Kommunikation
   2. Verbesserungen umsetzen

Der Rahmen der NIST ist aufgrund der strukturierten Denkweise, die sie mit sich bringt, von großem Mehrwert für IT-Sicherheitsbeauftragte und an den oben genannten fünf Punkten erhalten sie einen Ansatz, wie sie nicht nur die Technologie, sondern auch den menschlichen Faktor in das Sicherheitskonzept integrieren können.

Weitere Informationen zum Thema:

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten

datensicherheit.de, 14.09.2018
Lernkultur – Richtige Reaktion auf Datenschutzverletzungen durch Mitarbeiter

datensicherheit.de, 26.07.2018
Der Mensch als Schlüsselfaktor Cybersicherheit

datensicherheit.de, 18.07.2018
BEC und EAC Fraud: Schäden in Milliardenhöhe

datensicherheit.de, 18.08.2016
CEO-Fraud, Whaling und Spearphishing bisher fast nicht zu unterbinden