zurück zur Übersicht

Psychologische Faktoren der Security Awareness

Wissenswertes vom 36C3

Eigentlich sind in der IT-Sicherheit doch schon alle Probleme gelöst worden, zumindest in der Theorie, beginnt Linus Neumann seinen Vortrag auf dem 36. Chaos Communication Congress. Trotzdem sei der aktuelle Zustand der IT-Sicherheit gelinde gesagt desaströs. Woran das liegt und wie man der Lage in der Praxis Herr werden kann, erläuterte Herr Neumann in der nächsten Dreiviertelstunde so eindrucksvoll, dass ich es auch den Cubespotter Lesern nicht vorenthalten möchte.

Die IT-Security-Researcher und Hacker Szene hat ein Problem was ihren Praxisbezug angeht. Nicht etwa, weil IT-Security an Relevanz verlieren würde, sondern weil sich Forschung und „Hacktivismus“ größtenteils auf hochkomplexe Themen fokussiert, wie das Auffinden von oft sehr theoretischen Sicherheitslücken wie out-of-order execution (Meltdown & Spectre), Site-Channel-Angriffe oder Quantenkryptographie. Alles was Avangarde klingt, möglichst mathematisch-theoretisch anmutend und schönen Shell-Code a la Hackertyper produziert, wird in der Szene gefeiert und hofiert. Wenn man sich jedoch die Praxis anschaut, wird einem schnell klar, dass die größte Herausforderung eine ganz andere ist. Das häufigste Einfallstor in Unternehmensnetzwerke, egal ob KMU oder Big-Enterprise, ist nach wie vor der Mensch. Während es gegen das Ausnutzen technischer Sicherheitslücken doch mittlerweile vermehrt teure und komplexe Sicherheitsmaßnahmen gibt, so wird die Security Awareness der Mitarbeiter meist mit einem einzigen jährlichen Video oder einer Rundmail mit allgemeinen Sicherheitshinweisen abgefrühstückt.

Technische und menschliche Faktoren nach Neumann
Abbildung 1: Technische vs. menschliche Faktoren (Vgl. Neumann 2019)

In der Theorie müsste also sehr wohl jeder Angestellte wissen, dass man unbekannten Email-Anhang nicht öffnen, bei suspekten Mails nicht auf Links klicken oder Makros aus externen Office Dokumenten aktivieren sollte. Wieso zeigt also jede Statistik und jeder Feldversuch auch im Jahre 2019 immer noch eine „Erfolgsquote“ von 10%-50% bei einer Phishing-Kampagne? Die Antwort findet man in der Verhaltens- und Organisationspsychologie.

Das menschliche Verhalten wird grundlegend durch zwei verschiedene Systeme gesteuert. Das schnelle, instinktive und emotionale System I und das langsamere, Dinge durchdenkende und logischere System II. (Vgl. Kahneman 2011)

  • System I
    • Schnell & intuitiv
    • Automatisch
    • Aktiv bei Angst & Langeweile
  • System II
    • Langsamer
    • Analytisch
    • Dominiert von Vernunft

Während wie erwartet nach klassischen Awareness Maßnahmen wie Text und Video Schulungen eine Phishing-Kampagne immer noch eine „Erfolgsquote“ von 35% erzielt, so zeigte es sich als überaus wirkungsvoll, wenn Awareness-Schulungen direkt an einen erfolgreichen Phishing-Versuch gekoppelt werden. Der Mitarbeiter klickt auf einen Phishing-Link oder aktiviert ein präpariertes Word-Makro und auf einmal wird der Desktop schwarz, es blinkt eine rote Warnmeldung auf. Der Mitarbeiter erschrickt, System I wird aktiviert, doch statt, dass sich der gesamte Festplatten-Inhalt verschlüsselt, poppt ein Schulungsvideo zur Security Awareness auf – noch einmal Glück gehabt! Die Maßnahme spricht die Person mit aktiviertem System I an und funktioniert „interaktiv“, welches den Lerneffekt deutlich maximiert. Um einerseits auch die Mitarbeiter, die nicht auf das Phishing reinfallen zu erreichen und anderseits den Beschwerde-Spielraum (aka. „das war jetzt aber gemein, ich gehe jetzt in Trotzhaltung“) zu minimieren, empfiehlt es sich, das Ganze erst nach einer klassischen Awareness Kampagne durchzuführen

Testplan Security Awareness nach Neumann
Abbildung 2: Testplan Security Awareness Kampagne (Neumann, 2019)

Des Weiteren lässt sich feststellen, dass Security Awareness Maßnahmen nur Erfolg haben, wenn folgende Faktoren beachtet werden:

  • Lernerfolge sind spezifisch (auf genaue Szenarien beschränkt), es sind mehrere Durchgänge mit unterschiedlichen Szenarien notwendig
    • Regelmäßiges Wiederholen (jährlich)
    • Unterstützen durch technische Maßnahmen
    • Gutes Spam- und Firewall-Management notwendig
      • Melder von Phishing müssen ermutigt und belohnt werden
    • Hinweise z.B. im Betreff in Mails von firmenexternen Absendern (aktiviert System II)
    • Passwort-Reset-Funktionen nicht über Webapplikationen abbilden
      • Wenn Phishing Mails mit Aufforderung zum PW-Reset per Link eintreffen, wird der Mitarbeiter stutzig und aktiviert System II
    • Signierte Makros einführen und unsignierte deaktivieren (per AD-Gruppenrichtlinie unternehmensweit ausrollbar)

Bei SecureLink sind wir bestrebt, unseren Kunden durch die Wahl der richtigen Methodik die effektivste Lösung zu bieten und Sie in ihren Security Awareness Maßnahmen zu unterstützen. Bei Fragen sprechen sie uns gerne an.

Quellen:

Linux Neumann, 30.12.2019, „Hirne Hacken“, https://media.ccc.de/v/36c3-11175-hirne_hacken

Daniel
Kahneman, 2011, „Thinking, Fast and Slow”, New York, Farrar, Straus and
Giroux

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer