Cyber Security Awareness

Weit mehr als Phishing und Mitarbeiter-eLearning

Frank von StettenMünchen – März 2024 (von Frank v. Stetten, HvS-Consulting AG) Anwender-eLearning und Phishing Tools sind wichtige Bausteine einer Security Awareness. Aber viele Unternehmen vergessen eine der wichtigsten Zielgruppen: ihre Admins und Entwickler. Und deren Wissenslücken lassen sich nicht einfach mit Learning Nuggets schießen.

Security Awareness, also die Sensibilisierung und Schulung der Belegschaft zum Thema Cyber Security ist ein fundamentaler Baustein für eine funktionierende Sicherheit. Das haben auch viele Anbieter entdeckt. Aktuell sprießen die Angebote zu Phishing Simulationen und den passenden Learning Snacks nur so aus dem Boden und jeder Anbieter preist seine Lösung als den "heiligen Gral" zur Mitarbeitersensibilisierung an. Klingt verlockend.

Die meisten Angebote zu Phishing Simulationen und Schulungsplattform sind durchaus geeignet, um potenzielle Opfer zu den Gefahren von Phishing zu schulen. Das ist auch ein wirklich gefährlicher Angriffsvektor… aber halt nur einer. Und solche Plattformen haben auch nur einen Teil der Zielgruppe im Fokus: die klassischen Anwender.

Eine weitere wichtige Zielgruppe sind beispielsweise Führungskräfte, nicht in ihrer Rolle als Anwender, die auf eMail-Anhänge klicken, sondern in ihrer Rolle als "Business Owner" und "Information Owner". Also Menschen, die darüber entscheiden, ob in ihrem Bereich von der IT nicht genehmigte Cloud-Dienste genutzt werden oder wer Zugriffsrechte in welchem Umfang auf ihre Informationen erhält. Die Verantwortung einer Führungskraft lässt sich in (virtuellen) Veranstaltungen mit Live-Demos emotional viel besser transportieren als das in einem eLearning möglich wäre.

Und die meisten Angebote vergessen eine der wichtigsten Zielgruppen überhaupt in der Cyber-Security: das IT-Personal.

Zugegeben: in den meisten Fällen ist der Einstiegspunkt in Unternehmensnetze, der sogenannte "Patient Null", ein unbedarfter Anwender, der einen eMail-Anhang öffnet und Makros aktiviert. Aber so ärgerlich ein infizierter Account auch sein mag: er darf ein Unternehmen nicht mehr umbringen. Assume compromise! Wir werden bei aller Security Awareness nie gänzlich verhindern können, dass nicht irgendwann irgendwer auf irgendeine Schadsoftware klickt.

Der eigentliche Knock-out wird auch erst in den Wochen nach der Erstinfektion, im sogenannten "Lateral Movement" vorbereitet: Die Angreifer springen vom infizierten Benutzer auf den ersten Server, von dort auf weitere Server, bis sie irgendwann das ganze Active Directory des Opfer-Unternehmens unter Kontrolle haben, inklusive Backups. Dann können Sie Daten absaugen und Zeitbomben zur Verschlüsselung der Systeme installieren. Zu diesem Zeitpunkt ist die Hose dann unten. Ganz unten.

Fehlende Security Awareness bei Administratoren und Entwicklern kann also weitaus größeren Schaden für das Unternehmen verursachen als ein Anwender überhaupt dazu in der Lage wäre. Aber auch hier geht es meist um triviale Security-Basics: fehlendes Hardening, unzureichendes Patching, veraltete Softwarebibliotheken, die Verwendung von schwachen Passwörtern auf Serversystemen, die Verwendung von gleichen Passwörtern auf verschiedenen Serversystemen, Passwörter in Scripten, nicht ordentlich beendete RDP-Sitzungen, usw. Das sind gänzlich andere Themen als "klick nicht auf den Anhang in der eMail" und sie müssen auch anders transportiert werden. Denn bei dieser Zielgruppe ändert sich der Arbeitsalltag durch Security – im Vergleich zu Anwendern – fundamental.

Ein gelungenes Beispiel für Security-Schulungen für IT-Pros sind die Cyber LAB eLearning für Administratoren und Entwickler von IS-FOX. Dort nehmen die IT-Pros in LAB Umgebungen die Rolle eines Hackers ein und erfahren am eigenen Leib, welche Auswirkungen ihr bisheriges Verhalten auf die Security hat.

Eine Phishing Simulation kann man ihnen ja trotzdem noch schicken.