Mit Cybersecurity-Wissen ist es wie mit jedem anderen Gelernten: Was man nicht nutzt, verlernt man schnell. Genau dieser Effekt lässt sich bei Mitarbeitern beobachten, die ein bis zwei Mal im Jahr Security-Trainings bekommen. Welche dann – wenn überhaupt – nur ab und an durch oft reichlich praxisferne Vorträge aufgefrischt werden. Sie vergessen schlicht so gut wie alles, was sie gelernt haben, weil sie es im Arbeitsalltag nicht einsetzen.
Dabei wird die sogenannte Security Awareness immer wichtiger im täglichen Kampf gegen Cyberangriffe. Längst reichen rein auf Technologie basierende IT-Security-Systeme nicht mehr aus, um immer ausgefeiltere Angriffsmethoden sicher abzuwehren. Die stärkste Verteidigung ist und bleibt die Sensibilität und Aufmerksamkeit aller Mitarbeiter gegenüber potenziellen Bedrohungen.
Erfahren Sie in unserem Interview mit ESET Chief Information Security Officer Daniel Chromek, mit welchen Methoden und Trainings Sie Ihre Mitarbeiter klug schulen. Denn so können Sie die Security Awareness in Ihrem Unternehmen umfassend und nachhaltig erhöhen.
Viele Unternehmen haben ihre Aufgabe erkannt, die Security Awareness ihrer Mitarbeiter zu erhöhen. Doch noch immer werden potenzielle Bedrohungen oft nicht als solche erkannt. Warum tun Unternehmen scheinbar so wenig?
Grundsätzlich unterschätzen Unternehmen allem Anschein nach noch immer die Wichtigkeit von Cybersecurity-Trainings und vergleichbaren Maßnahmen. Oder aber sie messen ihnen nicht die Priorität bei, die dem Tempo, in dem sich die Angriffe verändern, verbessern und weiterentwickeln, entspricht. Schon längst reicht es nicht mehr aus zu wissen, dass Phishing-Mails oft Grammatik- oder Logikfehler enthalten. Sowohl Inhalt als auch Aussehen solcher Fake-Nachrichten werden legitimen E-Mails immer ähnlicher: Sie sind nur noch schwer anhand eindeutiger Merkmale erkennbar. Ich denke, wir sind nicht allzu weit von dem Punkt entfernt, an dem sich Phishing-Mails überhaupt nicht mehr von ihren legitimen Gegenstücken unterscheiden. Zudem beobachten wir mehr und mehr Vishing-Angriffe, also Phishing per Anruf über VoIP. Zwar bleibt es glücklicherweise recht schwierig, einen tatsächlichen Anruf durch den CEO in Echtzeit vorzutäuschen. Den Anruf vorher aus Versatzstücken von YouTube-Videos zusammenzuschneiden und dann nur noch abzuspielen, um den Mitarbeiter beispielsweise zu Überweisungen auf fragwürdige Konten aufzufordern, ist für die Angreifer hingegen verhältnismäßig einfach.
Das bringt uns zu Deepfakes und Gesichtserkennungssystemen. Werden sie die Entwicklung zukünftiger Angriffe beeinflussen?
Mit Sicherheit. Bereits jetzt gibt es Deepfakes – besonders Videos –, die sich kaum noch von echten Aufnahmen unterscheiden lassen. Allerdings sind Deepfakes noch nicht überzeugend genug für die tatsächliche, zwischenmenschliche Kommunikation in Echtzeit, zum Beispiel bei einem Fake-Anruf. Wesentlich einfacher ist es da für Kriminelle, potenzielle Opfer mit Phishing-Mails mit statischem Text und Bildern zu täuschen. Nichtsdestotrotz können Deepfakes natürlich schon heute großen Schaden für die Reputation eines Unternehmens anrichten, wenn sie beispielsweise als Videos über soziale Netzwerke verteilt werden.
Angriffe mit Deepfake-Videos gibt es bisher als noch nicht?
Zum jetzigen Zeitpunkt ist mir nur ein Fall aus Frankreich bekannt, bei dem eine Gruppe Krimineller sich mithilfe von Silikonmasken als der französische Verteidigungsminister ausgegeben hatten. Per Video-Anruf baten sie vermögende Einzelpersonen und Organisationen um finanzielle Unterstützung für eine angebliche Aktion der französischen Regierung. Zwar handelte es sich hierbei nicht um einen „klassischen“ computergenerierten Deepfake – eher eine Art Mini-Theaterstück – aber es scheint sich eine Entwicklung abzuzeichnen, die wir im Auge behalten müssen.
