Die grösste Gefahr für die Sicherheit eines Unternehmens ist die Belegschaft. So oder so ähnlich ist es zumindest in unzähligen Berichten und Interviews zu lesen. Aber stimmt das denn? Ryan Heartfield ist wissenschaftlicher Mitarbeiter im Bereich Cybersecurity an der Universität Greenwich in Grossbritannien. Seit Jahren beschäftigt er sich mit vielen unterschiedlichen Aspekten der Security. Auf dem Münchener Security Summit Command Control (3. März bis 4. März 2020) referiert er darüber, wie Unternehmen ihre Mitarbeiter nicht als Schwachstelle sehen, sondern sie vielmehr als Security-Verstärkung einsetzen.

Ryan Heartfield: Die Mitarbeiter müssen stärker in die Cyber-Abwehr eingebunden werden. Sie könnten zum Beispiel als menschliche Sensoren fungieren. So werden die Anwender im Handumdrehen zu einem der stärksten Glieder bei der Erkennung von Bedrohungen, die auf Täuschung setzen. Es wird allgemein betont, dass ein einziger Benutzer, der durch einen böswilligen Angriff getäuscht wird, ausreicht, um die Sicherheit einer Organisation zu gefährden. Durch die Nutzung der Fähigkeiten zur Erkennung von Bedrohungen können wir diesen Gedanken jedoch umkehren. Wenn ein einzelner Nutzer einen Angriff korrekt erkennt und ihn intern kommuniziert, dann hat die Organisation den Angriff erfolgreich erkannt.

Heartfield: Wir müssen uns von der Vorstellung lösen, dass die technischen Sicherheits-Tools, die das System vor dem Benutzer schützen sollen, die einzigen Werkzeuge sind, denen Priorität eingeräumt werden sollte. Indem die Nutzer Zugriff auf Mechanismen zur Meldung von Angriffen über verschiedene Angriffswege (zum Beispiel nicht nur E-Mail) erhalten, können sie bei der Erkennung von Bedrohungen besser unterstützt werden. Letztendlich ermöglicht dies eine schnellere und effektivere Reaktion auf Angriffe - besonders auf jene, die technische Sicherheitskontrollen nicht erkannt haben, da sie auf den Benutzer und nicht auf das System abzielen. Behandeln Sie den Benutzer wie einen Intrusion Detection Sensor, AntiVirus oder Endpoint Detection and Response und statten Sie ihn mit Schnittstellen aus, um vermutete Angriffe einfach und effizient zu melden.

Heartfield: Wird ein technisches nicht gepatcht, dann ist es anfällig für einen Angriff. Ebenso kann ein technisches Erkennungssystem ohne die erforderliche Aktualisierung (Lernen/Heuristik/Regeln und so weiter) möglicherweise keine anderen oder neuen Angriffsvektoren identifizieren. Die Benutzer sind in diesem Sinne nicht anders, wenn sie im Laufe der Zeit eine Schulung und Übung benötigen, um ihre Zuverlässigkeit bei der Erkennung verschiedener Cyber-Sicherheitsbedrohungen zu bestimmen. Ohne die erforderlichen Daten waren wir jedoch in der Vergangenheit nicht in der Lage, die Zuverlässigkeit der Erkennungseffizienz der Benutzer zu messen, um zu verstehen, wann sie anfällig sind oder weniger wahrscheinlich einen bestimmten Angriff rechtzeitig zu melden. Daher ist es wichtig, dass wir beginnen, datengesteuerte Ansätze zu verwenden, um den Zustand des Bewusstseins und der Wirksamkeit unter den Benutzern zu modellieren. So lassen sich Schwächen in der Fähigkeit zur Erkennung von Bedrohungen ermitteln. Ausserdem kann so festgestellt werden, wann und wie sie ihr Wissen über die neuesten Angriffswege aktualisieren sollten. Dies mag wie ein ziemlich konzeptuelles Argument erscheinen, aber wenn die Benutzer als Angriffssensoren als Teil einer Mensch-Maschine-Sicherheitsarchitektur mit einbezogen werden, ist es eine logische Methodik, die auf so ziemlich jedes technische Sicherheitssystem angewandt werden kann.

Computerworld: Was kann jedes einzelne Unternehmen tun, um seine Mitarbeiter für das Thema Cybersicherheit zu sensibilisieren?

