Warum der Mensch nicht das grösste Sicherheitsrisiko ist
Regelmässige Schulungen sind das A und O
Computerworld: Was kann jedes einzelne Unternehmen tun, um seine Mitarbeiter für das Thema Cybersicherheit zu sensibilisieren?
Heartfield: Das Problem ist in vielen Fällen nicht die Sensibilisierung der Nutzer, sondern vielmehr der Anreiz, ein gutes Cyberhygiene- und Cybersicherheitsbewusstsein aktiv in ihre täglichen Aktivitäten einzubringen. Aufklärungskampagnen zur Sicherheit helfen sicherlich manchmal, aber als Methodiken sind sie keineswegs ein Allheilmittel. Die Belohnung von Mitarbeitern, zum Beispiel durch Feedback und Leistungsüberprüfungen, bietet klare individuelle Vorteile für die konsequente Einhaltung guter Cyberhygienepraktiken und die erfolgreiche Meldung potenzieller Bedrohungen und sogar laufender Angriffe, die letztlich die Auswirkungen der Risiken verringern. Darüber hinaus gibt es in Organisationen häufig Personalwechsel und temporäre Auftragnehmer/Partner und dergleichen, die sich alle gleichzeitig auf den Gesamtstand des Cybersicherheitsbewusstseins in der Organisation auswirken. Daher ist die kontinuierliche Modellierung dieses Bewusstseinszustands neben der Entwicklung einer positiven Belohnungskultur für Mitarbeiter bei der Meldung von Bedrohungen ein Schlüsselfaktor - allerdings setzt dies voraus, dass eine Organisation zunächst einmal solche Daten sammelt!
Computerworld: Besonders in IoT-/Edge-Computing-Umgebungen ist es für den Mitarbeiter oft schwierig, die einzelnen Schritte/Prozesse innerhalb der Maschine zu verstehen. Aber muss er dies nicht zumindest teilweise tun, um zu erkennen, wann irgendwo ein Angriff stattfindet?
Heartfield: In einer cyber-physischen Umgebung können Angriffe im physischen Raum stattfinden, die zu Auswirkungen im Cyberspace führen. Umgekehrt können Angriffe, die im Cyberspace stattfinden, Auswirkungen im physischen Raum haben. Daher ist der Mensch in einer idealen Position, um Bedrohungen sowohl in den Medien als auch im Kontext zu beobachten und Bedrohungen, die Cyber- oder physische Verhaltensmuster aufweisen, sensorisch zu melden. Dies erfordert nicht unbedingt, dass ein Mitarbeiter alle technischen Integrationen und Interaktionen "versteht", die sich zwischen IoT/Edge und cyber-physischen Systemen bilden und auftreten. Es ist daher wichtiger, die Benutzer in die Lage zu versetzen, verdächtiges Verhalten zu melden, als von ihnen zu erwarten, dass sie die Komplexität der Funktionsweise der verschiedenen IoT-Systeme erlernen. Wenn ein Mitarbeiter dazu fähig ist, verdächtiges anomales Verhalten in diesen Kontexten (Cyber- oder physischer Raum) zu erkennen, kann er diese effizient melden. Eine solche Berichterstattung an die Teams für Sicherheitseinsätze, die weitere Kontexte zur Erkennung und zur Analyse eines möglichen Angriffs benötigen, können äusserst wertvolle Informationen sein. Denken Sie beispielsweise an das Szenario, bei dem eine intelligente Glühbirne im Büro zu zufälligen Zeiten zu blinken scheint und kurz darauf die (vom Mitarbeiter genutzte) WiFi-Performance zu sinken scheint. Ein Mitarbeiter kann dies als verdächtiges Verhalten melden, was dann eine Untersuchung einleitet, die die Endpunkt-Datenprotokolle des Mitarbeiters und die Netzwerkprotokolle der intelligenten Glühbirne miteinander in Beziehung setzt. Zum Beispiel könnte das ein Hinweis darauf sein, dass die intelligente Glühbirne regelmässig durch einen Fernangriff auf einen bösen Zwillings-WiFi-Zugangspunkt kompromittiert wurde, der die lokale SSID des offenen Gastnetzwerks gefälscht hat, um Verbindungen von Mitarbeitern im Gebäude abzufangen. In diesem Beispiel hatte der Mitarbeiter nur wenig Wissen über die Funktion der intelligenten IoT-Glühbirne und ihre technischen Interaktionen, konnte aber eine Anomalie identifizieren, die die Sicherheitsuntersuchung bis zur Schlussfolgerung der Angriffserkennung bereichert. Der entscheidende Punkt ist hier, dass es, wenn der Mitarbeiter die Bedrohung, die der Angriff darstellt, nicht meldet, viel länger dauern kann, bis er sie identifiziert hat, wenn überhaupt.
Computerworld: Nennen Sie ein «Best Practice».
Heartfield: Der Einsatz proaktiver Sicherheitskontrollen wie der kontinuierlichen Überwachung ist in der Regel eine der besten Praktiken in der Sicherheitsarchitektur und ergänzt die unvermeidlichen Mängel der präventiven Sicherheitskontrollen, die präventive Techniken zum Schutz technischer Systeme in Organisationen implementieren. Für die Benutzer werden jedoch oft nur präventive Massnahmen innerhalb der Sicherheitsarchitektur in Betracht gezogen. Daher ist die Erweiterung des Konzepts der «kontinuierlichen Überwachung» als proaktiver, datengestützter Ansatz zur Bewertung der Cyber-Hygiene und -Resilienz von Organisationen auf der Grundlage der Rolle der Benutzer als menschliche Sensoren und ihres Beitrags zur Erkennung von Bedrohungen eine sich abzeichnende bewährte Praxis.