Welche Schwierigkeiten ergeben sich bei der Schulung von Mitarbeitern zu dieser Art von Angriffen?
Bei meiner Arbeit als IT-Consultant vor einigen Jahren fiel mir auf, dass viele Unternehmen, die Cybersecurity allein im Zuständigkeitsbereich der IT-Abteilung sehen. IT-Mitarbeiter haben zwar das nötige IT-Know-how zu Phishing, starken Passwörtern und Verschlüsselungslösungen – ihnen fehlt es aber zum Beispiel an didaktischer Erfahrung, um dieses Wissen auch interessant, verständlich und einprägsam zu vermitteln.
Sollten hier also zum Beispiel Psychologen mit ins Boot geholt werden?
Auf jeden Fall. Oder jemand mit einem Hintergrund in Erwachsenenbildung oder schlicht jemand, der weiß, welche Methoden Menschen helfen, sich an Fakten zu erinnern und ihr Verhalten zu ändern. Heute ist es einfacher denn je, genau auf die Unternehmensbedürfnisse angepasste Trainings entweder einzukaufen oder – durch die Zusammenarbeit von IT- und HR-Abteilung – inhouse zu entwickeln. Letzteres ist vor allem für größere Unternehmen oft eine sinnvolle Investition. Wie auch immer es letztlich umgesetzt wird: Ziel muss es sein, jemanden zu finden, der die Mitarbeiter förmlich mitreißt: Also Informationen nachvollziehbar und interessant darstellen kann. In diesem Zusammenhang erhält auch das Stichwort Gamification immer mehr Aufmerksamkeit.
Aber ist in den KMU nicht schon längst angekommen, dass Mitarbeiterschulungen zu IT-Security unabdingbar sind?
Doch, ist es. Die meisten kleinen und mittelständischen Unternehmen schulen ihre Mitarbeiter bereits regelmäßig – zum Beispiel mithilfe von Online-Plattformen. Meiner Meinung nach reicht das aber nicht aus, um tatsächlich eine Kultur der Security Awareness im Unternehmen zu etablieren. Die Angestellten werden vielleicht einmal im Jahr vor ein solches Training gesetzt. Sie lernen etwas, geben es vielleicht sogar in einer Art „Abschlussprüfung“ erfolgreich wieder – und vergessen danach wieder fast alles, was sie gelernt haben. Am Ende verhalten sie sich im Arbeitsalltag genauso wie vorher.
Sollten die Trainings also öfter stattfinden?
Meiner Meinung nach so oft wie möglich. Ich denke, es macht mehr Sinn, das Material in kleinere Informationspakete aufzuteilen, die sich dann leichter merken lassen. Mithilfe von 10-minütigen Videos zum Beispiel lassen sich ein zentraler Sachverhalt oder vier wichtige Änderungen einer neuen Richtlinie schnell und interessant vermitteln. Geben Sie den Mitarbeitern diese regelmäßig mit, erinnert sie das zudem daran, aufmerksam zu bleiben. Wurde ein tatsächlicher Angriffsversuch auf das Unternehmen beobachtet, können Sie dies als Aufhänger für weitere kurze Erklär-Videos nutzen und erläutern, was die Methode und das Ziel dieses Angriffs gewesen sein könnten.
Angenommen, ich möchte ein Unternehmen aufbauen, das von vornherein gut gegen Angriffe geschützt ist. Was sollte jeder Mitarbeiter wissen?
Zuallererst ist es wichtig, dass jeder weiß, welche Ansprüche das Unternehmen an seine Mitarbeiter hat. Wie sollen sie mit der bereitgestellten Technologie arbeiten und was passiert im Fall von Verlust oder Zerstörung der Geräte? Diese Fragen sollten idealerweise geklärt sein, bevor etwas passiert, möglichst bereits am ersten Tag der Anstellung. Auch einige grundlegende Security-Themen sollten besprochen werden: Wie erstelle ich ein starkes Passwort, was ist und wie verwende ich die Zwei-Faktor-Authentifizierung und – nicht zu vergessen – wie erkenne ich Fake-Websites und Phishing-Mails. Zudem müssen Mitarbeiter wissen, an wen sie sich im Verdachtsfall wenden sollen, wie sie Software und Cloud-Dienste sicher nutzen, wie sie sich verhalten, wenn sie verdächtige Personen in den Unternehmensräumlichkeiten beobachten und wie sie Security-Dienste, zum Beispiel zur Verwaltung von Passwörtern, verwenden.