Heartfield: Das Problem ist in vielen Fällen nicht die Sensibilisierung der Nutzer, sondern vielmehr der Anreiz, ein gutes Cyberhygiene- und Cybersicherheitsbewusstsein aktiv in ihre täglichen Aktivitäten einzubringen. Aufklärungskampagnen zur Sicherheit helfen sicherlich manchmal, aber als Methodiken sind sie keineswegs ein Allheilmittel. Die Belohnung von Mitarbeitern, zum Beispiel durch Feedback und Leistungsüberprüfungen, bietet klare individuelle Vorteile für die konsequente Einhaltung guter Cyberhygienepraktiken und die erfolgreiche Meldung potenzieller Bedrohungen und sogar laufender Angriffe, die letztlich die Auswirkungen der Risiken verringern. Darüber hinaus gibt es in Organisationen häufig Personalwechsel und temporäre Auftragnehmer/Partner und dergleichen, die sich alle gleichzeitig auf den Gesamtstand des Cybersicherheitsbewusstseins in der Organisation auswirken. Daher ist die kontinuierliche Modellierung dieses Bewusstseinszustands neben der Entwicklung einer positiven Belohnungskultur für Mitarbeiter bei der Meldung von Bedrohungen ein Schlüsselfaktor - allerdings setzt dies voraus, dass eine Organisation zunächst einmal solche Daten sammelt!

Heartfield: In einer cyber-physischen Umgebung können Angriffe im physischen Raum stattfinden, die zu Auswirkungen im Cyberspace führen. Umgekehrt können Angriffe, die im Cyberspace stattfinden, Auswirkungen im physischen Raum haben. Daher ist der Mensch in einer idealen Position, um Bedrohungen sowohl in den Medien als auch im Kontext zu beobachten und Bedrohungen, die Cyber- oder physische Verhaltensmuster aufweisen, sensorisch zu melden. Dies erfordert nicht unbedingt, dass ein Mitarbeiter alle technischen Integrationen und Interaktionen "versteht", die sich zwischen IoT/Edge und cyber-physischen Systemen bilden und auftreten. Es ist daher wichtiger, die Benutzer in die Lage zu versetzen, verdächtiges Verhalten zu melden, als von ihnen zu erwarten, dass sie die Komplexität der Funktionsweise der verschiedenen IoT-Systeme erlernen. Wenn ein Mitarbeiter dazu fähig ist, verdächtiges anomales Verhalten in diesen Kontexten (Cyber- oder physischer Raum) zu erkennen, kann er diese effizient melden. Eine solche Berichterstattung an die Teams für Sicherheitseinsätze, die weitere Kontexte zur Erkennung und zur Analyse eines möglichen Angriffs benötigen, können äusserst wertvolle Informationen sein. Denken Sie beispielsweise an das Szenario, bei dem eine intelligente Glühbirne im Büro zu zufälligen Zeiten zu blinken scheint und kurz darauf die (vom Mitarbeiter genutzte) WiFi-Performance zu sinken scheint. Ein Mitarbeiter kann dies als verdächtiges Verhalten melden, was dann eine Untersuchung einleitet, die die Endpunkt-Datenprotokolle des Mitarbeiters und die Netzwerkprotokolle der intelligenten Glühbirne miteinander in Beziehung setzt. Zum Beispiel könnte das ein Hinweis darauf sein, dass die intelligente Glühbirne regelmässig durch einen Fernangriff auf einen bösen Zwillings-WiFi-Zugangspunkt kompromittiert wurde, der die lokale SSID des offenen Gastnetzwerks gefälscht hat, um Verbindungen von Mitarbeitern im Gebäude abzufangen. In diesem Beispiel hatte der Mitarbeiter nur wenig Wissen über die Funktion der intelligenten IoT-Glühbirne und ihre technischen Interaktionen, konnte aber eine Anomalie identifizieren, die die Sicherheitsuntersuchung bis zur Schlussfolgerung der Angriffserkennung bereichert. Der entscheidende Punkt ist hier, dass es, wenn der Mitarbeiter die Bedrohung, die der Angriff darstellt, nicht meldet, viel länger dauern kann, bis er sie identifiziert hat, wenn überhaupt.

Heartfield: Der Einsatz proaktiver Sicherheitskontrollen wie der kontinuierlichen Überwachung ist in der Regel eine der besten Praktiken in der Sicherheitsarchitektur und ergänzt die unvermeidlichen Mängel der präventiven Sicherheitskontrollen, die präventive Techniken zum Schutz technischer Systeme in Organisationen implementieren. Für die Benutzer werden jedoch oft nur präventive Massnahmen innerhalb der Sicherheitsarchitektur in Betracht gezogen. Daher ist die Erweiterung des Konzepts der «kontinuierlichen Überwachung» als proaktiver, datengestützter Ansatz zur Bewertung der Cyber-Hygiene und -Resilienz von Organisationen auf der Grundlage der Rolle der Benutzer als menschliche Sensoren und ihres Beitrags zur Erkennung von Bedrohungen eine sich abzeichnende bewährte Praxis.