Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Ist es möglich, das schwächste Glied in der Cybersicherheit zu reparieren?
Joao Correia
1. November 2022. Technischer Evangelist
Die Welt der Technologie ist voll von großen Versprechungen, auch im Bereich der Cybersicherheit. Denken Sie einmal darüber nach: Wie oft haben Sie schon das Versprechen einer einfachen, schnellen Lösung gehört, die alle Ihre Cybersicherheitsprobleme mit einem Fingerschnippen lösen wird?
Wir alle haben sie schon oft gehört - die Versprechungen eines Patentrezeptes, das alle Probleme der Cybersicherheit löst.
Es könnte eine KI-basierte Lösung sein, es könnte ein neues Management-Tool sein... und es kommt immer mit diesem kompromisslosen Versprechen. Aber das Problem ist, dass diese Tools die überzogenen Erwartungen, die sie wecken, nie erfüllen, denn eine der größten Herausforderungen im Bereich der Cybersicherheit lässt sich nicht einfach durch den Einsatz von mehr Technologie lösen.
Wovon reden wir hier? Wir beziehen uns auf das menschliche Element der Cybersicherheit. Es ist eine Schlüsselkomponente der Cybersicherheit, die - mit einem (falschen) Fingerschnippen - all Ihre magischen Cybersicherheitstools völlig unwirksam machen kann.
Perimeter-Firewalls, MFA und dergleichen sind allesamt hilfreiche Tools, die diesen menschlichen Faktor abschwächen können. Nichtsdestotrotz ist menschliches Verhalten in seiner Fähigkeit, eine Katastrophe heraufzubeschwören, selbst den ausgefeiltesten Cybersicherheitswerkzeugen überlegen.
Das alles wird Sie nicht überraschen
Die Tatsache, dass der Mensch eine Schwachstelle in der Cybersicherheit ist, ist für niemanden neu. Seltsamerweise kommen wir bei realen Vorfällen immer wieder auf das gleiche Thema des Social Engineering zurück.
Rockstar Games und Uber sind nur zwei aktuelle Beispiele für Unternehmen, die sich wahrscheinlich vor Social Engineering sicher wähnten.
Leider wurden beide Unternehmen trotz des intensiven Einsatzes von Cybersicherheitslösungen vor kurzem Opfer eines Cybersicherheitsangriffs, weil ein Mitarbeiter dazu verleitet wurde, etwas zu tun, was eindeutig gegen die Cybersicherheitsrichtlinien des Unternehmens verstößt.
Wenn man sich diese erfolgreichen Angriffe genau ansieht, fragt man sich, ob die Person, die die Tür geöffnet hat, jemals etwas über bewährte Verfahren der Cybersicherheit gehört hat.
Keiner der beiden Angriffe war besonders kompliziert. In beiden Fällen handelte es sich um eine einfache Social-Engineering-Strategie. Etwa so: "Bob, ich bin von der IT-Abteilung. Ich muss schnell ein Tool ausführen und Sie müssen auf diesen Link klicken, damit ich etwas Routinemäßiges auf Ihrem PC reparieren kann."
Wann werden wir lernen...?
Vor zwanzig Jahren war Social Engineering ein wichtiges Instrument für Cyber-Kriminelle - und ist es immer noch. Es ist fast so, als ob wir in den letzten Jahrzehnten nichts über Social Engineering gelernt hätten.
Man könnte sagen, dass es vorhersehbar ist, dass Menschen, die in Organisationen wie Regierungsbehörden oder Einzelhandelsunternehmen arbeiten, auf einen solchen Trick hereinfallen könnten. Menschen, die in den weltweit führenden Technologieunternehmen arbeiten, sollten jedoch immuner gegen Social Engineering sein.
Doch ausgerechnet zwei riesige Technologieunternehmen mit einigen der intelligentesten Mitarbeiter der Welt sind auf einen Social-Engineering-Angriff hereingefallen. Man sollte meinen, dass die Mitarbeiter von Uber und Rockstar Games es einfach besser wissen.
Schlimmer noch: Angesichts der Größe und des Bekanntheitsgrads beider Unternehmen ist es fast sicher, dass die Mitarbeiter, die dort arbeiteten, eine umfassende Cybersicherheitsschulung erhielten. Dennoch ist irgendjemand, irgendwo, sowohl bei Uber als auch bei Rockstar, auf den ältesten Trick im Spielbuch der Hacker hereingefallen.
Es ist durchaus möglich, dass die fraglichen Benutzer durch eine zufällige Kombination von Ereignissen eine wichtige Lektion während ihrer Cybersicherheitsausbildung nie verinnerlicht haben. Sei es, dass sie zu beschäftigt waren, eine Lektion übersprungen haben... oder etwas anderes.
Angesichts der Häufigkeit, mit der ein großer erfolgreicher Social-Engineering-Angriff in den Nachrichten auftaucht, haben wir jedoch ernsthafte Fragen an alle, die immer noch sagen, dass sie "nicht wussten, dass sie nicht auf Links in E-Mails klicken sollten...".
Eine konsequente Verstärkung der Botschaft bleibt die beste Option
Cybersicherheits-Tools können magische Kugeln für alle Arten von Cybersicherheits-Herausforderungen bieten - aber es gibt keine magische Kugel, die das Risiko, das durch das menschliche Element entsteht, beseitigt. Benutzer werden weiterhin Fehler machen. Es wird immer einen unaufmerksamen Moment geben, der einem böswilligen Akteur eine Gelegenheit bietet.
Kein Unternehmen ist vor den Risiken sicher, die das menschliche Verhalten mit sich bringt - man muss sich nur ansehen, was in einigen der weltweit technisch versiertesten Unternehmen passiert.
Ja, Ihre Cybersicherheitsstrategien werden ihr Bestes tun, um Ihr Unternehmen zu schützen, aber die kontinuierliche Verstärkung, die Ihren Benutzern beibringt, wie sie das versehentliche Öffnen einer Hintertür vermeiden können, sollte eine Top-Strategie bleiben.
Diese ständige Weiterbildung ist auch für Ihr technisches Team wichtig. Sie müssen die Bedeutung der Verwaltung von Berechtigungen, des Patchings und der allgemeinen konsequenten Aufrechterhaltung der Sicherheitslage des Unternehmens unterstreichen.
Letzten Endes bleibt das Risiko bestehen: Irgendein Nutzer klickt irgendwo versehentlich auf etwas, das er nicht anklicken sollte. Aber wie immer bei der Cybersicherheit geht es bei einem wirksamen Schutz darum, so viel wie möglich zu tun, um das Risiko zu minimieren, dass etwas schief geht.
Kontinuierliche und anhaltende Schulungen zur Cybersicherheit sind der beste Schutz vor menschlichen Fehlern, die zu Cybersicherheitsproblemen beitragen.