Viele Unternehmen stellen ihren Mitarbeitern Smartphones oder Tablets zur Verfügung. Schon bei der Übergabe der Geräte sollte ihnen klargemacht werden, welche Sicherheitsmaßnahmen beim Download von Software zu beachten sind. Wir beobachten immer mehr Malware im Bereich der mobilen Apps – entsprechend wichtig ist es, dass die Mitarbeiter genau prüfen, ob die Quelle der Software vertrauenswürdig ist. Ähnliches gilt für Software, die an mobilen Arbeitsplätzen oder im Home-Office installiert wird. Auch hier sollten die Mitarbeiter wieder wissen, an wen sie sich wenden können, falls doch einmal etwas passiert. Ein guter Aufhänger für eine Mitarbeiterschulung ist immer, wenn gerade irgendwo in der Welt eine bestimmte Form von Angriffen beobachtet wird. Letztes Jahr zum Beispiel beobachteten wir Fake-Anrufe durch angebliche Microsoft-Mitarbeiter. Das nahmen wir zum Anlass, unseren Mitarbeitern zu verdeutlichen, anhand welcher Hinweise Fake-Anrufe entlarvt werden können. Und warum die Kriminellen sich überhaupt dieser Art von Angriff bedienen.
Warum sollte die Führungsebene vermeiden, Mitarbeiter mit persönlichen Konsequenzen zu drohen, sollte ihretwegen ein Cyberangriff auf das Unternehmen erfolgreich sein?
Weil die Mitarbeiter schon nach fünf Minuten nicht mehr zuhören. Das einzige, was sie sich merken, ist, dass sie stets Gefahr laufen, entlassen zu werden oder strafrechtliche Konsequenzen befürchten zu müssen. Eine solche Ausgangslage führt nur dazu, dass die Mitarbeiter von vornherein davon ausgehen, über kurz oder lang diesen einen fatalen Fehler zu machen – und von Beginn an jede Vorsicht aufgeben. Positive Kommunikation ist daher die sinnvollere Herangehensweise. Erläutern Sie, welche typischen Gefahren es gibt und zeigen Sie, wie sie sich vermeiden lassen: am Arbeitsplatz vor Ort wie im Home-Office. Besonders bei letztgenannten hilft es, dass Mitarbeiter auch ein persönliches Interesse daran haben, nicht nur sich selbst, sondern auch die eigene Familie vor Cyberangriffen zu schützen.
Hilft es, Inhalte spielerisch zu vermitteln oder in Quizform abzufragen?
Wird Gamification durchdacht eingesetzt, ist es ein sehr starkes Werkzeug. Soll beispielsweise Phishing per Spiel erklärt werden, ist es sinnvoller, wenn es nicht das Ziel ist, so viele Mitarbeiter wie möglich mit der Phishing-Mail hereinzulegen. Vielmehr sollte Sinn des Spiels sein, dass so viele Mitarbeiter wie möglich die Fake-Mail erkennen. Das geht natürlich nur, wenn sie nicht zu schwer zu erkennen ist. Das Wissen, etwas richtig gemacht zu haben, motiviert die Mitarbeiter, auch im Arbeitsalltag aufmerksam zu sein.
Ein weiteres Beispiel für eine sinnvolle Anwendung von Gamification im Cybersecurity-Training wäre eine interaktive Geschichte mit Comic-Figuren. In kleinen Sequenzen begibt sich der Held auf verschiedene Missionen und der Mitarbeiter erhält Punkte für das Erreichen bestimmter Lernziele. Besonders erfolgreiche Mitarbeiter erhalten dann eine kleine Belohnung.
Lässt sich so nachhaltig Security Awareness im Unternehmen erreichen?
Wir haben verschiedene kleine Schritte und Maßnahmen aufgezählt, mit denen sie sich stückchenweise aufbauen lässt. Jeder im Unternehmen sollte über grundlegende Security-Fragen Bescheid wissen – vom Sachbearbeiter bis zur obersten Management-Ebene. Ziel ist, dass die Sicherheit und letztlich das Unternehmen selbst von jedem Einzelnen mitgetragen wird. Wenn jeder Mitarbeiter Sinn und Zweck der Unternehmenssicherheit verinnerlicht hat und aufmerksam für das bleibt, das um ihn herum geschieht, erhöht das auf jeden Fall die Resilienz des gesamten Unternehmens.
