Energie und Umwelt
Awareness - Oft nur ein Fremdwort aus dem IT-Dschungel
Awareness bezeichnet die Aufmerksamkeit von Mitarbeiterinnen und Mitarbeitern gegenüber Risiken für den Geschäftsbetrieb und deren Vermeidung durch persönliches Handeln. Zur IT-Security-Awareness gehören unter anderem Kenntnisse über den sicheren Umgang mit IT-Systemen, die korrekte Einstufung der Sensibilität (Schutzbedarf) von elektronischen und analogen Daten und die damit einhergehenden Maßnahmen zu deren Schutz. Awareness bedeutet jedoch auch die Kenntnis typischer Angriffsmuster, deren Erkennung und Vermeidung. Wir möchten daher mit diesem Security Bericht einen kleinen Einblick geben, welche Gefährdungen durch mangelnde Awareness entstehen können. Außerdem zeigen wir auf, wie Awareness erfolgreich vermittelt werden kann.
Erhebungen über Einbrüche in IT-Systeme belegen, dass diese oft nicht unmittelbar mittels technischer Überwindung von Schutzmaßnahmen stattfinden, sondern mittels Schadsoftware, die vom Anwender vor Ort unwissentlich ausgeführt wurde. Durchschnittlich 10 bis 40 Prozent aller Beschäftigten klicken relativ sorglos auf Weblinks, die sie per E-Mail erhalten. Dabei sollte heutzutage jedem Anwender bewusst sein, dass Webseiten gefährliche Inhalte enthalten können und E-Mail Absender leicht zu fälschen sind. Auch werden Anhänge in E-Mails viel zu häufig sorglos geöffnet, wodurch unbewusst Schadsoftware installiert werden kann. Dabei wird der Dateityp bisweilen so verschleiert, dass die Datei harmlos aussieht oder dazu verführt, Makros in Office-Dokumenten zu aktivieren.
Die Schuld an diesem Verhalten allein dem Anwender zuzuschreiben, greift jedoch zu kurz. Vielfach sind Risiken dem Anwender schlicht nicht transparent. Und selbst wenn diesem Zweifel an der Seriosität einer E-Mail kommen, fehlen ihm oft die Ansprechpersonen, diese zu äußern und die Sicherheit und Legitimität der Nachricht zu hinterfragen. Vielfach sind Prozesse, die helfen können, entsprechende Risiken zu vermeiden, nicht in geeigneter Form etabliert oder den Mitarbeiterinnen und Mitarbeitern nicht bekannt. Dazu kommt, dass noch immer in vielen Firmen und Organisationen eine Kultur vorherrscht, die das Hinterfragen betrieblicher Vorgänge – zumindest gefühlt – stärker sanktioniert als aufgetretene Vorfälle.
Die Aufmerksamkeit des gesamten Personals gegenüber betrügerischen Anfragen oder fragwürdigen Geschäftspraktiken ist jedoch der einzige Schutz gegen nicht-technische Angriffe oder Angriffe, welche die etablierten technischen Schutzmaßnahmen überwinden konnten. Diese können von unlauterer Werbung für ein Produkt oder eine Dienstleistung bis hin zu gezielten Betrugsversuchen und IT-Angriffen reichen und sich dabei verschiedener Angriffspraktiken bedienen. Insbesondere individualisierte Social Engineering Tricks, die nicht auf eine Flut standardisierter und damit leicht erkennbarer Spam Mails setzen, werden dabei zur Gefahr. Medien berichteten die letzten Jahre immer wieder über versuchte, aber auch erfolgreiche CEO-Fraud Angriffe, bei denen sich unberechtigte Dritte als Chef ausgeben. Anschließend versuchen diese, einen Angestellten zur Herausgabe von vertraulichen Informationen zu bewegen oder der Zahlung eines größeren Geldbetrags. Mittlerweile nutzen Angreifer sogar alte, vorher gestohlene, E-Mail Verläufe um eine besondere Vertrautheit zum Empfänger aufzubauen. Der Emotet Trojaner nutzte eine solche Masche und verschickte Schad-E-Mails als vermeintliche Antworten auf alte E-Mails.
Der oft zitierte gesunde Menschenverstand ist bei der Vermeidung solcher Angriffe eine große Hilfe, solange dieser trainiert, gefördert und in gewisser Weise auch belohnt wird. Ein wesentlicher Faktor ist dabei die Eigenmotivation der Mitarbeitenden. Diese ist nicht mit der Leistungsbereitschaft zu verwechseln, die für eine gesunde Skepsis mitunter sogar hinderlich sein kann. Eigenmotivation für IT-Sicherheit ist nur auf persönlicher Ebene zu erreichen; im Optimalfall motiviert durch persönliche Betroffenheit. Diese kann beispielsweise dadurch erreicht werden, dass mittels Videos typische Verhaltensmuster bei Angriffen und deren Folgen sowie korrekte Verhaltensweisen zur Schadensvermeidung aufgezeigt werden. Eine pointierte Überzeichnung der dargestellten Situation hilft dabei, die Darstellung nicht als persönlichen Angriff auf die eigene Verhaltensweise zu verstehen, sondern als prägnantes „Aha, so also nicht“-Klischee.
Viele Themen der IT-Sicherheit treten auch im privaten Umfeld auf, werden dort von vielen jedoch nicht als relevante Bedrohung gesehen. Gelingt es entsprechende Inhalte so zu vermitteln, dass sie vom Personal auch privat als nützlich empfunden werden, wird auch die Berücksichtigung im betrieblichen Umfeld wahrscheinlicher. Zusätzlicher Vorteil dabei ist, dass auch Angriffe auf Mitarbeiterinnen und Mitarbeiter über private Medien unwahrscheinlicher werden. Dies setzt jedoch voraus, dass entsprechende betriebliche Maßnahmen klar zwischen betrieblichen Vorgaben und nützlichen Tipps unterscheiden und der Eindruck einer unangemessenen Einmischung in private Belange vermieden wird.
Kenntnisse über vermeidbare Verhaltensweisen müssen stets im Zusammenhang mit einer konkreten Empfehlung vermittelt werden. Sind dabei technische Mittel erforderlich, sollte der Umgang mit diesen für technisch weniger versierte Beschäftigte möglichst leicht verständlich erläutert werden. Beim Aufbau von Awareness-Schulungen und deren Inhalten ist oft festzustellen, dass es in diesem Zusammenhang Prozesslücken oder fehlende Beschreibungen gibt, die zunächst ergänzt werden müssen. Die Planung von Awareness-Maßnahmen führt daher bereits im Vorfeld oft zu einer Verbesserung organisatorischer Prozesse, wie auch der technischen Ausstattung und Dokumentation.
Quelle: IHK GfI