Die Bedeutung von Awareness in der IT-Sicherheit
Sätze wie „der dumme Benutzer war es Schuld“ oder „die Endanwender sind einfach zu blöd“ begegnen einem sehr häufig, wenn es um das Thema IT-Sicherheit geht. Jedoch ist diese Vorstellung grundlegend falsch. Wenn Benutzer*Innen Dinge nicht wissen, liegt der Fehler im IT-Sicherheitsmanagement.
Fehler im IT-Sicherheitsmanagement
Häufig wird ein großer Fokus auf technische Sicherheitslösungen gelegt. Es werden hohe Kosten in Kauf genommen um technisch komplexe Software in das Unternehmen zu integrieren. Anschließend wägt man sich in Sicherheit, wacht aber eines Morgens auf, denn trotz aller Technik, wurde man kompromittiert.
Was ist passiert?
Trotz aller technischen Maßnahmen, konnte das Netzwerk kompromittiert werden. Auslöser war der Doppelklick auf eine ISO Datei, welche als Anhang in einer E-Mail geschickt wurde. Windows hat diese eingebunden und die Schadsoftware konnte sich verbreiten.
Alte Angriffswege
Die Verbreitung von E-Mails mit Schadsoftware ist nicht neu. Mehr oder weniger gut gefälschte E-Mails kommen immer mal wieder in Unternehmen an.
Neue Angriffswege
In diesem speziellen Beispiel wurde eine ISO Datei eingebunden. Dies ist erstmal nur symbolisch zu verstehen. Die eigentliche Gefahr liegt darin, dass immer wieder effiziente Wege gefunden werden, um die Schadsoftware zu verbreiten. Diese Gefahren kann man nicht vorhersehen.
Die menschliche Firewall
An dieser Stelle wurde nicht bedacht, dass ein Sicherheitskonzept immer mehrschichtig sein muss, um effektiv zu sein:
| Technologie | Prozess | Mensch |
|---|---|---|
| EDR, Security_Operations_CenterSOC | Richtlinien, Managementsysteme | Awareness |
In unserem Falle wurde kein Wert auf die Awareness, bzw. Sensibilisierung gelegt, da Benutzer*Innen ja „dumm“ seien. Dies ist ein fataler Irrglaube. „Dumm“ und unwissend sind grundsätzlich unterschiedliche Dinge.
Wenn das IT Sicherheitsmanagement nicht vorsieht, dieses Unwissen durch Schulungen zu kompensieren, liegt der Fehler eben bveim IT Sicherheitsmanagement. Gut geschulte Mitarbeiter*Innen sind ein effektiver Schutz für das Unternehmen.
Mit gezielten Awareness Trainings bauen wir uns eine „menschliche Firewall“ und somit eine zusätzliche Sicherheitsschicht, die extrem wichtig ist.
Awareness sollte aber auch Situationsbezogen passieren. Bei neuen Bedrohungen z.B. sollte eine schnelle Kommunikation und Aufklärung erfolgen, um schnell auf Gefahren reagieren zu können.