Social Engineering – ein Grundpfeiler von IT-Sicherheitsstrategien

Die Ausarbeitung einer wirksamen IT-Sicherheitsstrategie ist ein mehrschichtiger Prozess, der Technologie, Vorgänge und Menschen umfasst. Bei einer guten Strategie sollte das Sicherheitsumfeld auf den Menschen ausgerichtet werden und der Erfolg der Strategie muss mit Social Engineering geprüft und gemessen werden. Kenntnisse im Bereich Social Engineering sind in Zeiten der Digitalisierung und Telearbeit besonders vorteilhaft. Diese Kenntnisse, die häufig übergangen werden, lohnen sich aber für alle, die lernen, wie sie davon profitieren.

Schon bevor die aktuelle Pandemie unsere Arbeitsweise veränderte und die im Internet verbrachte Zeit erhöhte, waren die menschlichen Elemente unserer Netzwerke wichtig. Sie wurden aber kaum berücksichtigt und häufig als «schwache Glieder» betrachtet. Heute müssen wir mehr denn je erkennen, wie wichtig die menschlichen Ressourcen sind und wie sehr wir uns auf sie verlassen müssen, damit unsere Netzwerke sicher bleiben. Mit der richtigen Unterstützung und dem richtigen Bewusstsein könnten diese scheinbar schwächsten Glieder zu einem unglaublich starken Glied werden. Durch den Einsatz von Technologie, Prozessen und Bewusstseinsschulungen können wir die Wirksamkeit der angewendeten Strategien messen.

Der Mensch könnte als zusätzliche achte Schicht des OSI-Models betrachtet werden – eine zusätzliche Schicht der IT-Kommunikation, von physischen Kabeln bis zu Anwendungen. Das menschliche Element sollten wir ebenfalls dazuzählen. Meiner Meinung nach ist es nicht nur wichtig, das menschliche Element in unsere Sicherheitsstrategien einzuführen, sondern ich bin davon überzeugt, dass das menschliche Element Teil jeder Schicht des OSI-Modells ist. Schliesslich bringen Menschen all die Kabel, Hubs und Repeaters in unseren Netzwerken an und installieren und konfigurieren Switches und Bridges. Menschen entwerfen Dienste, übernehmen deren Konfiguration, Bereitstellung und Wartung und beenden sie wieder. Menschen programmieren, testen und verwenden auch die Webanwendungen.

Wenn wir in jeder Schicht ein menschliches Element finden, müssen wir die Sicherheit als Ganzes betrachten. Dabei sind unsere Benutzer unsere Ressourcen und sind Teil unserer Risikolandschaft mit ihren eigenen Schwachstellen, die es zu berücksichtigen gilt. Auch müssen wir – wie bei allen anderen Ressourcen in unserem Netzwerk – besser verstehen, wie wir die Schwachstellen angehen können.

Bedrohungen von Innen, wie Personen im Unternehmen, die unwissentlich das System gefährden, waren laut IBM X-Force Threat Intelligence Index 2020^[1] im Jahr 2019 für über 8,5 Milliarden Fälle von kompromittierten Daten verantwortlich – diese Zahl ist über 200 Prozent grösser als die Zahl der verlorenen Daten im Jahr 2018. Diese Statistik darf nicht unberücksichtigt gelassen werden. Sie ist für unsere Risikolandschaft unerlässlich. Ein Drittel aller ursprünglichen Angriffsmöglichkeiten ergibt sich durch einen Menschen. Aber wie Ira Winkler in seinem Vortrag mit dem Titel «The Human Exploitation Kill Chain»^[2] erklärt, bestehen mindestens zehn Möglichkeiten, einen Phishing-Angriff zu stoppen, und nur zwei davon beziehen sich auf den Benutzer.

Unsere Geräte sollten so konfiguriert sein, dass E-Mails mit schädlichen Inhalten herausgefiltert werden, bevor sie einen Benutzer erreichen. So sollten unsere E-Mail-Server und -Clients Phishing-E-Mails erkennen und aussortieren. Sobald Benutzer ein E-Mail anklicken, sollten sie darauf hingewiesen werden, schädliche Anhänge nicht zu öffnen oder sich nicht auf schädliche Websites weiterleiten zu lassen. Unsere Tools müssen schädliche Programme davon abhalten, geladen zu werden und Daten an Aussenstehende zu senden, für DLP sorgen, eine Tastatureingabeprotokollierung erkennen usw. Selbst wenn die Angriffsversuche fehlschlagen, müssen unsere Netzwerktools erfolgreiche sowie misslungene Angriffe erkennen und diese sofort abwehren und melden. Wird diese gesamte Technologie genutzt und richtig konfiguriert, dann sollten wir uns auch auf unsere Benutzer konzentrieren – unsere menschlichen Ressourcen.

Die bisherigen Erläuterungen treffen auf die Arbeit in einem Büro mit Arbeitsgeräten zu, die an professionell gesicherte Netzwerke angeschlossen sind. Die Bedrohungen in der heutigen neuen Realität sind jedoch noch grösser, da wir in eine zusätzliche Digitalisierung katapultiert wurden. Dabei verlagern sich unsere Büros nach Hause, auf unsichere Netzwerke und häufig auf persönliche Geräte sowie in ein physisches Umfeld, bei denen nicht unbedingt bewährte Verfahren eingesetzt werden, um den für unsere Arbeit nötigen Datenschutz zu gewährleisten.

Ich bin der festen Überzeugung, dass jede Person, die Verantwortung für Mitarbeitende trägt, eine Schulung zu Bedrohungen von Innen erhalten sollte: wie sie verhindert, erkannt und beseitigt werden können. Wir müssen lernen, wie wir Hinweise auf einen unachtsamen Insider erkennen und wie wir unsere Geräte, Technologien und Maschinen sichern. Wir müssen ausserdem lernen, wie wir unsere Mitarbeitenden schützen, ihnen ein sicheres Arbeitsumfeld bieten, in dem sie erfolgreich arbeiten können, ihre Zufriedenheit steigern, die Fluktuation reduzieren, in die Schulung neuer Mitarbeitender investieren sowie den Abgang hochqualifizierter Mitarbeitender verhindern.

Der niederländische Unternehmer J. C. van Marken führte im Jahr 1894 in einer Abhandlung als Erster den Begriff «Sociale Ingenieurs» (soziale Ingenieure) ein. Dahinter verbarg sich die Idee, dass moderne Mitarbeitende bei der Bewältigung menschlicher Herausforderungen die Unterstützung von Spezialistinnen und Spezialisten benötigen, ebenso wie sie technisches Fachwissen (der traditionelle Ingenieur) brauchen, um nicht-menschliche Herausforderungen (Materialien, Maschinen, Prozesse) zu meistern^[3]. In diesem Artikel konzentrieren wir uns auf das Social Engineering als Mittel, IT-Sicherheitsstrategien zu verstehen, zu verbessern und zu erhalten.

Social Engineering wird oftmals als zu offensiv wahrgenommen. Von Kunden hören wir häufig, dass sie das Bewusstsein der Mitarbeitenden für Social Engineering kaum testen. Sie nehmen fälschlicherweise an, dass sie Geld verschwenden, nur um das geringe Bewusstsein zu beweisen. Von ehemaligen Kunden, die ihre Strategie angepasst haben und nun Schulungen zu Social Engineering durchführen, haben wir aus erster Hand erfahren, dass sich ihre Mitarbeitenden dank den Schulungen, Tests und einem neuen Verständnis möglicher Bedrohungen zu den stärksten Gliedern in ihren Netzwerken entwickelt haben. Darüber hinaus finden Red-Team-Übungen und Simulationen von Vorfällen statt, um zu testen, inwieweit ein Kunde gezielte Angriffe abwehren und darauf reagieren kann. Social-Engineering-Übungen sind eine Art Nachahmung des Gegners mit einem vordefinierten Szenario. Mit ihnen soll ein bestimmtes Verhalten herbeigeführt und gefördert werden und Mitarbeitende sollen die notwendigen Fähigkeiten und Kenntnisse erhalten, um mögliche Eindringlinge zu erkennen. Ausserdem werden Mitarbeitende durch Social-Engineering-Aktivitäten befähigt, fragwürdige E-Mails zu erkennen, die von einer Führungskraft auf Unternehmensebene zu kommen scheinen und in denen sie dazu aufgefordert werden, eine grosse Geldsumme zu überweisen. Die Übungen tragen dazu bei, nachzuvollziehen, dass jemand, der anscheinend vom Hauptsitz anruft und verdächtige Fragen stellt, eigentlich Informationen abgreifen könnte.

Entgegen einiger Meinungen geht es bei guten Social-Engineering-Praktiken nur darum, die Fähigkeiten der Mitarbeitenden weiterzuentwickeln, zu fördern und aufzubauen. Es darf nicht darum gehen, Menschen Angst zu machen, sondern ihnen sollen zusätzliche Fähigkeiten zum Schutz ihres Unternehmens und von sich selbst vermittelt werden.

Ich gratuliere jenen, die eingegriffen, unseren Social-Engineering-Berater zu seiner Identität befragt und sich an den Prozess gehalten haben, d.h. den Berater an den Empfang oder die vorgesetzte Person verwiesen haben. Ich versuche, Veranstaltungen zur Bewusstseinsbildung durchzuführen, die nicht nur aus der üblichen Durchklick-Übung bestehen, um eine Bescheinigung für eine Sicherheitsschulung zu erhalten. Ich möchte, dass Mitarbeitende vor der Herausforderung stehen, ihr eigenes Schloss zu knacken, damit sie genau verstehen, wie leicht es ist, Schränke zu öffnen. Zudem soll klar werden, wie wichtig es ist, keine vertraulichen Dokumente herumliegen zu lassen.

So wie wir die Risikolandschaft in einem normalen IT-Netzwerk festlegen, sollten wir auch unser menschliches Netzwerk regelmässig überprüfen, um die Risikolandschaft und die Angriffsfläche, die auf menschliche Schwachstellen beruhen, zu bestimmen. So wie wir festlegen, was das wichtigste Gut unseres Unternehmens ist – ob Forschung und Entwicklung, patentierte sensible Daten oder ein System, in dem das gesamte Kapital des Unternehmens aufbewahrt wird – müssen wir verstehen, was unser wichtigstes menschliches Gut ist. Es können lohnenswerte Ziele wie Führungskräfte oder Personen sein, die Zugang zu unseren bereits definierten wichtigsten Gütern haben. Genannte Informationen werden dann verwendet, um die Menschen zu verstehen. Aber auch um festzustellen, an welcher Stelle wir unsere IT-Netzwerke sowie Prozesse und Verfahren, die für ein sicheres Umfeld gestärkt werden müssen, neu konfigurieren und somit unsere IT-Sicherheitsstrategie anpassen müssen, damit sie unseren Anforderungen perfekt entspricht.

Quellen:

Die Connecta kann leider nicht wie geplant durchgeführt werden. Sarka Pekarova wäre eine von den 80 Referierenden gewesen. Mit Connecta TV, Dok und Talk wartet ein alternatives Programm auf Sie. Erfahren Sie mehr unter: www.post.ch/connecta.