Jede Sicherheitsrichtlinie in jeder Art und Größe eines Unternehmens basiert auf Aufklärung und Bewusstsein. Der Mensch ist und bleibt das schwächste Glied in der Cybersicherheit, unabhängig davon, wie viele technische Lösungen und taktische Maßnahmen ein Unternehmen implementiert. Die Bedeutung von Sicherheitsschulungen und -übungen für das Personal ist unbestreitbar, doch wird ihre Wirksamkeit in der Praxis häufig übertrieben. Darüber hinaus wird die Verbreitung von KI-Technologien dazu führen, dass solche Schulungen und Übungen noch weniger erfolgreich sind.
Ineffektivität von Sicherheitsschulungen und -übungen
Die Geschäftswelt hat sich digitalisiert, ebenso wie alle Schulungs- und Ausbildungsaktivitäten. Fast jedes Unternehmen definiert „Schulung“ heute so, dass man sich ein Video ansehen und ein wenig Text lesen muss, bevor man einen einfachen Multiple-Choice-Test absolviert, der jederzeit wiederholt werden kann. Am Ende besteht jeder, auch wenn er nicht aufgepasst hat und sich hinterher an nichts mehr erinnern kann.
Und so muss es auch sein: Unternehmen, die viel Geld in ihre Einstellungsverfahren investieren, können es sich nicht leisten, neue Mitarbeiter herauszufiltern oder die Zeit, in der sie produktiv werden, durch wochenlange Schulungsmaßnahmen zu verzögern. Die meisten derartigen Schulungen dienen also nur dazu, die Anforderungen an die Einhaltung von Standards wie DSGVO, PCI DSS oder HIPAA zu erfüllen.
Wenn Sie also Ihre Mitarbeiter auf der Grundlage ihrer Ausbildung einem grundlegenden Cybersicherheitstest unterziehen würden, würden einige von ihnen grandios durchfallen. Das ist nicht verwunderlich, wenn man bedenkt, dass sie als Fachleute in ihren Bereichen, wie Finanzen oder Personalwesen, angestellt sind und nicht als Experten für Cybersicherheit. Selbst die grundlegendsten Kenntnisse im Bereich der Cybersicherheit übersteigen möglicherweise ihre Fähigkeit, die zugrunde liegende Technologie zu verstehen.
Das Gleiche gilt für jede Art von Phishing-Übung, die praktisch jedes Unternehmen regelmäßig durchführt, vor allem wenn es Compliance-Standards einhalten muss. Wenn die Übung abgeschlossen ist, wird sie als Erfolg gewertet. Um die Ergebnisse für Audits besser aussehen zu lassen, wird Phishing oft übermäßig offensichtlich gemacht, und diejenigen, die den Test nicht bestehen, müssen keine Konsequenzen fürchten. Ihnen wird einfach gesagt, dass sie durchgefallen sind und dass sie es besser machen müssen“ oder dass sie eine weitere einfache automatische Schulung absolvieren müssen, die sie in einer Woche vergessen werden. Stellen Sie sich vor, wenn es sich um einen echten Phishing-Versuch gehandelt hätte, wäre das Unternehmen möglicherweise mit einer katastrophalen Datenpanne konfrontiert worden.
Es braucht nur ein Opfer
Nur wenige Bedrohungen der Cybersicherheit betreffen fast jeden einzelnen Mitarbeiter eines Unternehmens. Dies sind alles Beispiele für Social Engineering, bei denen der Mitarbeiter und nicht das Computersystem das beabsichtigte Opfer ist. Diese Methoden gehen auf die 1980er Jahre zurück, als Kevin Mitnick der Welt demonstrierte, wie einfach es ist, einen Mitarbeiter dazu zu verleiten, nahezu uneingeschränkten Zugang zu geben. Wir sind seit mehr als 40 Jahren auf dem Markt und befinden uns im Zeitalter der KI und der Cloud-Speicherung, und nichts hat sich geändert; die Menschen fallen weiterhin auf die gleichen alten Tricks herein.
