Selbstverständlich sind bei den meisten Unternehmen, welche sich um IT- resp. Cyber-Sicherheit kümmern, die Mitarbeitenden und allenfalls auch die Kunden im Fokus von Awareness-Aktivitäten – als potentielle Angriffsfläche z.B. zum Einschleusen von Malware und somit als wichtiger Teil einer ausreichenden Sicherheit.
Leider gehen die Führungsverantwortlichen in vielen Unternehmungen (mindestens) von den folgenden beiden falschen Annahmen aus:
1. Mit einer jährlich einmal durchgeführten Kampagne im «üblichen» Umfang lässt sich ein ausreichendes Sicherheitsbewusstsein bei allen Mitarbeitenden erzielen.
2. Eine typische Awareness-Kampagne kompensiert die Restrisiken von nicht ausreichenden (primär technischen) Sicherheitsmassnahmen.
Beide Annahmen sind leider falsch!
Reichen jährlich einmal durchgeführte Aktionen?
Die typische Awareness-Kampagne umfasst ein paar Poster, Flyer, neue Webseiten, kurze Videos, angepasste Screensaver – vielleicht auch eigentliche Events wie Wettbewerbe, Ausstellungen, das Verteilen von «Sicherheits-Gadgets» usw. Typischerweise findet eine solche Kampagne während einer relativ kurzen Zeitspanne statt, manchmal angelehnt an eine(n) nationale(n) «Cyber Security»-Woche oder Monat.
In Einzelfällen erhalten Mitarbeitende im Rahmen von «anderen» Veranstaltungen noch kurze Awareness-Hinweise; ganz selten werden eigentliche, vielleicht 30-60 minütige Sicherheits-Ausbildungen durchgeführt, welche den Begriff «Ausbildung» nur knapp zu Recht tragen.
Sicherlich sind die aufgeführten Elemente – gerade in Kombination mit eigentlichen Ausbildungen nützlich und hilfreich, um das Bewusstsein von Mitarbeitenden zu verbessern. Wir gehen hier aber vom Idealfall von echt interessierten Personen aus, welche zielgerichtet und über genau die richtigen Kanäle die wichtigen Verhaltensregeln vermittelt bekommen und diese dann auch wirklich verstehen. Die Realität sieht leider anders aus: Sogar in den (wenigen) Fällen, wo eigentliche Ausbildungen durchgeführt werden, nehmen trotz intensivem Nachhaken oft weniger als die Hälfte der Mitarbeitenden daran teil – mit echter Präsenzkontrolle und Verpflichtung über HR und/oder die Vorgesetzten schafft man im günstigsten Fall eine Teilnahme von vielleicht 80% innerhalb eines Jahres. Und auch wenn alle Mitarbeitenden an diesen Schulungen teilnehmen könnten, werden sich auch bei optimaler Ausbildung keine 50% davon in allen notwendigen Fällen wirklich korrekt verhalten. Und wenn diese Zahlen bei gut konzipierten und durchgeführten Kursen bereits so schlecht sind, dürften sie bei rein visuellen Kampagnen «nur» mit Postern, Websites usw. wohl noch deutlich darunter liegen.
Langer Rede kurzer Sinn: eine gute Sensibilisierung z.B. mittels einer formellen Ausbildung ist absolut zentral – schützt aber dennoch nur beschränkt vor den Fehlern der Endanwender (z.B. Klicken auf einen Link in einem Mail, Einstecken von Geräten in fremde Ladestationen). Durch Erhöhung der Frequenz und Attraktivität von Awareness-Aktivitäten lassen sich diese sehr ernüchternden Zahlen zwar leicht verbessern; letztlich aber wird die Mehrheit der Mitarbeitenden immer noch zu viele (oft gravierende) Fehler machen. Daher müssten eigentlich die im Unternehmen implementierten technischen Sicherheitsmassnahmen entsprechend umfassend und wirksam sein.
Kompensieren Awareness-Kampagnen eine ungenügende technische Sicherheit?
Immer wieder wird behauptet, dass man mit guten Elementen einer Awareness-Kampagne eine mangelnde technische Sicherheit einigermassen kompensieren kann. Typische Beispiele sind z.B. die Risiken von offenen USB-Anschlüssen an den Laptops oder die Verwendung von fremden Ladebuchsen für Telefone.
Schauen wir uns das Beispiel mit den Anschlüssen genauer an: Diese Schnittstellen z.B. bei Laptops sind wirklich praktisch – man kann im Sitzungszimmer den externen Bildschirm anhängen, eine ergonomisch perfekte Tastatur verwenden, mit Geschäftspartnern oder Kolleginnen noch schnell eine allenfalls vertrauliche Datei austauschen. Auf viele dieser Vorteile muss man verzichten, wenn die USB-Anschlüsse mittels spezieller Software wieder blockiert werden. Aber gibt es wirklich gute Gründe dafür, deswegen die effektiv sehr grossen Risiken einzugehen, welche mit der vermeintlichen Freiheit verbunden sind? Und wäre es wirklich so mühsam, die Dateien schnell über eine interne Plattform oder Mails auszutauschen, welche mittels diverser Scan- und anderer Tools vor Malware geschützt werden könnten?
