Aktueller Channel Fokus:

IT-Security

Channel Fokus: IT-Security

Der Mensch als Schwachstelle

| Autor: Dr. Andreas Bergler

Menschliche Fehler werden von Hackern immer systematischer ausgenutzt.
Menschliche Fehler werden von Hackern immer systematischer ausgenutzt. (Bild: Alexander Pokusay_adobe.stock.com)

Angesichts zunehmend sichererer IT-Systeme weichen Hacker vermehrt auf eine empfind­liche Schwachstelle aus: den Menschen. Um die Sicherheit beim Kunden zu erhöhen, muss der Channel die IT-Security mit diesem kritischen Angriffsziel in Einklang bringen.

Unendlich sind zwei Dinge, hat Albert Einstein einmal bemerkt: das Universum und die menschliche Dummheit. Aber er hat hinzugefügt: „Bei dem Universum bin ich mir noch nicht ganz sicher.“ Sicher ist, dass Menschen Fehler machen, und zwar immer wieder, auch wenn sie sie gar nicht machen wollten oder deren Folgen unbedingt vermeiden wollten. Insofern sind natürlich auch Menschen eine leichte Beute für Cyberkriminelle, wenn sie es auf Insider-Informationen abgesehen haben oder das Unternehmen auch „nur“ erpressen wollen, etwa mit einem Angriff via Ransomware. Das sogenannte „Social ­Engineering“ tritt heute in unterschiedlichsten Facetten auf. Sie reichen von einfachen Phishing-Mails über das Ausstreuen von infizierten USB-Sticks vor dem Firmengelände bis hin zum Ausnutzen eines systematisch aufgebauten Vertrauensverhältnisses gegenüber einzelnen Mitarbeitern, etwa durch gefakte Social-Media-Profile. Der Schaden, den Angriffe mittels Social Engineering erzeugen, lässt sich nicht leicht beziffern, weil diese Methode oft nur eine Komponente eines umfassenderen Angriffs darstellt. Der Branchenverband Bitkom schätzt aber, dass es weit über 50 Milliarden Euro jährlich sein dürften, die bei den geschädigten Unternehmen allein in Deutschland negativ zu Buche schlagen.

Schäden vor allem für kleine Unternehmen

Tendenz steigend: Denn angesichts immer besserer und effizienterer technischer Sicherheitsvorkehrungen in den Unternehmen liegt es für Angreifer nahe, sich auf die „weichen“ Ziele wie die Menschen zu konzentrieren. Der auf Sicherheit spezialisierte Dienstleister NTT Security stellt Phishing-Mails, vor allem in Form von Spear Phishing, also gezielten Angriffen auf ausgesuchte Personen per Mail, ganz oben auf die Liste der beliebtesten Angriffsarten. Als die häufigsten Zielobjekte gelten nicht die Personen, die sowieso im Rampenlicht stehen, wie etwa Geschäftsführer oder Vorstände, sondern Personen, die prinzipiell Zugang zu wichtigen Unternehmensinformationen besitzen könnten. Laut der KPMG-Studie „e-Crime in der deutschen Wirtschaft 2019“ sind vor allem kleine und mittlere Unternehmen, zu denen die klassischen Familienunternehmen zählen, anfällig für Attacken, weil sie die Gefahren von Cyberkriminalität noch immer unterschätzen. Insbesondere Unachtsamkeit, unzureichende Schulungen und ein mangelndes Risikoverständnis begünstigen E-Crime, so die Studienautoren.

