Risiken von Human Hacking und Chancen der Informationssicherheit

Human Hacking, auch Social Engineering genannt, beschreibt eine Methode, vermeintliche menschliche Schwachstellen auszunutzen und durch betrügerische Aktionen Zugang zu unternehmensrelevanten und damit sensiblen Daten zu erhalten. Ein Gastbeitrag von Vivien Schiller und Lisa Reinhardt von Adesso anlässlich des heutigen Adesso Digital Day.

Auch wenn die Wahrheit wehtut, oft sind es Mitarbeitende, die Gefahren aus dem Internet nicht erkennen und durch versehentliche Handlungen oder gefühlsbasierte Reaktionen – zum Beispiel durch Stress – dafür sorgen, dass Daten in falsche Hände geraten oder Systeme durch Malware kompromittiert werden. Der Mensch als vermeintlich schwächstes Glied der Sicherheitskette wird genau deshalb zum erklärten Ziel der Angreifer und damit zu einem der größten Risikofaktoren für die IT-Sicherheit der Unternehmen.

Beispiele, wie Cyberkriminelle Zugang zu unternehmensinternen Informationen erhalten, gibt es inzwischen wie Sand am Meer. Eine der bekanntesten und meistverwendeten Methode sind dabei Phishing-Nachrichten versendet via E-Mail und gestreut über Social Media, mit deren Hilfe Ransomware in Unternehmen eingeschleust wird. Und diese „ist und bleibt DIE (größte) Bedrohung für Unternehmen und öffentliche Einrichtungen“ (BKA Report 2019).

Nach wie vor ist es schwierig, Malware auf einen Angreifenden zurückzuführen. Die Statistik zeigt, dass nur circa ein Drittel der Angriffe tatsächlich aufgeklärt werden. Leider sind auch die Aussichten weniger rosig. Das Phänomen „Cybercrime-as-a-Service“ (CaaS) nimmt immer weiter zu. Denn in der Underground Economy, auch bekannt als Dark Net, ist Cybercrime inzwischen auch als Dienstleistung käuflich zu erwerben.  

Eine weitere Entwicklung, die sicherlich als Fluch und Segen zugleich betrachtet werden kann, ist die technische Weiterentwicklung von Künstlicher Intelligenz (KI) und Deepfake.

Deepfake ist aus der Verschmelzung der Begriffe Deep Learning und Fake entstanden und bezeichnet mediale Inhalte wie Videos, Audios oder Fotos, die authentisch wirken, aber mithilfe von Künstlicher Intelligenz, beziehungsweise Deep Learning, verändert wurden. Damit wird Phishing nicht nur durch E-Mails möglich, sondern auch durch andere Medien. Die vermeintliche E-Mail vom Vorstand ist dann nur der Anfang. Der angebliche Vorstand könnte sich bei einem Angestellten auch per Videoanruf melden. Dieses Vorgehen ist aktuell zwar noch Zukunftsmusik und nur mit guter Sprachimitation möglich, könnte in Zukunft aber sogar Live im Videocall anwendbar sein. Und das ist keinesfalls unrealistisch: Der BSI Lagebericht und BaFin Perspektiven (Cybercrime) stufen Deepfake als eine große künftige Bedrohung ein. Wie gut so etwas funktioniert, zeigt das Deepfake-Video von Barack Obama.

Düstere Aussichten, oder? Genau deshalb ist jetzt die Zeit, Mitarbeiterinnen und Mitarbeiter für Themen der Informationssicherheit und des Datenschutzes zu sensibilisieren. Leider ist es so, dass eine gute Sicherheitsstrategie und die entsprechende technische Ausstattung nicht ausreichen, um die IT-Sicherheit eines Unternehmens zu gewährleisten. Vielmehr muss jeder einzelne User innerhalb eines IT-Netzwerkes die Sicherheitsstrategie verinnerlichen und über ein gewisses Grundwissen verfügen, wie sie oder er mit IT-Systemen umgeht und sich sicher im Internet bewegt.

Um ein Bewusstsein, die sogenannte (Security) Awareness, in der Informationssicherheit zu erzielen, ist allerdings die Vermittlung von Informationen nicht ausreichend. Sicherheitsbewusstsein erfordert auch die Vermittlung von Lösungen. Mitarbeitende brauchen klare Regelungen und Vorgaben für bestimmte sicherheitskritische Verfahren. So reicht es beispielsweise nicht aus, Mitarbeitenden die Gefahren von Phishing-Angriffen aufzuzeigen. Sie müssen wissen, wie sie sich konkret verhalten müssen, wenn eine solche E-Mail in ihrem Postfach liegt. Es müssen also Richtlinien und Vorgaben erstellt werden, die im gesamten Unternehmen verbindlich sind.

In diesem Zusammenhang sollte der Begriff der Sicherheitskultur geprägt werden. Darunter versteht man ein Verhaltensmerkmal einer Gruppe oder Organisation, wie mit Fragen zur Sicherheit umgegangen wird. Die Ausgestaltung und Prägung dieses Begriffes unterliegen einem komplexen Lernprozess, in dem sich gemeinsame Ziele, Interessen, Normen, Werte und Verhaltensmuster herausbilden.

Unsere Erfahrung zeigt, dass Sicherheitsbewusstsein am besten mithilfe einer Awareness-Kampagne in den Unternehmensalltag integriert werden kann. So kann die Wichtigkeit des Themas in das rechte und nötige Licht gerückt werden. Die Themen der Informationssicherheit und des Datenschutzes berühren alle, jeden Tag.

Eine Awareness-Kampagne sollte in erster Linie darauf abzielen, die Mitarbeitenden auf unterschiedlichsten Kommunikationskanälen auf ein Thema aufmerksam zu machen und zum Handeln zu bewegen. Hierbei kommen Medien wie Plakate, Flyer, Videos und Trainings zum Einsatz. Zum Erreichen maximaler Aufmerksamkeit können auch gezielte Trainings auf die Mitarbeitenden mit gefälschten E-Mails durchgeführt werden (Phishing). Hier kann man sich kreativ in allen Richtungen betätigen. Letztendlich geht es aber nicht nur darum, möglichst kreative Einmalaktionen durchzuführen, sondern einen Behavioral Change, also eine dauerhafte Änderung des Verhaltens, möglichst effizient und effektiv einzuleiten.

Security Awareness ist in heutigen Unternehmen im Zuge der voranschreitenden Digitalisierung nicht mehr wegzudenken und Mitarbeitende müssen für Risiken im Cyber-Raum sensibilisiert werden. Ganz nach dem Motto „aus Betroffenen Beteiligte machen“ steht der Mitarbeitende dabei im Zentrum und sollte aktiv in die Informationssicherheit des Unternehmens eingebunden werden.

Autorinnen: Vivien Schiller, Security Presales Consultant bei adesso SE, und Lisa Reinhardt, Senior Consultant bei adesso SE