Ein echtes Beispiel aus einem schweizerischen Industrie-Unternehmen zeigt auf, wie Angreifer vorgehen, um in bestehende Netzwerke reinzukommen. Das Unternehmen hatte eine Delegation von u.a. chinesischen Besuchern empfangen. Sämtliche Mitarbeitende wurden im Vorfeld eingehend instruiert – unter anderem was sie den Besuchern zeigen und erzählen können sowie dass sie ihre Arbeitsplätze perfekt aufräumen und vertrauliche Unterlagen einschliessen müssen usw. Kurz vor dem Besuch der Delegation wurden die Sensibilisierungs-Aktivitäten nochmals verstärkt und sämtliche Arbeitsplätze im besuchten Bereich inspiziert. Alles ok? Einige Tage nach dem Besuch fand ein Mitarbeiter auf dem Fussboden hinter einem Abteilungsdrucker einen USB-Stick. Um herauszufinden, wem dieser Stick wohl gehört, steckte er ihn in seinen Laptop – er konnte aber keinen Inhaber identifizieren. Tage später fiel dem Netzwerk-Betriebspersonal auf, dass das Volumen an kommunizierten Informationen an einem Standort deutlich zugenommen hatte. Die genauere Analyse erst stellte fest, dass mit dem gefundenen USB-Stick ein Trojaner installiert wurde, der sich nach und nach im gesamten Unternehmensnetz verteilte und zahlreiche Daten an bestimmte externe Adressen übermittelte.
Ein zweites Beispiel sind externe Ladegeräte zum Beispiel für Telefone oder Tablets, die «irgendwo» praktisch herum liegen und Drittpersonen zur Verfügung gestellt werden – wie zum Beispiel die USB-Ladebuchsen in einigen neueren Postautos. Wie im vorhergehenden Artikel von Mischa Kemmer aufgezeigt, können solche Ladestationen nicht nur die notwendige Stromzufuhr liefern, sondern über die weiteren bestehenden Kontakte in den USB-Anschlüssen versuchen, eine beidseitige Kommunikation aufzubauen und wenn möglich Schadsoftware auf das eingesteckte Gerät einzuschleusen. Dass die Mitarbeitenden immer und überall die ihnen speziell zur Verfügung gestellten speziellen Zwischenstecker einsetzen, so dass ihre Systeme nicht gefährdet sind, ist wohl eher unwahrscheinlich – die Meisten haben sowieso noch nie davon gehört, dass alleine das Einstecken eines Ladegeräts ihr Handy, Tablet oder Laptop gefährden kann.
Beide vorgestellten Beispiele zeigen auf, dass auch sehr gute Awareness-Aktivitäten – allenfalls in Kombination mit zusätzlichen Sicherheitsmassnahmen wie spezielle USB-Koppelungen – das Restrisiko von fehlerhaftem oder fahrlässigen Verhalten nie vollständig eliminieren können. Klar ist eine Reduktion auf vielleicht 10% des ursprünglichen Risikos (sehr optimistisch gerechnet) attraktiv – aber es ist in solchen Fällen immer nur eine Frage der Zeit, bis jemand unbewusst unsorgfältig handelt und damit das meist unerkannte Einschleusen von Hacking-Software ermöglicht.
Die Schlussfolgerungen
Etwas plakativ (und stark vereinfacht) formuliert heisst das:
a) Nur die besten technischen Sicherheitsmassnahmen ermöglichen erst einen einigermassen sicheren Einsatz von Mobiltelefon, Tablet und Laptop usw., um die durch die Benutzer verursachten menschlichen Risiken einzudämmen.
b) Diese Massnahmen sollten dem Stand der Technik entsprechen und sehr zeitnah an die sich ständig wechselnde Bedrohungslage angepasst werden.
c) Awareness-Aktivitäten können die Risiken im Zusammenhang mit der Verwendung von Mobiltelefon, Tablet und Laptop deutlich reduzieren, aber nie komplett eliminieren.
d) Da bei BYOD (Bring your own device) die auf den mitgebrachten Geräten vorhandenen Sicherheitsmassnahmen unternehmensseitig (sowieso) nicht beeinflusst werden können, benötigen Unternehmen zwingend weiterführende technische Massnahmen auf der Server-Seite, so z.B. Netzwerk-Segmentierung, Firewalls, virtuelle Umgebungen, usw.
e) Awareness-Aktivitäten sind immer (nur) eine Ergänzung zu einer sehr hochstehenden technischen Sicherheit und kein Ersatz dafür.
Trotz meinem Fokus auf den tatsächlich implementierten technischen Sicherheitsmassnahmen ist ein umfassendes Awareness-Programm mit Kombination von passiven Elementen (z.B. Plakaten) und aktiven Elementen (z.B. Präsenzunterricht) unabdingbar, um die Risiken ausreichend einzudämmen.
Der Autor
Peter R. Bitterli, Bprex Group AG; CISA, CISM, CGEIT, CRISC, CDPSE