IT-SECURITY Management & Technology Conference

Was die Angreifer können, sollte den Verteidigern aber auch nicht schwerfallen: Die vorhandenen Kräfte und Mittel effizient einsetzen und dabei möglichst viel erreichen – Stichwort Pareto-Prinzip. KPMG empfiehlt deshalb, den Faktor Mensch zu einem wesentlichen Bestandteil der Gefahrenabwehr zu machen. Dies könne man auch mit einem vergleichsweise kleinen Budget erreichen. So drängen zur Zeit vermehrt Anbieter auf den Markt, die die Security-Awareness bei den Mitarbeitern – zumindest teilweise – messbar machen, um sie damit in technische und automatisierbare Lösungen zu überführen, oder auch Anbieter, die entsprechende Awareness-Maßnahmen in ihr Produktportfolio integrieren. Abgesehen vom bereits bestehenden Angebot liegt es am Fachhandel, die Belegschaft der Kunden nicht nur mit den eingesetzten Security-Lösungen vertraut zu machen und ihnen einen effizienten Umgang zu zeigen, sondern auch Verhaltensweisen aufzuzeigen, die das Gefahrenpotenzial im Unternehmen von vornherein verringern.

Umdenken gefordert

Das schließt einen Wechsel im gesamten Security-Ansatz eines Unternehmens ein, weg vom Reiz-Reaktions-Schema hin zu einem vorbeugenden, wenn man so will, proaktiven Denken. Den Security-Verantwortlichen wird in diesem Zusammenhang empfohlen, sich dafür von einer ­Fixierung auf die Angriffe zu lösen und stattdessen möglichst viele riskante Prozesse zu isolieren und zu virtualisieren. Ohne hier eine Rückkehr der Perimeter-Security heraufzubeschwören, ist doch klar, dass Zonen mit unterschiedlichem Schutzbedarf eingerichtet werden sollten, beispielsweise durch eine Trennung zwischen Intranet und Internet, um die ­potenzielle Angriffsfläche so weit wie möglich zu verringern.

Die Segmentierung kann dabei bis zur ­sogenannten Micro-Virtualisierungen reichen, die unterschiedliche Aktivitäten der Anwender virtualisieren, um sie vom Alltagsgeschäft im Netzwerk zu trennen. Ergänzend hierzu lassen sich Microservices einrichten, mit deren Hilfe zum Beispiel einzelne Teile einer Security-Lösung an unterschiedlichen Stellen – On Premises oder in der Cloud – besonders abgesichert hinterlegt werden können.

Die neue Rolle der Cloud

Dabei wird die Cloud eine immer wichtigere Rolle spielen – sowohl auf der Seite der Angreifer als auch auf der der Verteidiger. Cyberkriminelle konsolidieren ­derzeit mehrere Hacking- und Malware-Dienste, um sie zu einer Art „Partnernetzwerk innerhalb der Underground-Foren“ aufzubauen, bemerkt der Security-Spezialist Digital Shadows, der für sein „Digital Risk Protection“-Angebot immer wieder das Dark Web durchsucht. „Ob sich dieses Servicemodell in der Community durchsetzen wird, bleibt abzuwarten“, meint das Unternehmen, aber Cybercrime as a Service hat sich definitiv auf der dunklen Seite etabliert.

Auf der anderen Seite jedoch kommen auch die ­Security-Anbieter nicht mehr ohne Cloud-Funktionalitäten aus: Ohne die Aggregierung von Millionen Alerts angegriffener Unternehmen in den Security-Networks der Anbieter oder ohne die ­Verarbeitung der Informationen aus Web-Honeypots lässt sich kein sinnvoller Security-Service mehr betreiben.

Ergänzendes zum Thema
 
Wachstum ohne Ende
 
Statement von Bernd Fuhlert, Geschäftsführer @-yet
 
Statement von Christof Raber, Digital Transformation Coach bei Koramis
 
Statement von Jan Binding, Geschäftsführer von Datarecovery/ Bindig Media

Und weil kein Mensch allein mehr die weltweit gesammelten Security-Informationen überblicken, geschweige denn zu einer wirksamen Gegenmaßnahme verarbeiten kann, wird der Gebrauch neuer, unterstützender Technologien wie Künstliche Intelligenz (KI) oder Machine Learning (ML) bald zum entscheidenden Wettbewerbsfaktor. „KI-Methoden werden heute vermehrt auf Seiten der Angreifer eingesetzt. Schon deshalb müssen wir uns damit auseinandersetzen“, bemerkt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im Eco Verband. Und Verbands-Vorstand Prof. Norbert Pohlmann fügt hinzu: „Cybersicherheitssysteme, die KI berücksichtigen, werden in der Zukunft helfen, deutlich besser die intelligenten Hacker und deren Angriffe zu entdecken.“ Laut einer Umfrage des Marktforschungsinstituts YouGov unter 541 Unternehmensentscheidern denken 59 Prozent der Befragten, dass KI-Systeme die Abwehr von Cyberangriffen in ­einigen Jahren weitestgehend autonom übernehmen werden.

