Sätze wie „der dumme Benutzer war es Schuld“ oder „die Endanwender sind einfach zu blöd“ begegnen einem sehr häufig, wenn es um das Thema IT-Sicherheit geht. Jedoch ist diese Vorstellung grundlegend falsch. Wenn Benutzer*Innen Dinge nicht wissen, liegt der Fehler im IT-Sicherheitsmanagement.
Häufig wird ein großer Fokus auf technische Sicherheitslösungen gelegt. Es werden hohe Kosten in Kauf genommen um technisch komplexe Software in das Unternehmen zu integrieren. Anschließend wägt man sich in Sicherheit, wacht aber eines Morgens auf, denn trotz aller Technik, wurde man kompromittiert.
Trotz aller technischen Maßnahmen, konnte das Netzwerk kompromittiert werden. Auslöser war der Doppelklick auf eine ISO Datei, welche als Anhang in einer E-Mail geschickt wurde. Windows hat diese eingebunden und die Schadsoftware konnte sich verbreiten.
Die Verbreitung von E-Mails mit Schadsoftware ist nicht neu. Mehr oder weniger gut gefälschte E-Mails kommen immer mal wieder in Unternehmen an.
In diesem speziellen Beispiel wurde eine ISO Datei eingebunden. Dies ist erstmal nur symbolisch zu verstehen. Die eigentliche Gefahr liegt darin, dass immer wieder effiziente Wege gefunden werden, um die Schadsoftware zu verbreiten. Diese Gefahren kann man nicht vorhersehen.
An dieser Stelle wurde nicht bedacht, dass ein Sicherheitskonzept immer mehrschichtig sein muss, um effektiv zu sein:
Technologie | Prozess | Mensch |
---|---|---|
EDR, Security_Operations_CenterSOC | Richtlinien, Managementsysteme | Awareness |
In unserem Falle wurde kein Wert auf die Awareness, bzw. Sensibilisierung gelegt, da Benutzer*Innen ja „dumm“ seien. Dies ist ein fataler Irrglaube. „Dumm“ und unwissend sind grundsätzlich unterschiedliche Dinge.
Wenn das IT Sicherheitsmanagement nicht vorsieht, dieses Unwissen durch Schulungen zu kompensieren, liegt der Fehler eben bveim IT Sicherheitsmanagement. Gut geschulte Mitarbeiter*Innen sind ein effektiver Schutz für das Unternehmen.
Mit gezielten Awareness Trainings bauen wir uns eine „menschliche Firewall“ und somit eine zusätzliche Sicherheitsschicht, die extrem wichtig ist.
Awareness sollte aber auch Situationsbezogen passieren. Bei neuen Bedrohungen z.B. sollte eine schnelle Kommunikation und Aufklärung erfolgen, um schnell auf Gefahren reagieren zu können.