Um die verschiedenen Formen von Sicherheitsrisiken zu verstehen, denen Menschen im digitalen Zeitalter ausgesetzt sind, müssen wir wie ein Angreifer denken. Das Ziel des Angreifers ist identisch mit dem Ziel des Unternehmens: das bestmögliche Ergebnis mit dem geringstmöglichen Aufwand zu erreichen. Daher ist es sinnvoll, dass Angreifer ihre Zeit in nur zwei Kategorien von Cyberangriffen investieren: solche, die mit einer möglichst generischen Technik ein möglichst breites Publikum erreichen sollen, und solche, die mit einer personalisierten Strategie bei einem einzigen Ziel Erfolg haben sollen. Zu diesen beiden Kategorien gehören Angriffe wie Spear-Phishing/Vishing/Smishing bzw. Phishing/Vishing/CEO-Betrug. Ein personalisierter Angriff, der auf eine große Zahl von Personen abzielt, hätte zwar die besten Auswirkungen, würde aber viel zu viel Zeit für die Vorbereitung benötigen.
Aus diesem Grund sind bestimmte Phishing-Angriffe für jemanden mit einem rudimentären Verständnis von Technologie unsinnig – wie kann sich ein Angreifer vorstellen, dass jemand darauf hereinfällt? Sie sind schlecht formuliert, wirken auf den ersten Blick gefälscht und scheinen von einem Amateur zusammengestellt worden zu sein. Wenn Sie eine Übung mit solchem Inhalt durchführen und sich an die Mitarbeiter Ihres Unternehmens wenden, werden Sie leider mit Erschrecken feststellen, dass einige darauf hereinfallen werden. Und der Angreifer braucht nur ein Opfer in Ihrem Unternehmen, um Schaden anzurichten.
Mitarbeiterschulungen tragen dazu bei, das Risiko zu verringern, aber sie beseitigen es nicht. Laut KnowBe4’s 2023 Phishing By Industry Benchmarking Report werden 33,2 % der Mitarbeiter ohne jegliche Schulung wahrscheinlich auf eine Phishing-E-Mail klicken. Ein Jahr regelmäßiger Schulung ist erforderlich, um diesen Prozentsatz auf 5,4 % zu senken. Eine solche Schulung ist jedoch nicht nur teuer, sondern nimmt den Mitarbeitern auch produktive Zeit weg und wirkt sich auf die Mitarbeiterbindung aus, und viele Unternehmen können sich die Kosten und/oder das Risiko einfach nicht leisten.
Phishing und KI – eine neue Ära der Bedrohungen
Wir leben jetzt in der Ära von ChatGPT und anderen KI-Bots. Wir sind überrascht und erfreut zugleich, dass künstliche Intelligenz unsere Fotos und Videos bearbeiten und die Qualität unserer Texte erheblich verbessern kann. Aber auch Bösewichte setzen KI ein. Und je besser die KI wird, desto wahrscheinlicher wird es, dass wir auf einen Phishing-Versuch hereinfallen, auch wenn er nicht direkt an uns gerichtet ist.
Ein kürzlich durchgeführter Angriff zur Übernahme eines Facebook-Kontos, bei dem für den Bitcoin-Handel geworben wurde, ist das beste Beispiel dafür, wie diese Technologie bereits in der Praxis eingesetzt wird. Nachdem sich das automatisierte System Zugang zum Facebook-Konto des Opfers verschafft hat, erstellt es ein Video, das auf den echten Videos und Fotos des Opfers basiert. Das Video ist eine starke Fälschung der Person, die behauptet, nicht gehackt worden zu sein, und damit prahlt, wie viel Geld sie mit Bitcoins verdient hat. Es verwendet das wahre Gesicht, die Stimme und sogar die Muttersprache der Person (wenn auch in einer undeutlichen Sprache) und ist unglaublich realistisch.
Darüber hinaus sendet der Bot Nachrichten an die Kontakte des Opfers in deren Muttersprache, in denen er um Hilfe bittet und sie darüber informiert, dass das Opfer den Zugriff auf das Konto verloren hat und den Kontakt, der das nächste Opfer ist, auffordert, den per E-Mail erhaltenen Code anzugeben. Bumm, das war’s dann mit der Wirksamkeit der Multi-Faktor-Authentifizierung. Überraschenderweise fallen sogar IT-Fachleute darauf herein, und die Verbreitung dieser automatisierten Malware geht weiter, die auf Social Engineering und dem Einsatz von KI beruht.