Ist- und Soll-Zustand der IT-Security

Bis KI und ML als Wächter der Unternehmenssicherheit in breiter Fläche zum Einsatz kommen, wird es allerdings noch dauern. Zwar werden die Angriffe auf ­Unternehmen immer häufiger und schädlicher, aber selbst der Druck des Gesetzgebers durch strenge Compliance-Richtlinien hat bisher noch nicht so recht gezündet. Der Studie „Championing Data Protection and Privacy – a Source of Competitive Advantage in the Digital Century” von Capgemini zufolge setzen Unternehmen die Datenschutzgrundverordnung (DSGVO) erheblich langsamer um, als bislang angenommen. So gibt zurzeit lediglich ein Drittel aller deutschen Firmen an, vollständig DSGVO-konform zu sein.

Als Hindernisse für eine vollständige Konformität nennen die Befragten unter anderem Schwierigkeiten bei der Anpassung bestehender IT-Systeme (38 %) und die Komplexität der Regulierungsanforderungen (36 %). Diejenigen, die mit der DSGVO konform gehen, sind entsprechend auch mit Sicherheit vorne dran. 84 Prozent von ihnen nutzen Cloud-Plattformen für ihre Datenschutzstrategie, während dies nur 73 Prozent der übrigen Unternehmen tun, so die Analysten. Auch bei der Datenverschlüsselung und der Robotic Process ­Automation ergibt sich das gleiche Bild (70 % zu 55 %, bzw. 35 % zu 27 %).

Bleibt schließlich die Frage, ob das zögerlich wachsende Sicherheitsbewusstsein in den Unternehmen mit der überaus stark wachsenden Bedrohungslage noch Schritt halten kann. Auch hier wäre ein vorausschauendes Denken hilfreich. Eine Investition in ein höheres Schutzlevel und neue Security-Technologien würde sich insbesondere in deutschen Unternehmen lohnen. Denn laut dem IT-Spezialversicherer Hixcox sind die durchschnittlichen Kosten eines Cybervorfalles für die geschädigten Unternehmen über 60 Prozent im Vergleich zum Vorjahr gestiegen. Ein Cyberangriff trifft deutsche Unternehmen durchschnittlich doppelt so hart wie die Firmen aller anderen ­untersuchten Länder. Laut dem „Hiscox Cyber Readiness Report 2019“ betrug der durchschnittliche Gesamtschaden aus Cyberattacken hierzulande im vergangenen Jahr rund 824.000 Euro.

Das lässt sich vermeiden mit Unterstützung der menschlichen durch Künstliche Intelligenz. Die unendliche menschliche Dummheit könnte durch eine unendliche Künstliche Intelligenz neutralisiert werden. Das setzt den „Point of no return“ voraus, an dem die KI den Menschen ­kognitiv übertroffen hat. Aber vielleicht ist das nur ein dummer Gedanke…

Zukunftstechnologie kämpft um Vertrauen

Welchen Technologien Unternehmen heute selbst noch nicht vollständig vertrauen

Zukunftstechnologie kämpft um Vertrauen

20.09.19 - IoT, Robotics, KI, Automation: Unternehmen weltweit können schon heute relativ genau benennen, welche Zukunftstechnologien für ihr Geschäft wichtig werden oder es heute schon sind. Gleichzeitig haben sie aber selbst noch kein ausreichendes Vertrauen in die Sicherheit dieser Technologien. Eine Untersuchung von PwC deckt diese Diskrepanz jetzt auf. lesen

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46125315 / IT-Security)