Beiträge

Sind Best Practices selbstauferlegtes intendiertes Scheitern? Alles eine Frage der Sensibilisierung.

Sensibilisierung — ein bedeu­tungs­vol­les Wort für eine im wahrs­ten Sinne des Wortes bedeut­sa­me Aufgabe. In die­sem Blog-Beitrag wer­den Sie ler­nen, war­um nur tat­säch­lich sen­si­bi­li­sier­te MitarbeiterInnen dazu bei­tra­gen kön­nen, den Schutzbedarf Ihrer Organisation in Bezug auf Informationssicherheit zu wah­ren. Hier betrifft es ins­be­son­de­re jene Risiken, die auf die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten wir­ken und deren Eintrittswahrscheinlichkeit maß­geb­lich durch mensch­li­ches Handeln Ihrer Belegschaft beein­flusst wird.

Aber wir haben doch ein Informationssicherheitsmanagementsystem und schu­len doch unse­re Mitarbeiter regel­mä­ßig. Reicht das nicht?” wer­den Sie viel­leicht den­ken. Nun, es kommt dar­auf an, was Ihr ISMS abdeckt und was Ihre Schulung am Ende bewirkt.

Bemühen Sie doch ein­mal das PONS Wörterbuch. Sie wer­den sehen, dass das latei­ni­sche Wort “sen­sus” eine Vielzahl von Deutungen zulässt und die alten Römer eine Menge mehr als nur “Wissen” oder “Können” mein­ten, wenn sie an “sen­sus” und viel­leicht auch Sensibilisierung dach­ten:

Denn sen­sus meint auch Dinge wie (Sinnes-)Eindruck, (Sinnes-)Wahrnehmung, Sinnesorgan, Besinnung, Bewusstsein, Verständnis, Urteil(sfähigkeit) und sogar inne­re Anteilnahme.

Wenn Sie dem­nach MitarbeiterInnen im wahrs­ten Sinne des Wortes sen­si­bi­li­sie­ren möch­ten, dann müs­sen Sie es schaf­fen, deren inne­re Haltung, Einstellung und Grundhaltung für Ihr Thema in der Art nach­hal­tig posi­tiv zu beein­flus­sen, dass die Augen und Ohren sowie die inne­re Geisteshaltung Ihrer geschul­ten MitarbeiterInnen geeig­net und wil­lens sind, Informationssicherheitsereignisse zu erken­nen, bevor die­se zu Informationssicherheitsvorfällen wer­den.

Und genau dar­um geht es doch eigent­lich, oder?

Nun sagen Sie viel­leicht: “Papperlapapp — Schulung reicht uns, Augen und Ohren der Organisation brau­che ich nicht für mein ISMS. Wir unter­wei­sen und ver­pflich­ten alle MitarbeiterInnen auf die bestehen­den Maßnahmen und Richtlinien. Und wenn sich alle dran hal­ten, dann sind wir com­pli­ant und damit safe. Wer sich nicht dran hält, fliegt raus”.

Kann man machen, ist aber Mist.

Denn Ihr ISMS kann nur jene Maßnahmen“managen”, für die Sie die zugrun­de­lie­gen­den Risiken erkannt und ein­ge­stuft haben. Was aber ist mit den Risiken, von denen Sie nicht mal im Ansatz wis­sen, dass Sie nicht wis­sen, dass es sie gibt. Donald Rumsfeld nann­te die­se (wenn auch in einem ande­ren unschö­nen Kontext) die “unknown unknowns”.

Und Ihr ISMS ori­en­tiert sich mit Sicherheit an Best-Practices, die Ihren MitarbeiterInnen Leitlinien im (siche­ren) Umgang mit (schüt­zens­wer­ten) Informationen lie­fern. BSI-Grundschutz und ISO27xxx beinhal­ten sol­che Best-Practices. Leider sind Best-Practices jedoch immer auch Past-Practices.

Und genau hier dro­hen zwei laten­te Gefahren:

Erstens wird Ihr ISMS immer Lücken haben (“unknown unknowns”). Sonst bräuch­te es ja im Sinne des PDCA-Zyklus auch kei­ne ste­te Verbesserung des sel­bi­gen.

Und zwei­tens wird es immer böse Menschen geben, die sol­che Regelsysteme und deren (Best-)Practices wie ihre Westentasche ken­nen und damit in der Lage sind, das Radar Ihres ISMS bewusst zu unter­flie­gen.

