svetazi - stock.adobe.com
Risikoanalyse: Den Faktor Mensch absichern
Mitarbeiter gehören zu den größten Gefahrenquellen für Organisationen. Ansätze, die auf der Analyse des Nutzerverhaltens aufbauen, können die Sicherheit verbessern.
Wir ahnten es schon immer: Menschen sind in vielen Unternehmen der größte Unsicherheitsfaktor. Mitarbeiter greifen beispielsweise pro Woche auf rund 59 riskante URLs zu. Das sind 8,5 pro Tag, also im Schnitt gut einmal pro Stunde an einem achtstündigen Arbeitstag. Damit sind sie gefühlt genauso gefährlich für ein Unternehmen wie ein externer Cyberkrimineller.
Sieht man sich das Gesamtbild der Cybersicherheit im Pandemiejahr 2020 an, so wird klar, dass es eines neuen Ansatzes bedarf, um mehr Sicherheit zu gewährleisten. Und es wird immer klarer, dass dieser Ansatz am Kern des Problems ansetzen muss: dem Mitarbeiter.
Cyberkriminelle setzen zunehmend auf den Faktor Mensch
Neuere Umfragen zeichnen ein düstereres Bild: Fachleute sind sich weltweit einig, dass Cyberangriffe während der COVID-19-Pandemie zugenommen haben. Mitarbeiter fühlen sich zuhause entspannter, was Sicherheitsfragen betrifft und halten sich weniger an das Sicherheitsprotokoll.
Auch das Internet of Things (IoT) wird als Angriffsvektor immer gefährlicher, und das unterstreicht erneut die Gefahren, die von den praktischen Consumer-Geräten Zuhause ausgehen, die sich in Zeiten des Home-Office im selben Netzwerk wie der Firmen-Notebook befinden. Versetzt man sich in die Position eines Cyberkriminellen, so versteht man, warum diese zunehmend auf den Menschen als schwächstes Glied in der Abwehrkette eines Unternehmens setzen.
Die neuen Zahlen der häufigsten Angriffe untermauern diese Theorie: Phishing und Whaling waren wenig überraschend seit Beginn der Pandemie die häufigsten Angriffsarten. Cyberkriminelle verfeinern Social-Engineering-Attacken seit Jahren. Während der Pandemie nutzten die Angreifer gezielt die Ängste der Menschen aus, indem sie Phishing-E-Mails mit relevanten Themen erstellten. Statt Testkits, billiger Schutzausrüstung oder Informationen über Impfstoffe holten sich viele Betroffene leider Malware auf den Rechner.
Auch Unternehmen sind im Visier
Doch die Kriminellen beschränken sich längst nicht nur auf Privatanwender. Auch Geschäftsanwender sind immer häufiger im Visier, um über sie Rechnungs- und Zahlungsbetrug zu begehen. Zwischen April und Mai 2020 verdoppelten sich die Angriffe dieser Art, die BEC (Business E-Mail Compromise) genannt wird.
In einem bemerkenswerten Beispiel gab sich ein Angreifer als Verkäufer aus und verwickelte Mitarbeiter methodisch in ein typisches BEC-Betrugsschema: Er überredet sie dazu, ihre Bankdaten zu ändern und eine Zahlung von 700.000 US-Dollar auf das Konto des Angreifers umzuleiten. Der Assekuranzkonzern AIG nennt BECs als den Hauptgrund, warum Unternehmen mit Cyberversicherung einen Versicherungsfall geltend machen.
Den Risikofaktor Mensch analysieren
Mitarbeiter benötigen eine Ausgewogenheit, wenn es um die Einhaltung von Sicherheitsvorschriften geht. Sind die Anforderungen zu komplex oder ändern sich zu schnell, so greifen Menschen gern zu eigenwilligen Methoden, um ihre Arbeit zu erledigen – und umgehen dabei Sicherheitsprotokolle.
Und die Arbeit aus dem Home-Office entzieht die Mitarbeiter zu einem gewissen Grad von der Kontrolle einer Organisation. Es erhöht zugleich die Verantwortung der einzelnen Mitarbeiter, die nun selbst entscheiden, mit welchem Netzwerk sie sich verbinden oder wer Zugang zu ihren Geräten hat.
„Ansätze, die eine menschliche Risikoanalyse beinhalten, versprechen ein Gleichgewicht zwischen der dem Wunsch der Benutzer nach Flexibilität und der Verpflichtung des Unternehmens zu Kontrolle zu schaffen.“
Filip Truta, Bitdefender
Eine Verschärfung der Sicherheitskontrollen und Einschränkungen für die einzelnen Endpunkte mag unter den gegebenen Umständen nach einer guten Option klingen. Doch dies hat wieder negative Auswirkungen auf die Produktivität der Mitarbeiter.
Um dieses Problem zu lösen, haben Security-Anbieter einen Weg gefunden, Risikodaten des Benutzerverhaltens zu analysieren und menschliches Fehlverhalten schnell und effizient zu entlarven.
Das richtige Verhältnis zwischen Flexibilität und Kontrolle
Ansätze, die eine menschliche Risikoanalyse beinhalten, versprechen ein Gleichgewicht zwischen der dem Wunsch der Benutzer nach Flexibilität und der Verpflichtung des Unternehmens zu Kontrolle zu schaffen. Eine Risikoanalyse bietet Sicherheitsanalysten individuelle Risikoprofile. Dadurch können IT-Administratoren mit chirurgischer Präzision handeln, Sicherheitskontrollen erhöhen, wann und wo sie benötigt werden, und Schulungen für Mitarbeiter durchführen, die ein besseres Verständnis der Unternehmenssicherheit benötigen.
Ausgestattet mit einer effektiven Risikoanalyse können IT-Administratoren beispielsweise rechtzeitig gewarnt werden, wenn Mitarbeiter in einem bestimmten Zeitrahmen auf eine zu viele riskante Websites zugreifen oder dort mit Malware infiziert werden. Das gleiche gilt, wenn ein Mitarbeiter regelmäßig vergisst, seine Zugangsberechtigungen zu erneuern, oder es versäumt, die vorgegebenen Cybersicherheitspraktiken umzusetzen. Gepaart mit Automatisierung können Maßnahmen zur Schadensbegrenzung sogar selbstständig in Kraft treten.
Fazit: Mit neuen Ansätzen die Sicherheit verbessern
Um die Sicherheit zu verbessern, sind neue Sicherheitsansätze gefragt, die auf der Analyse des Nutzerverhaltens aufbauen. Im Home-Office-Jahr 2020 rücken die Mitarbeiter von Organisationen als größte Gefahrenquelle in den Fokus.
Über den Autor:
Filip Truta ist Information Security Analyst bei Bitdefender.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
