Schaut man sich die Statistiken an, ist der „Faktor Mensch“ das vermeintlich schwächste Glied in der Sicherheitskette der meisten Cyberangriffe. Insbesondere Social Engineering zielt auf menschliche Schwächen ab: Unter Vorspiegelung falscher Tatsachen werden Mitarbeitende zu schwerwiegenden Fehlern verleitet und geben unter psychischem Druck Passwörter preis oder leiten sensible Informationen weiter.
Laut der Bitkom-Studie „Wirtschaftsschutz 2022“ berichten 48 Prozent der befragten Unternehmen, dass es Versuche gab, Mitarbeitende mittels Social Engineering zu beeinflussen. Die Mehrheit dieser Versuche erfolgte am Telefon und via E-Mail. Wie können Unternehmen reagieren?
Eine Aussage, die ich oft zu hören bekomme, lautet: „Was man auch macht, der Mensch bleibt immer angreifbar und somit kann ein funktionierender Schutz letztlich nur mit technischen Lösungen umgesetzt werden.“ Diese Haltung ist nicht nur falsch, sondern schlichtweg fahrlässig. Erstens wissen und akzeptieren wir, dass auch technische Lösungen Sicherheitslücken nicht zu 100 Prozent schließen. Zweitens bleiben Unternehmen – jedenfalls so lange Menschen dort arbeiten – auch immer über den Menschen angreifbar. Daher wäre es unverantwortlich, einfach zu resignieren und weiterhin im Wesentlichen nur in technischen Schutz zu investieren.
Neue Technologien machen Angreifende schneller und besser
Angriffe auf Unternehmen finden in den letzten Jahren vermehrt über Online-Kanäle statt – dieser Trend hat sich auch 2022 fortgesetzt. Ohne direkte persönliche Begegnungen und ohne die Konsequenzen des eigenen Handelns unmittelbar vor Augen zu haben, bietet die digitale Sphäre den idealen Raum für Social- Engineering-Angriffe. Angreifende nutzen zudem neue Tools wie ChatGPT und entwerfen so immer bessere Phishing-E-Mails oder Skripte für Telefonanrufe.
Damit wird die Frage immer drängender: Wie können Unternehmen verhindern, dass das Einfallstor Mensch für Cyberangriffe so weit offensteht?
Abgesehen von weit verbreiteten und relativ kostengünstigen E-Mail-Kampagnen zur Phishing-Prävention oder Pflichtveranstaltungen, in denen Mitarbeitende online oder im Frontalunterrichtsformat geschult werden, tut sich in den meisten Organisationen zu wenig.
0815-Maßnahmen reichen nicht gegen Psycho-Tricks
Beispiele dafür gibt es zahlreiche. So erlässt die IT-Sicherheit oft Regeln, an die sich viele Mitarbeitende nicht halten, weil sie sich beispielsweise nicht gut mit ihren Aufgaben vereinbaren lassen. Es kommt zu Zielkonflikten. Solche Regeln dienen dann nur dazu, gegebenenfalls mit dem Finger auf bestimmte Mitarbeitende zeigen zu können. Das Unternehmen schützen sie nicht. Es gibt zu wenig Forschung, wie Regeln und Anreizsysteme gestaltet werden müssten, damit Zielkonflikte minimiert werden und nahezu alle Mitarbeitenden sie auch umsetzen. Es gilt das Prinzip „trial and error“ und oftmals bleibt es leider beim „error“.
Dasselbe gilt für Schulungen und Awareness-Kampagnen: Es gibt zu wenig systematisch durchgeführte Studien, die untersuchen, mit welchen Ansätzen sich die besten Lerneffekte für die IT-Sicherheit erzielen lassen. Derartige Studien müssten auf verschiedene Verantwortungsbereiche der Mitarbeitenden zugeschnitten sein und Fortbildungskosten im Verhältnis zum Lerneffekt und Schadenspotenzialen betrachten.
Ein weiterer Punkt ist die Vorbereitung von Mitarbeitenden auf Cybersicherheitsvorfälle, zum Beispiel anhand von Planspielen – auch dies findet selten systematisch statt. Im Falle eines erfolgreichen Angriffs sind die meisten Führungskräfte dann nur eins: überfordert.
Auch beim Thema Social Engineering werden oft nur sogenannte Penetration Tester, die mit Social-Engineering-Skills die Resilienz von Unternehmen testen sollen, mit den Psycho-Tricks und technischen Finessen der Angreifenden geschult. Selbst Mitarbeitende, die durch ihre Funktion im Unternehmen besonders begehrte Ziele für Social-Engineering-Angriffe darstellen, werden viel zu selten damit konfrontiert. Dazu zählen beispielsweise Geschäftsführer, Ingenieure mit Kenntnis von wichtigen Betriebsgeheimnissen, Führungskräfte in den Bereichen HR, Finance und Controlling sowie die Assistenzen von Führungskräften oder Mitarbeitende am Empfang und Betriebsratsangehörige. Wenn Mitarbeitende dann tatsächlich in die psychologische, kognitive und emotionale Ausnahmesituation eines Social Engineering-Angriffs geraten, überlässt man ihre Fähigkeiten zur Abwehr dem Zufall.
Dabei ist man Social Engineering nicht nur im Arbeitsleben ausgesetzt: Entsprechende Schulungen könnten Mitarbeitenden auch helfen, sich und ihre Familien im Privatleben besser zu schützen. Insofern könnten sich Arbeitgeber mit solchen Weiterbildungsangeboten durchaus aufwerten.
Mit Schulungen systematisch und strategisch gegen IT-Sicherheitsvorfälle vorgehen
Gibt es in Ihrer Organisation Mitarbeitende, die darauf trainiert wurden, psychologische und soziale Sicherheitsverwundbarkeiten zu erkennen? Wurden diese Erkenntnisse dann in ihr Sicherheitskonzept integriert? Wahrscheinlich nicht. Es könnte die Frage entstehen, ob dafür Geld ausgegeben werden sollte. Meine persönliche Antwort ist „ja“, repräsentative Studien oder Daten, die diese Ansicht nachhaltig untermauern, gibt es bisher noch nicht.
Solange das so bleibt, ist es kein Wunder, dass der Faktor Mensch immer wieder als „schwächstes Glied“ in der Sicherheitskette bezeichnet wird. Sowohl von der Wirtschaft als auch von der öffentlichen Hand, die Milliarden in technische IT-Sicherheitslösungen und technisch fokussierte Forschung investiert, würde ich erwarten, dass die Mittel gezielt in die Hand genommen werden, um mehr über den Umgang mit dem Faktor Mensch in der IT-Sicherheit zu lernen. Damit sie – basierend auf fundierten Erkenntnissen – Maßnahmen ergreifen können, die diese Herausforderung umfassend adressieren.
Christian Schunck ist wissenschaftlicher Mitarbeiter im Team „Identitätsmanagement“ am Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO
