Die „menschliche Firewall“ – ist ein Ausdruck, den der Leser vielleicht schon einmal gehört hat, der aber nicht oft verstanden wird. Das Konzept der menschlichen Firewall, ist im Wesentlichen ein geschulter Mitarbeiter oder Benutzer, der Social-Engineering-Angriffe erkennen und blockieren kann. Das ist nicht neu, aber in den letzten Jahren ist die Anwendung der Theorie viel breiter geworden, da Unternehmen langsam aber sicher die Vorteile erkennen und ihre Mitarbeiter schulen.
Obwohl dies kein neues Konzept ist, haben Fortschritte bei den Trainingsmethoden und -technologien die Verwirklichung des Sicherheitsfaktors menschliche Firewall zu einer einfacheren Aufgabe gemacht als sie es in der Vergangenheit war. Die Fähigkeit, Einzelpersonen in ihrem eigenen Tempo, zu der von ihnen gewählten Zeit und mit interaktiven Lektionen zu trainieren, macht einen bedeutenden Unterschied aus. Vor allem, wenn es gelingt weder die Komplexität noch den Zeitaufwand für die Organisation und für die Mitarbeiter bei der Durchführung von Trainings signifikant zu erhöhen.
Das menschliche Firewall-Konzept eignet sich besonders gut zur Abwehr von Social-Engineering-Angriffen, der heutzutage gebräuchlichsten Art von Cyberattacken. Diese Social-Engineering-Angriffe sollen Benutzer dazu bringen, Passwörter oder andere sensible Informationen herauszugeben, Geld an die Angreifer zu überweisen oder bösartige Software auf ihren Computern zu installieren und auszuführen. Am 12. Juli 2018 erklärte beispielsweise das FBI, dass allein die Betrügereien mit dem Business E-Mail Compromise (BEC) zwischen Oktober 2013 und Mai 2018 zu Verlusten von über 12 Milliarden US-Dollar geführt haben. In Verbindung mit den Auswirkungen, Verlusten und Schäden, die weiterhin durch Ransomware-Angriffe und andere Malware-Infektionen entstehen, wird deutlich, dass Unternehmen dies nicht ignorieren können.
Aufbau der menschlichen Firewall
Um zu verstehen, warum der Aufbau einer menschlichen Firewall so effektiv gegen diese Angriffe ist, ist es wichtig zu verstehen, warum Social Engineering überhaupt funktioniert. Diese Angriffe sind darauf ausgerichtet, menschliche Eigenschaften und Interessen zu nutzen, um ihre Ziele zu erreichen. Viele dieser Eigenschaften sind tief verwurzelt und wenn man diese Eigenschaften und Interessen triggert, kann man das menschliche Verhalten steuern. Ein Beispiel für diese Art der Manipulation findet sich im CEO-Fraud. Hier erstellen Angreifer eine E-Mail, die aussieht, als käme sie vom CEO (oder einer anderen Person mit Autorität) und fordern eine Überweisung von jemandem in finanzieller Position in der Organisation. Die Ziele dieser Art von Angriff ist zu erreichen, dass die betroffenen Mitarbeiter denken, dass die E-Mail von ihrem Chef oder einer anderen Autoritätsperson stammt und dadurch Angst hat, den Job zu verlieren, wenn sie sich nicht daranhalten. Sie sollen dadurch eingeschüchtert werden, um nicht auf die Idee zu kommen, die Anfrage in Frage zu stellen und die Aktion ohne Frage durchzuführen, was sie sonst bei einem Mitarbeiter, der auf der gleichen Ebene ist, nicht tun würden. Wir sehen, dass diese Angriffe in Unternehmen aller Größen immer wieder erfolgreich sind. Da diese Angriffe auf Menschen abzielen und unsere Emotionen gegen uns verwenden. Wenn die Benutzer mit den Informationen darüber ausgestattet werden, wie diese Angriffe gestaltet sind, sind sie besser in der Lage, diese Angriffe zu identifizieren und entsprechende Vorsichtsmaßnahmen zu ergreifen. Manchmal ist es genauso einfach, sich die Anfrage mit einem Telefonanruf bestätigen zu lassen oder die Anfrage an jemanden in einer Sicherheits- oder Führungsrolle weiter zu melden. Trotz der deutlich gestiegenen Fähigkeit der Mitarbeiter, diese Angriffe zu erkennen, ist es wichtig zu verstehen, dass dies keine anderen technischen Sicherheitskontrollen ersetzt. Um Unternehmen effektiv zu schützen, müssen sie über mehrere Sicherheitsebenen verfügen.
