Security Awareness als Konzept

Cyberkriminalität entwickelt sich rasant und stellt Unternehmen weltweit vor große Herausforderungen. Oft wird der Mensch als das größte Sicherheitsrisiko dargestellt – doch ist diese Sichtweise wirklich zielführend? Unser Gastautor Dirk Frießnegg, Security Advisor bei der ACP Gruppe, beleuchtet in diesem Beitrag, warum ein konzeptioneller Ansatz zur Security Awareness den Menschen nicht als Schwachstelle, sondern als zentrale Verteidigungslinie betrachten sollte.

Cyberkriminalität hat sich in den letzten Jahren zu einer äußerst lukrativen Schattenwirtschaft entwickelt. Verglichen mit Drogengeschäften ist der geschätzte Umsatz über 1300 % größer. Wäre es ein eigener Staat, es stünde laut Angaben des ersten weltweiten Cybercrime-Index hinter den USA und China auf Platz 3 im globalen Vergleich der Bruttoinlandsprodukte (BIP).

Fakt ist, dass der Mensch im Fokus von Cyberangriffen steht. In gut 9 von 10 Fällen ist menschliches Fehlverhalten Ursache für einen erfolgreichen Cyberangriff. Es ist nur allzu verlockend, in diesem Zusammenhang immer noch vom „human risk“ bzw. von der „Schwachstelle Mensch“ zu sprechen. Ein falscher Ansatz, der suggeriert, dass im Zusammenhang mit IT-Security der Mensch das größte Problem sei und irgendwie „geheilt“ werden müsste.

Eine Umfrage ergab, dass ungefähr ein Viertel der Angestellten sich nicht wohl dabei fühlt, Sicherheitsvorfälle oder verdächtige Aktivitäten an die entsprechenden Kanäle in ihrer Organisation zu melden. Davon gab die Mehrzahl der Befragten (45 %) als Grund für das Zögern Sorgen um die berufliche Zukunft an.

Wenn man nun Security Awareness Trainings aus der Risiko-Perspektive betrachtet, schürt man weiter die Angst der Angestellten. Dies sollte nicht das Ziel sein! Phishing Simulationen beispielsweise dürfen nie vor dem Hintergrund durchgeführt werden, Angestellte, die falsch reagieren, abzumahnen. Ein fataler Effekt! Angstszenarien sind selten ein guter Ratgeber.

---

---

Nur weil wir Dinge noch nicht gelernt haben, sind wir nicht schwach darin. Das Fehlverhalten in Angriffssituationen kann uns in unterschiedlichen Situationen treffen: weil wir unter Stress unaufmerksam sind, weil wir hilfsbereit sind und den Anweisungen aus der Führungsetage folgen, weil wir interessiert sind an einem vielversprechenden Angebot oder desinteressiert an einem Newsletter etc.

Ändern wir den Blickwinkel, dass der Mensch nicht Teil des Problems ist, sondern Teil der Lösung, ist dies bereits der erste Schritt eines konzeptionellen Ansatzes von Security Awareness Trainings. Ein Konzept, das den Menschen in den Mittelpunkt einer erweiterten Sicherheitsstrategie stellt – mit dem Ziel, ihn und das Sicherheitsbewusstsein zu stärken.

Wie auch beim Sport geht es darum, sich auf die Gegner vorzubereiten, deren Taktiken zu verstehen und frühzeitig zu antizipieren. Verglichen mit früher ist der Sport schneller und athletischer geworden, taktisch reifer, und auch das Material der Sportler wurde immer besser, die Gewinnsummen größer – eine Entwicklung, die man auch rund um Cyberkriminalität sieht.

KI öffnet viele Türen. Hinter mancher Tür verbirgt sich allerdings nichts Gutes.

Wenn man KI darum bittet, einen Songtext im Stil von Roland Kaiser oder ein Gedicht im Stil von William Shakespeare zu schreiben, bekommt man das fertige Ergebnis bereits nach wenigen Sekunden. Genauso schnell können Cyberangreifer eine E-Mail im Stil vom CEO imitieren – mit Hilfe von zum Teil kostenlosen KI-Tools.

Darüber hinaus ermöglichen KI-Tools inzwischen nahezu perfekte Imitationen herkömmlich aufgenommener Videos bzw. Tonsequenzen – sogenannte Deepfakes. Wie ausgereift deren Qualität inzwischen ist, zeigen beispielsweise YouTube-Videos des US-amerikanischen Schauspielers Miles Fisher, der seit über fünf Jahren als täuschend echter „Tom Cruise“ u.a. beim Golf oder auch in einem Werbeclip um die vermeintliche Kandidatur der US-Präsidentenwahl 2020 zu sehen ist.