Wie wird Ihre nächste Phishing-E-Mail aussehen, wenn dies plötzlich die Realität ist? Wird sie in schlechtem Englisch verfasst sein und offensichtliche falsche Links enthalten, oder wird sie alle Tricks anwenden, die sich die KI ausdenken kann, um das Opfer zu täuschen? Und wenn sie so gut ist, wäre Ihr Sicherheits-/Anti-Spam-System dann in der Lage, sie automatisch als Spam zu kennzeichnen, was die Wahrscheinlichkeit verringert, dass der Nutzer darauf klickt? Und wie viele Ihrer Mitarbeiter werden darauf hereinfallen? In den nächsten Monaten werden wir sicherlich die Antworten auf diese drängenden Fragen finden, und sie werden uns vielleicht nicht gefallen.
DLP-Lösungen als Retter in der Not
Wir leben in einer Welt, in der jede Art von externer Kommunikation, über jede Art von App, als äußerst erfolgreiche Social-Engineering-Technik genutzt werden kann. Ob E-Mail, Textnachricht, Telefongespräch oder Videoanruf – die KI kann mit allem umgehen, wie die jüngsten Angriffe zeigen. Folglich haben wir zwei Möglichkeiten. Die erste besteht darin, dass jeder einzelne Mitarbeiter zwanghaft paranoid wird und jede eingegangene Anfrage doppelt prüft, was nicht nur viel Zeit in Anspruch nehmen würde, sondern auch zusätzliche Schulungen und Übungen erforderlich machen würde, die im Falle eines Versagens tatsächliche Konsequenzen hätten. Das wird nicht passieren, weil es einen erheblichen Einfluss auf die tatsächliche Geschäftstätigkeit und die Marktposition des Unternehmens haben würde.
Es bleibt also nur die zweite Alternative. Wir müssen davon ausgehen, dass einige Personen auf solche Social-Engineering-Versuche hereinfallen; dennoch können wir solche Sicherheitsvorfälle unwirksam machen, indem wir die Möglichkeit beseitigen, dass das Opfer auf die Aufforderung des Angreifers antwortet, indem es sensible Informationen preisgibt. Wenn wir dem Opfer die Möglichkeit nehmen, solche Informationen weiterzugeben, wird der Angriff letztendlich scheitern.
Es gibt zahlreiche Methoden, mit denen Opfer daran gehindert werden können, sich risikoreich zu verhalten, aber sie alle drehen sich um die Sicherheit der Endgeräte – Schutzmaßnahmen, die auf dem Gerät implementiert werden, das das Opfer direkt verwendet, z. B. ein Laptop oder ein mobiles Gerät. Antivirensoftware gibt es schon lange, und sie erkennt bestimmte offensichtliche Bedrohungen wie Standard-Ransomware, aber keine benutzerdefinierten Angriffe. Firewalls sind beim Schutz kritischer Daten ähnlich erfolglos, da sie entweder viel zu viel einschränken und zu Fehlalarmen führen oder nur das Offensichtliche eliminieren. Die größte Schwäche solcher Sicherheitstechnologien ist, dass sie sich auf bestimmte Methoden und nicht auf das Ziel selbst konzentrieren.
Es gibt nur eine wirklich erfolgreiche Art von Lösungen, die sich mit dem Problem des Datenschutzes und der Datensicherheit befasst, und das ist Data Loss Prevention (DLP). Wenn DLP-Tools sensible Daten erfolgreich erkennen, jede Form der automatischen Weitergabe blockieren und Alarme an das Sicherheitsteam senden können, ist praktisch jeder Social-Engineering-Versuch oder sogar jede Insider-Bedrohung ein sicherer Fehlschlag. Es ist unwahrscheinlich, dass das Opfer kritische Daten, wie z. B. das geistige Eigentum des Unternehmens, manuell kopiert, indem es sie liest und an den Angreifer weitergibt. Stattdessen wird die Kopier- und Einfügefunktionen des Betriebssystems benutzt, die durch eine DLP-Richtlinie geschützt und entweder blockiert oder – noch besser – mit einem Alarm blockiert werden können.