Kein erfolgreiches Phishing ohne Social-Engineering
E-Mail-Gateways und Spamfilter reduzieren das schiere Volumen von Phishing-Angriffen. Die bösartigen E-Mails, die die Mitarbeiter dennoch erhalten, überschreiten aber immer noch 10-15 Prozent des Volumens. Laut dem aktuellen Report von Symantec vom Juni 2018 sind dies 1,7 Milliarden Phishing-Angriffe pro Tag. Der Endpunktschutz der nächsten Generation, der nicht allein auf der Suche nach bekannten Virensignaturen basiert, kann helfen, verdächtige Malware zu erkennen und zu stoppen, wenn jemand versucht, diese auszuführen. Gut gestaltete und getestete Backup-Systeme können außerdem dabei helfen, den Schaden durch Ransomware oder andere Malware-Infektionen zu verringern.
Diese Technologien müssen allesamt eingesetzt werden, aber wir dürfen nicht den menschlichen Faktor vergessen, der durch den Einsatz gut geschriebener, klarer und präziser Richtlinien und Verfahren sowie durch kontinuierliche Schulungen zur Sensibilisierung für Sicherheit erreicht wird. Nur dann gelingt es diese menschliche Firewall auch vor Angriffen zu härten. Bei der Schulung gibt es einige Dinge zu beachten, wenn sie so erfolgreich wie möglich gestaltet werden soll. Zunächst ist es wichtig zu verstehen, wo diese überhaupt ansetzen müssen, deshalb sollten Mitarbeiter einen Phishing-Basistest durchführen. Dies gibt den Schulungsleitern eine Vorstellung davon, wie anfällig die Mitarbeiter für Phishing-Angriffe sind und ist nützlich, wenn weitere simulierte Phishing-Angriffe in den Unternehmen eingesetzt werden sollen.
Als nächstes schulen sie ihre Mitarbeiter. Das Training sollte Online und On-Demand sein und nicht nur die Phishing-Sicherheit, sondern auch wichtige Themen wie Passwort-Hygiene, sichere WiFi-Konnektivität und den sensiblen Umgang mit Daten behandeln. In den meisten Fällen sollte jedem, der ein E-Mail-Konto hat, eine detaillierte jährliche Schulung zugewiesen werden, aber es können auch die Mitarbeiter in Betracht gezogen werden, die zwar keine E-Mail-Adresse haben, aber mit PCs arbeiten müssen. Diese Mitarbeiter müssen möglicherweise außerdem wissen und verstehen, wie sie mit den sensiblen Daten des Unternehmens umgehen und ihre Passwörter schützen. Zusätzlich zum jährlichen Training sollten die Schulungsleiter in Betracht ziehen, kleinere Trainingseinheiten, vielleicht drei- bis fünfminütige Videomodule oder Spiele mindestens vierteljährlich an die Mitarbeiter zu schicken.
Drittens sollten Unternehmen zufällig simulierte Phishing-Angriffe durchführen. Diese simulierten Angriffe helfen den Mitarbeitern, das im Training Gelernte so zu üben, dass es sich nicht auf das Netzwerk ihres Unternehmens auswirkt, wenn es scheitert. Dies hilft auch, die Mitarbeiter auf verdächtige E-Mails aufmerksam zu machen, ob diese simuliert sind oder nicht. Wenn Unternehmen diese simulierten Angriffe starten, sollte dabei herauskommen, wie gut die Mitarbeiter derzeit darin sind, diese E-Mails zu erkennen. Wenn es immer noch viele Mitarbeiter gibt, die sich noch im höheren Klickbereich befinden, also 30 Prozent oder mehr, sollten die Angriffe einfacher gestaltet werden und Dinge wie falsch geschriebene Wörter und schlechte Grammatik verwenden. Dies wird den Mitarbeitern dabei helfen, Vertrauen in sich selbst aufzubauen. Wenn sie bereits ziemlich geschickt sind, kann mit ausgefeilteren E-Mails begonnen werden. So oder so, es ist wichtig, zufällige E-Mails an zufällige Mitarbeiter zu versenden, und zwar zu beliebigen Zeiten. Dies hält andere Mitarbeiter davon ab, die Kollegen vor einer bestimmten E-Mail zu warnen. Denn dann würde das Testszenario und der erhoffte Lernerfolg ad absurdum geführt. Diese simulierten Angriffe sollten mindestens einmal im Monat durchgeführt werden, um die Ergebnisse langsam zu verbessern.
Fazit
Zum Schluss müssen die Ergebnisse gemessen werden. Wenn die Klickraten sinken, dann können Unternehmen anfangen, die simulierten Angriffe schwieriger zu machen, bis ihre Mitarbeiter an einem Punkt sind, an dem sie die wirklich schwierigen Phishing-Mails leicht erkennen können. Durch die Kombination dieser vier Schritte, werden Mitarbeiter zu menschlichen Firewalls. Sie werden in der Lage sein, Angriffe effizient zu erkennen und zu vermeiden, dass sie sich auf diese Social-Engineering-Taktiken einlassen, die letztlich so viel Ärger verursachen und Schaden im Unternehmen anrichten.
Von Erich Kron, Security Awareness Advocate bei KnowBe4
#Netzpalaver #KnowBe4