Mitarbeiter als Sicherheits-Sensor
10.02.2020, 08:57 Uhr
Warum der Mensch nicht das grösste Sicherheitsrisiko ist
Geschulte Mitarbeiter können Attacken auf die Firmen-IT häufig besser erkennen als Security-Tools. Ein vollumfängliches Verständnis der Systeme ist nicht erforderlich, um Auffälligkeiten zu bemerken und diese zu melden.
Die grösste Gefahr für die Sicherheit eines Unternehmens ist die Belegschaft. So oder so ähnlich ist es zumindest in unzähligen Berichten und Interviews zu lesen. Aber stimmt das denn? Ryan Heartfield ist wissenschaftlicher Mitarbeiter im Bereich Cybersecurity an der Universität Greenwich in Grossbritannien. Seit Jahren beschäftigt er sich mit vielen unterschiedlichen Aspekten der Security. Auf dem Münchener Security Summit Command Control (3. März bis 4. März 2020) referiert er darüber, wie Unternehmen ihre Mitarbeiter nicht als Schwachstelle sehen, sondern sie vielmehr als Security-Verstärkung einsetzen.
com! professional: Herr Heartfield, anders als viele vor Ihnen sagen Sie, dass der Mensch nicht das grösste Sicherheitsrisiko für die Unternehmens-IT ist. Bitte erklären Sie das.
Ryan Heartfield: Die Mitarbeiter müssen stärker in die Cyber-Abwehr eingebunden werden. Sie könnten zum Beispiel als menschliche Sensoren fungieren. So werden die Anwender im Handumdrehen zu einem der stärksten Glieder bei der Erkennung von Bedrohungen, die auf Täuschung setzen. Es wird allgemein betont, dass ein einziger Benutzer, der durch einen böswilligen Angriff getäuscht wird, ausreicht, um die Sicherheit einer Organisation zu gefährden. Durch die Nutzung der Fähigkeiten zur Erkennung von Bedrohungen können wir diesen Gedanken jedoch umkehren. Wenn ein einzelner Nutzer einen Angriff korrekt erkennt und ihn intern kommuniziert, dann hat die Organisation den Angriff erfolgreich erkannt.
com! professional: Welches Tools sind Ihrer Meinung nach besonders gut dazu geeignet, die Menschen in der Cyber-Verteidigung zu unterstützen?
Heartfield: Wir müssen uns von der Vorstellung lösen, dass die technischen Sicherheits-Tools, die das System vor dem Benutzer schützen sollen, die einzigen Werkzeuge sind, denen Priorität eingeräumt werden sollte. Indem die Nutzer Zugriff auf Mechanismen zur Meldung von Angriffen über verschiedene Angriffswege (zum Beispiel nicht nur E-Mail) erhalten, können sie bei der Erkennung von Bedrohungen besser unterstützt werden. Letztendlich ermöglicht dies eine schnellere und effektivere Reaktion auf Angriffe - besonders auf jene, die technische Sicherheitskontrollen nicht erkannt haben, da sie auf den Benutzer und nicht auf das System abzielen. Behandeln Sie den Benutzer wie einen Intrusion Detection Sensor, AntiVirus oder Endpoint Detection and Response und statten Sie ihn mit Schnittstellen aus, um vermutete Angriffe einfach und effizient zu melden.
com! professional: Wie lässt sich verhindern, dass ein Benutzer nicht doch die grösste Schwäche ist?
Heartfield: Wir ein technisches nicht gepatcht, dann ist es anfällig für einen Angriff. Ebenso kann ein technisches Erkennungssystem ohne die erforderliche Aktualisierung (Lernen/Heuristik/Regeln und so weiter) möglicherweise keine anderen oder neuen Angriffsvektoren identifizieren. Die Benutzer sind in diesem Sinne nicht anders, wenn sie im Laufe der Zeit eine Schulung und Übung benötigen, um ihre Zuverlässigkeit bei der Erkennung verschiedener Cyber-Sicherheitsbedrohungen zu bestimmen. Ohne die erforderlichen Daten waren wir jedoch in der Vergangenheit nicht in der Lage, die Zuverlässigkeit der Erkennungseffizienz der Benutzer zu messen, um zu verstehen, wann sie anfällig sind oder weniger wahrscheinlich einen bestimmten Angriff rechtzeitig zu melden. Daher ist es wichtig, dass wir beginnen, datengesteuerte Ansätze zu verwenden, um den Zustand des Bewusstseins und der Wirksamkeit unter den Benutzern zu modellieren. So lassen sich Schwächen in der Fähigkeit zur Erkennung von Bedrohungen ermitteln. Ausserdem kann so festgestellt werden, wann und wie sie ihr Wissen über die neuesten Angriffswege aktualisieren sollten. Dies mag wie ein ziemlich konzeptuelles Argument erscheinen, aber wenn die Benutzer als Angriffssensoren als Teil einer Mensch-Maschine-Sicherheitsarchitektur mit einbezogen werden, ist es eine logische Methodik, die auf so ziemlich jedes technische Sicherheitssystem angewandt werden kann.