Überlegen Sie, wo Sie als nächstes investieren sollten? Denken Sie an DLP
Wenn Sie erkennen, dass sich die Welt durch die KI-Entwicklung dramatisch verändert, und Sie erwägen, Ihren Datenschutzansatz in naher Zukunft zu aktualisieren, sollten Sie eine DLP-Strategie in Betracht ziehen. Sie können natürlich in Weiterbildungsmaßnahmen investieren, aber das hat die gleichen Auswirkungen auf die Informationssicherheit wie die Maßnahmen, die Sie bereits umgesetzt haben. Sie können in KI-generierte Phishing-Übungen investieren, aber das wird nur zeigen, dass noch mehr Ihrer Mitarbeiter böswilligen Hackern zum Opfer fallen, und wird die Situation nicht verbessern. Gehen Sie stattdessen davon aus, dass der Mensch weiterhin die größte Schwachstelle sein wird und die KI immer geschickter darin wird, ihn auszutricksen, und investieren Sie in ein stärkeres DLP-System.
Lösungen zur Verhinderung von Datenverlusten, einschließlich Gerätekontrolle und USB-Verschlüsselung, werden ebenfalls ständig weiterentwickelt, um Ihre menschlichen Opfer noch besser davor zu schützen, dass sie die Ursache für ein Datenleck werden. Lösungen wie Endpoint Protector nutzen auch Technologien des maschinellen Lernens, um beispielsweise die Datenklassifizierung zu verbessern – um die bestmögliche Automatisierung bei der Erkennung von schützenswerten Datentypen wie verschiedenen Arten von personenbezogenen Daten (PII) wie Sozialversicherungsnummern, Kreditkartennummern, proprietärem Code oder anderen vertraulichen Daten zu nutzen. Mit moderner DLP-Software benötigen Sie daher so gut wie keine Konfiguration – Ihr Endpunkt-DLP lernt, die Daten Ihres Unternehmens in Echtzeit zu erkennen und verhindert, dass Ihre Endbenutzer sie an Unbefugte weitergeben. DLP-Technologien können auch in anderen Bereichen eingesetzt werden. Sie schützen Sie beispielsweise nicht nur vor Datenexfiltration als Folge von Phishing-Angriffen, sondern auch vor Datenlecks, die durch böswillige Insider verursacht werden.
FAQ's
Unternehmen brauchen DLP, um sensible Daten zu schützen und durch menschliche Fehler verursachte Datenschutzverletzungen zu verhindern. Sicherheitsschulungen allein reichen möglicherweise nicht aus, um aufkommende Cyber-Bedrohungen zu bekämpfen. DLP-Lösungen sind von entscheidender Bedeutung, wenn es darum geht, sensibles Material zu erkennen, die automatische Weitergabe einzuschränken und das Sicherheitspersonal zu benachrichtigen, um die Wirksamkeit von Social-Engineering-Versuchen oder Insider-Bedrohungen zu verringern.
DLP ist zwar nicht explizit für die Einhaltung der GDPR erforderlich, aber es hilft Unternehmen sehr dabei, die Datenschutzverpflichtungen der Verordnung zu erfüllen. Die GDPR verlangt von Unternehmen, dass sie angemessene Maßnahmen ergreifen, um personenbezogene Daten zu schützen und Datenschutzverletzungen zu verhindern. Die Implementierung von DLP ermöglicht es Unternehmen, sensible Daten proaktiv zu schützen und so das Risiko einer Nichteinhaltung zu verringern.
Das Risiko eines Verzichts auf DLP ist erheblich und kann schwerwiegende Folgen für Unternehmen haben. Unternehmen, die keine DLP einsetzen, sind anfälliger für Datenschutzverletzungen, Rufschädigung, finanzielle Verluste und erhebliche rechtliche Verpflichtungen, die durch menschliche Fehler und die Entwicklung von KI-gesteuerten Bedrohungen verursacht werden. DLP ist eine wichtige Verteidigungsschicht zum Schutz sensibler Daten und zur Risikominderung.
