Mit folgenden fünf Aussagen setzen wir uns kritisch auseinander:
- These #1: «Unser CISO/IT-Sicherheitsbeauftragter verhindert Angriffe und ist für die Cyber-Sicherheit verantwortlich»
- These #2: «Die neueste technische Sicherheitslösung mit künstlicher Intelligenz schützt uns vor Cyber-Angriffen»
- These #3: «Security-Awareness-Trainings bringen nichts, unsere Mitarbeitenden klicken sowieso»
- These #4: «Unser Unternehmen ist nicht interessant für Cyber-Angriffe»
- These #5: «Datenschutz-Anforderungen verzögern unsere Digitalisierungsprojekte»
Im zweiten Teil der Serie werden die Thesen #3 und #4 näher beleuchtet.
These #3: «Security-Awareness-Trainings bringen nichts, unsere Mitarbeitenden klicken sowieso.»
Die meisten Cyber-Angriffe nutzen Mitarbeitende mittels Phishing oder Social-Engineering als «Eintrittstor», um sich nach einer initialen Kompromittierung eines PC-Arbeitsplatzes intern im Unternehmen weiter auszubreiten. Security-Awareness-Trainings sollen Mitarbeitende im sicheren Umgang mit Informatikmitteln sensibilisieren. Der international renommierte Sicherheitsexperte Bruce Schneier vertritt in einem seiner Blog-Beiträge jedoch den Standpunkt, dass solche Awareness-Trainings Geld-Verschwendung seien.
Wir sind der Meinung, dass Awareness-Trainings wichtig sind und einen Nutzen bringen, wenn man sie richtig einsetzt. Awareness-Kampagnen sollen nicht zu “Alibi-Übungen” verkommen, welche jährlich “durchgeklickt” werden müssen oder bei denen Mitarbeitende sich jährlich «beübt» fühlen. Ziel ist der Aufbau einer Sicherheitskultur mittels für die Betroffenen attraktiven Methoden, welche auf die jeweiligen Zielgruppen (z.B. alle Mitarbeitenden, das Management, die System-Administratoren) und deren Informationsbedarf zugeschnitten sind. Mit beispielsweise Live-Hacking-Vorführungen, «attack simulation» (Simulation von realen Cyber-Angriffen), Präsentationen von Persönlichkeiten aus der Branche, Phishing-Checks oder auch interaktiven E-Learnings lassen sich für alle Anspruchsgruppen spannende und attraktive Awareness-Kampagnen aufbauen. Awareness-Massnahmen sollen aufeinander aufbauend und regelmässig wiederkehrend sein sowie ein Element zur Wiedererkennung (Logo, Maskottchen o.ä.) beinhalten.
Awareness-Trainings sind jedoch nur ein Aspekt für den Aufbau einer Sicherheitskultur. Das Vorleben der entsprechenden Werte durch das Management und Schlüsselpersonen ist noch wichtiger. Deshalb muss vor der Durchführung einer Awareness-Kampagne das Management miteinbezogen werden. Dazu können je nach Sensibilisierung auf dieser Stufe mehrere Anläufe notwendig sein. Die folgende Grafik zeigt ein mögliches Vorgehen für die Planung und Durchführung einer Kampagne:
Die Messbarkeit des Nutzens von Awareness-Kampagnen ist ein heiss diskutiertes Thema. Mit der durchschnittlich erreichten Punktzahl bei einem Quiz oder der Klickrate bei einer Phishing-Simulation könnte der Nutzen gemessen werden. Dafür gibt es auch spezialisierte Tools und Dienstleister, welche beispielsweise einen anonymisierten Branchen-Vergleich anbieten. Gemäss unserer Erfahrung sind solche «Messungen» jedoch mit Vorsicht zu geniessen. Die Klickrate in einer Phishing-Simulation hängt in der Praxis primär davon ab wie massgeschneidert die Inhalte der Phishing E-Mails vorbereitet wurden und wie glaubwürdig die darin enthaltene «Geschichte» zum Unternehmen passt.
These #4: «Unser Unternehmen ist nicht interessant für Cyber-Angriffe.»
Heutzutage ist es keine Frage, ob man von einem Cyber-Vorfall betroffen sein wird, sondern wann und wie gut man darauf vorbereitet ist. Für eine Erpressung im Rahmen eines Ransomware-Angriffes ist jedes nicht angemessen geschützte Unternehmen ein interessantes Ziel für Cyber-Kriminelle. Das Nationale Zentrum für Cybersicherheit (NCSC) kategorisiert die Täter und Angriffsmethoden wie folgt:
Bis und mit der zweiten Stufe der Pyramide (opportunistische Angriffe durch Cyberkriminelle Organisationen) kann jedes Unternehmen von einem Cyber-Vorfall betroffen sein. Zwei häufige Angriffe sind:
- Ausnutzung von bekannten Sicherheitslücken von Software, die im Internet eingesetzt wird.
- E-Mails, bei denen versucht wird, Mitarbeitende dazu zu verleiten auf einen schadhaften Link oder Anhang zu klicken und dadurch eine Malware (z.B. Ransomware) auszuführen.
Diese Angriffe erfolgen häufig opportunistisch und ohne direkten Bezug zum Unternehmen. Die Bedrohungslage in der Schweiz nimmt gemäss der Statistik des NCSC zu. Das NCSC spricht von einer Verdoppelung im letzten Jahr.
Das Paradigma “assume breach” bringt eine aus unserer Sicht heutzutage richtige Haltung auf den Punkt. Gehen Sie davon aus, dass Sie einen Sicherheitsvorfall haben werden. Sind Sie bei allen fünf Aspekten des NIST Cybersecurity Frameworks (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen) angemessen vorbereitet?
Was ist Ihre Meinung zu den Thesen? Ich bin gespannt auf Ihre Kommentare auf LinkedIn oder bei einem persönlichen Austausch. Sind Sie an interessanten Projekten im Bereich Informationssicherheit in einem selbstorganisierten Unternehmen interessiert? Dann prüfen Sie unsere offenen Stellen.
Was wir über die Thesen #1 und #2 denken, lesen Sie im ersten Teil der Blogserie zu Cyber-Sicherheit.