Der Feind in den eigenen Reihen

Effizientes Training

Ein Weg zur Sensibilisierung sind firmenspezifische Schulungen, in denen auf mögliche Social-Engineering- und Deepfake-Angriffe eingegangen wird. Allgemeine Awareness-Trainings dagegen werden von den Mitarbeitern oft als lästige Pflichtübung betrachtet und erzielen bestenfalls mässigen Erfolg. Viele Firmen setzen nach wie vor auf den Angstfaktor. Erfolgversprechender ist es, die positiven Auswirkungen eines korrekten Verhaltens hervor­zuheben.
Gesichter tauschen: Mit Deepfake-Technik ist es ein Leichtes, Amy Adams durch Nicolas Cage zu ersetzen.
Quelle: Warner Bros. Pictures
Bei Security-Awareness-Training sollte es nicht einfach darum gehen, Wissen zu vermitteln, sondern Verhalten zu verändern. Das gelingt am besten mit Emotionen. Es muss den Mitarbeitern Spass machen, sicherheitsbewusstes Verhalten zu erlernen. Die Schulungsplattform KnowBe4 etwa arbeitet auch mit Comics und Netflix-ähnlichen Videoserien. Cliffhanger sorgen dafür, dass die Nutzer von sich aus mehr davon haben wollen. Auch Gamification-Elemente wie zu gewinnende Badges oder Wettkämpfe zwischen mehreren Teams eines Unternehmens sorgen spielerisch für Sensibilisierung.
Christopher Schmid teilt eine Awareness-Schulung in drei Teile ein: die Phase des Wachrüttelns, die Phase der Inhaltsvermittlung und die Phase der Einübung, bei der Inhalte, zum Beispiel mit Hilfe von E-Learning, kontinuierlich wiederholt werden. Gutes Training sollte sich Schmid zufolge an einigen Prinzipien orientieren: Augenhöhe statt Bevormundung – also nicht mit Konsequenzen drohen, aber Konsequenzen von falschem Verhalten trotzdem aufzeigen – , dabei aktuelle und verständliche Fallbeispiele nutzen und Handlungsanweisungen in das Training einbauen.
“Teure Tools zu implementieren reicht nicht aus und vermag fehlende Security Awareness nicht zu kompensieren. Vor allem KMUs haben bei dem Thema einen großen Nachholbedarf. „
Christopher Schmid, Senior Vice President und Head of IT Security DACH bei NTT Data
Bitdefender-Mann Botezatu kennt kein allgemeingültiges Patentrezept. «Wir sind der Meinung, dass alle Unternehmen oder Betriebe ihr Bedrohungsmodell evaluieren und ihre Mitarbeiter entsprechend schulen müssen. Wenn Sie zum Beispiel eine Buchhaltungsfirma sind, die von Ransomware betroffen sein könnte, dann sollten Sie Ihre Schulung wahrscheinlich so anpassen, dass die Mitarbeiter bösartige Anhänge in E-Mails erkennen. Wenn Sie im Finanzwesen tätig sind und viel mit CEOs oder CFOs zu tun haben, sollten Sie Ihre Mitarbeiter darin schulen, die Finanztransferprotokolle gewissenhaft zu befolgen und nie von den Regeln abzuweichen.»

Hoffungsträger KI

Künstliche Intelligenz dringt in immer mehr Bereiche vor. Womöglich ist auch ein Einsatz beim Human Learning denkbar. Christopher Schmid sagt dazu: «Grundsätzlich ja. Wenn aus Daten, ermittelt aus internen Sicherheits-Appliances, sinnvolle Erkenntnisse gewonnen werden können, mag dies ein Unternehmens-Awareness-Programm positiv beeinflussen, aber weniger das Lernverhalten des einzelnen Mitarbeiters. Wenn Mitarbeiterverhalten direkt analysiert wird und eine Machine-Learning-basierte Lösung den Nutzer direkt auf Fehlverhalten aufmerksam macht, würde dies hohen Mehrwert bringen. Aus datenschutz- und betriebsrechtlichen Gründen sollte das Tracking jedoch auf anonymisierte Informationen ausgerichtet sein.»
Egon Kando zufolge könnte Machine Learning theoretisch auch beim Lernverhalten der Mitarbeiter etwas bringen. «Sinnvoller wäre es jedoch, Machine Learning so einzusetzen, dass es Mitarbeiter vor unbewussten Fehlern schützt. Cyberkriminelle sind mittlerweile so gut darin, Netzwerke zu infiltrieren, dass es oft eher darum geht, Angriffe möglichst frühzeitig zu erkennen, bevor sie Schaden anrichten können. Hier spielt Machine Learning seine Stärken aus, weil es die Netzwerkaktivität jedes Benutzers und jeder Entität im Netzwerk in Echtzeit analysiert und jede Abweichung vom Normalverhalten sofort erkennt.» «Wichtiger als das Lernverhalten ist es, den Lernerfolg nachzuvollziehen», ergänzt Christian Knothe von BT. «Nur so können Massnahmen optimiert und im richtigen Zyklus wiederholt werden. Künstliche Intelligenz ist dabei eine Möglichkeit, aber sicher kein Wundermittel.»

Andreas Dumont
Autor(in) Andreas Dumont



Kommentare
Avatar
karnickel
17.10.2020
Interessante Zusammenkippung von Sicherheitsthemen. Nur, warum sollte sich jemand mit Phishing Mails und dergleichen befassen, wenn es doch - nach dem Titel des Artikels - um einen "Feind von innen" handelt. Dieser sitzt ja schon im Netz und hat eine interne Absenderadresse. Wahrscheinlich ist hier die Sicht der nicht feindlichen Mitarbeiterinnen und Mitarbeiter gemeint. Unerwähnt bleibt mein Eindruck, den ich von den Unternehmungen insgesamt zu deren Schutz gegen eine eigene, renitente Crew ist. Dieser wird nämlich ausschliesslich per Papiertiger erreicht. Egal ob, wie im Artikel erwähnt, die Belegschaft auf Grund von Fehlern oder absichtlich dem Boss Kosten verursacht, es soll abgesichert sein. Diese zu unterschreibenden Klauseln verschaffen der Unternehmung als Bestandteil des Arbeitsvertrages eine ausgesprochen einseitige Position, um unliebige Typen einfach loswerden zu können. Sollte es zu einem solchen Fall kommen, wäre vermutlich sogar die "Beweisführung" ausgesprochen einseitig: "Unsere IP-Logs haben ergeben...". Es wäre interessant, wie Gerichte bei sowas entscheiden würden. Auch interessant sind Austrittsverträge, die man "Bevor Du nun gehst hier einen Kribel!" unterzeichnet. Dort stehen Floskeln wie: "..damit entfallen sämtliche Rechtsansprüche...". Ganz klar nach Art. 341 OR unzulässig. Der Artikel hier behandelt allgemeine Sicherheitsaspekte im Unternehmen und nicht explizit Angestellte als Bösewichte. Insgesamt habe ich hier einfach den Eindruck, dass der Titel nicht so recht passt.