Die Kombination dieser Elemente – Schreibstil, Bild und Ton – machten sich Cyberkriminelle im Frühjahr 2024 zu Nutze. Als vermeintliche Führungsetage des britischen Ingenieurbüros Arup lud man per E-Mail einen Mitarbeiter aus der Finanzabteilung zu einer Videokonferenz ein, in der man ihn anwies, mehrere Überweisungen mit einem Gesamtvolumen über umgerechnet ca. 24 Millionen Euro auf Konten in Hongkong vorzunehmen. Mit Erfolg! Von allen per Bild und Ton Anwesenden war jedoch nur eine Person echt: der ahnungslose Angestellte aus der Finanzabteilung. Alle anderen waren Deepfakes aus der Führungsetage.

Natürlich ragt dieser Fall besonders spektakulär hervor, aber er zeigt auf, mit welchen Mitteln Cyberkriminelle agieren können. Kriminelle zielen jedoch nicht nur auf fette Beute, sondern gerne auch auf leichte Beute. Daher ist es ein Trugschluss zu glauben, man selbst bliebe von Cyberangriffen verschont. Auch und besonders der Mittelstand ist in Deutschland ein begehrtes Ziel.

Die Angriffsmittel mögen hier in der Breite vielleicht (noch) nicht so ausgefeilt sein wie im Falle Arup, aber sie werden angewendet. Beispiele:

• Bei Phishing-Angriffen wird die breite Masse attackiert mit dem Entwurf plausibler Geschichten („Pretexting“). Beispiel: „Ihr Paket konnte nicht zugestellt werden.“
• Spear-Phishing-Angriffe sind gezielte Angriffe auf einzelnen Personen im Unternehmen. Hierbei werden Informationen verwendet, die man über Social Engineering über eben diese Personen gesammelt hat. Beispiel: „Umfrage zu Ihrem letzten Aufenthalt im Hotel“
• Beim Quishing werden QR-Codes mit schadhaftem Inhalt per E-Mail versendet oder anonym als Aufkleber an Parkautomaten oder Zettel am Schwarzen Brett im Supermarkt („Suche Wohnung“) platziert.
• Sicherlich hat jeder von uns bereits einen Angriffsversuch via Smishing (per SMS) oder Vishing (per Anruf oder Sprachnachricht) erfahren.

Nicht alle reagieren auf solche Angriffe angemessen. Umso wichtiger ist es, das gesamte Personal entsprechend zu schulen. Wenn schon nicht – was fahrlässig wäre angesichts der Bedrohungslage – aus Eigeninteresse, so im Rahmen verschiedener, teils branchenspezifischer Richtlinien (NIS-2, DORA, TISAX). Auch Cyberversicherungen verankern Awareness Trainings für das gesamte Personal als feste Vertragsklausel.

Es geht also nicht um das OB Awareness Trainings durchgeführt werden sollen, sondern um das WIE. Verschiedene Dienstleister, Akademien und Handelskammern bieten Awareness Schulungen an.

Besonders bewährt haben sich Security Awareness Plattformen mit einer Kombination aus vielseitigen Trainingsinhalten und begleitenden Phishing Simulationen. Eine gute Plattform ermöglicht anhand von Kennzahlen Analysemöglichkeiten, mit deren Hilfe inhaltliche Anpassungen für künftige Kampagnen individuell möglich sind.

Was macht eine gute Plattform aus? – Sie hält die Lernbereitschaft der Einzelnen hoch:

• Nutzen mir die Trainings nur im Berufsalltag oder auch privat?
• Werden die Trainingsinhalte in ansprechenden Formaten präsentiert oder tritt schon nach kurzer Zeit ein Ermüdungseffekt ein?
• Werden Mehrsprachigkeit und multikulturelle Aspekte im Unternehmen berücksichtigt?
• Fördern Belohnungssysteme die Trainingsbereitschaft?
• Sind die Themen abwechslungsreich und stets auf dem neuesten Stand?
• Geht es allein um Cybersecurity oder werden auch Compliance-Themen wie Sicherheit am Arbeitsplatz angeboten?

In der Vorauswahl gibt es noch weitere individuelle Aspekte zu berücksichtigen.

Am wichtigsten jedoch ist: Nur durch kontinuierliche Sensibilisierung und Praxisnähe wird der Faktor Mensch eine starke Verteidigungslinie gegen Cyberangriffe.

PS: Wie der Angestellte von Arup optimal hätte reagieren können? Er hätte über eine bekannte Rufnummer jemanden aus der Führungsetage anrufen und um Verifizierung bitten können.

Über den Gastautor