Schwachstelle Mensch

Anders als beim technischen Vulnerability Management aus dem vorigen Beitrag ist die Behandlung von Schwachstellen beim Menschen vorrangig nicht-technisch, jedoch können auch hier verschiedene Tools in mindestens einer Phase des Schwachstellen-Managements unterstützen.
Grundsätzlich versteht man unter einer Schwachstelle beim Menschen alles, bei dem ein Mensch beabsichtigt oder unbeabsichtigt eine Handlung durchführ, welche mindestens zu einem Sicherheitsereignis führt oder führen kann. Die Ursache hierfür kann so vielfältig sein wie der Mensch selbst, weshalb an dieser Stelle nur Beispiele genannt werden können.

Schwachstelle durch Unwissenheit

Wird ein Sicherheitsereignis unbeabsichtigt verursacht, ist üblicherweise schlichtweg Unwissenheit oder ein Versehen der entscheidende Faktor. Einige Beispiele hierfür:

• eine E-Mail mit vertraulichem Anhang, die durch einen Mitarbeiter an den falschen Empfänger gesendet wird
• ein Mitarbeiter erkennt nicht, das die empfangene E-Mail ein Phishing-Versuch mit Schadsoftware im Anhang ist und öffnet den Anhang
• ein Mitarbeiter erhält einen Anruf von einer externen Rufnummer und nimmt das Gespräch an. Der Anrufer erklärt, das er vom Support eines Herstellers stammt und dringend Zugriff auf interne Systeme benötigt, die Fachabteilung jedoch nicht erreichbar ist. Der Mitarbeiter unterstützt hier gerne und gibt die benötigten Informationen heraus – da es sich um einen Notfall handelt, auch die Daten seines Accounts mit den notwendigen Berechtigungen

Die oben genannten Beispiele mögen konstruiert wirken, sind aber so oder ganz ähnlich bereits einige Male geschehen. Alle Beispiele haben eine Gemeinsamkeit: die Schwachstelle selbst lässt sich nicht durch technische Mittel schließen. Es können jedoch technische Mittel eingesetzt werden, um das Sicherheitsereignis zu verhindern oder anschließend zu erkennen: gegen den unbeabsichtigten Versand vertraulicher Informationen kann Data Loss Prevention eingesetzt werden, gegen Phishing-Mails können Filter-Techniken vor dem Empfang der Mail beim Anwender sowie Anti-Malware-Lösungen helfen, im dritten Beispiel können Zugriffsregeln (Conditional Access) und Berechtigungskonzepte hilfreich sein. Viele andere Beispiele erfordern möglicherweise den Einsatz zusätzlicher Tools, die teilweise pflegeaufwändig sind.

Dennoch wird die eigentliche Schwachstelle weiterhin nicht geschlossen. Hierfür ist es notwendig, das alle Mitarbeitenden sowohl die Security Policies kennen als auch ein Bewusstsein für die möglichen Folgen des eigenen Handelns entwickeln.

An diesem Punkt kommt Security Awareness ins Spiel. Richtig durchgeführt und im besten Fall als kontinuierliches Projekt aufgesetzt, sorgt Security Awareness dafür das Stück für Stück ein Bewusstsein im Bezug auf die Informationssicherheit aufgebaut wird. Dies kann zwar auch bedeuten, das Mitarbeitende die Security Policies durchlesen und die Kenntnisnahme bestätigen müssen, aber ehrlicherweise muss man sich eingestehen: der Effekt ist in diesem Fall nur sehr kurz bis gar nicht zu erkennen. Stattdessen sollte versucht werden, das Interesse der Mitarbeiter am Erlernen des eher trockenen Themas zu steigern. Gamification und die Auslobung von Preisen sind nur zwei Beispiele hierfür.

Ein anderer Weg ist der Schock-Moment oder das sich-ertappt-fühlen von Mitarbeitern. Diese Methode ist am effektivsten, sollte jedoch nur selten ausgenutzt werden. Zudem sollte hier niemand „an den Pranger“ gestellt werden. Ein Beispiel für diese Methode ist die Phishing-Simulation, in der bewusst eine Phishing-Mail an Mitarbeiter gesendet wird. Ziel dieser Mail ist, das diese einem Link in der E-Mail folgen. Der Link führt jedoch zu einer durch das Security-Team gesteuerten Website und gibt eindeutige Hinweise darauf, das man auf eine Phishing-Simulation hereingefallen ist sowie Tipps, dies beim nächsten Mal zu vermeiden.

Die Möglichkeiten sind äußerst vielfältig und abhängig vom Unternehmen sowie dem verfügbaren Budget sehr vielfältig. Richtig und kontinuierlich durchgeführt wird dadurch das Risiko deutlich verringert, das Mitarbeitende versehentlich oder durch Unwissenheit zu Schwachstellen werden. Der Schutz wird also erhöht, bevor ein solches Ereignis überhaupt eintritt.

Beabsichtigte Ereignisse

Anders verhält es sich, wenn Mitarbeitende wissentlich zu Schwachstellen werden. Die Gründe hierfür sind ebenfalls vielfältig. Möglicherweise ist ein Mitarbeiter nicht gut auf seinen Arbeitgeber zu sprechen und daher empfänglich für Anwerbungsversuche, die das Zusenden vertraulicher Informationen gegen Bezahlung zum Ziel haben. Eine andere Mitarbeiterin wird möglicherweise erpresst, Informationen weiterzugeben. Solche Ereignisse geschehen relativ selten, verursachen bei Eintritt jedoch häufig einen großen Schaden. Die Mittel des Security Awareness Programms sind in solchen Fällen sehr begrenzt, es darf beispielsweise auf die strafrechtliche Relevanz hingewiesen werden. Das Risiko kann auch dadurch gemindert werden, indem beispielsweise regelmäßig Background-Checks durchgeführt werden – hier muss jedoch beachtet werden, dass der Datenschutz gewährt bleiben sollte.

Effektive Hilfe kann bei beabsichtigten Ereignissen die Erkennung solcher Ereignisse sein. Hierfür sollen die bereits oben stehenden Tools wie Data Loss Prevention genannt werden, jedoch auch das Aufzeichnen von Ereignissen auf den einzelnen Systemen. Im besten Fall kommt hier ein Tool zum Einsatz, welches Anomalien auf Systemen und im Verhalten von Anwendern erkennt. Ein Mitarbeiter könnte beispielsweise in den letzten Monaten hauptsächlich E-Mails ohne Anhang versendet haben und sendet plötzlich sehr viele Anhänge an einen externen Empfänger. Das Verhalten kann viele legitime Gründe haben, aber auch darauf hinweise, dass gerade Informationen aus dem Unternehmen geschafft werden sollen. Eine gründliche Überprüfung kann hier möglicherweise den Schaden begrenzen. Jedoch muss auch hier zwingend die Einhaltung von gesetzlichen Vorgaben, insbesondere in Bezug auf den Datenschutz, beachtet werden.

Fazit: die Mischung macht’s

Die Berücksichtigung der „Schwachstelle Mensch“ ist wichtig, jedoch auch äußerst herausfordernd. Eine Mischung aus Maßnahmen wie ein Security Awareness Programm und der Einsatz von unterstützenden Tools zur Erkennung und Vermeidung von Ereignissen kann jedoch helfen, das durch diese Schwachstelle entstehende Risiko deutlich zu mindern.