In einem sehr inter­es­san­ten Beitrag von 2013 fass­te Ortmann unter dem Titel “Noch nicht / nicht mehr — Zur Temporalform von Paradoxien des Organisierens” diver­se Ursachen für das Scheitern von Organisationen zusam­men. Eine die­ser Formen cha­rak­te­ri­sier­te er als inten­diert und selbst­auf­er­legt. In die­se Kategorie las­sen sich aus Best-Practices ein­ord­nen. Organisationen schei­tern mit und wegen ihrer sich selbst auf­er­leg­ten Regelwerke.

Das klingt para­dox — und genau dar­um geht es in Ortmanns Artikel und in die­sem Blog-Beitrag. Denn wenn sich eine Organisation Handlungsrichtlinien wie ein ISMS auf­er­legt, dann Scheitern die Akteure (MitarbeiterInnen) der Organisation (in Bezug auf Informationssicherheit) zum einen dann, wenn die Handlungsrichtlinien kei­ne Orientierung und/oder Anschlussfähigkeit mehr bie­ten. Sprich: für ein kon­kret ein­tre­ten­des “unknown unknown” exis­tiert schlicht kei­ne Regel. Es feh­len Anweisungen, wie man sich nun zu ver­hal­ten habe. Dadurch wer­den Mitarbeiter im kon­kre­ten Fall auf­grund ihrer hohen antrai­nier­ten Regelaffinität hand­lungs­un­fä­hig. Das ist das Schlimmste, was im Falle aku­ter Gefährdung Ihrer Informationssicherheit pas­sie­ren kann.

Und zum ande­ren kön­nen trotz kon­se­quen­ter und kor­rek­ter Anwendung aller Regeln Bedrohungen dann nicht erkannt wer­den, wenn bspw. Human Hacker die Best Practices Ihres ISMS genau ken­nen und sich durch ver­meint­lich regel­kon­for­mes Handeln in der Organisation trotz schäd­li­chen Verhaltens nicht zu erken­nen geben. Social Engineering öff­net ver­meint­lich gut ver­schlos­se­ne Türen mit mani­pu­la­ti­ven Techniken nahe­zu geräusch­los und Informationssicherheitsvorfälle gesche­hen unbe­merkt.

Hier wird der Bedarf an sen­si­bi­li­sier­ten MitarbeiterInnen deut­lich. Denn in bei­den Fällen hel­fen MitarbeiterInnen nicht, die ledig­lich geschult, unter­wie­sen und ver­pflich­tet wur­den.

Sie brau­chen in bei­den Fällen sen­si­bi­li­sier­te MitarbeiterInnen. Denn in bei­den Fällen braucht Ihre Organisation wach­sa­me Augen und Ohren, die durch inne­re Anteilnahme intrinsisch moti­viert Auffälligkeiten und Anomalien erken­nen und kom­mu­ni­zie­ren. Und Sie brau­chen eine Belegschaft, die im Falle von “unknown unknowns” beson­nen (das Wort steckt übri­gens auch in “sen­sus”) agiert und sich bei Fehlen kon­kre­ter Handlungsanweisungen und Regeln “sinn­ge­mäß” (also im Sinne des ISMS und Ihrer Sicherheitspolitik) ver­hält.

Sensibilisierung ist also etwas ande­res als eine Schulung. Das BSI und die ISO27xxx for­dern bei­des. Schulung und Sensibilisierung. Das hat sei­nen Sinn und ist gut so. Vielleicht wis­sen BSI und ISO ja auch um die­se orga­ni­sa­tio­na­le Schwachstelle von Best-Practices.

Möchten Sie mehr über unse­re didak­ti­schen Konzepte zur nach­hal­ti­gen Sensibilisierung von MitarbeiterInnen erfah­ren? Dann kommen Sie auf uns zu. Wir stel­len Ihnen unse­ren Ansatz gern im per­sön­li­chen Gespräch vor.

Social Engineering: Die unterschätzte Gefahr

Der Zugriff auf sen­si­ble, schüt­zens­wer­te und für das Unternehmen ele­men­tar über­le­bens­wich­ti­ge (“intel­lec­tu­al pro­per­ty”) Daten will kon­trol­liert, gesteu­ert und geschützt sein, um den Bestand der Unternehmung nicht zu gefähr­den. Kommerzielle Schäden (Umsatzrückgang auf­grund Vertrauensverlust der Kunden, Strafzahlungen gemäß EU-DSGVO) und Reputationsverlust sind da noch das gerin­ge­re Übel, wenn sol­che Daten “abhan­den kom­men”. Vielmehr kann geziel­te Industriespionage die Alleinstellungsmerkmale der Unternehmung zum Ziel haben und damit grund­le­gend den Fortbestand des Unternehmens gefähr­den, wenn intel­le­cu­tal pro­per­ty zum Mitbewerb wan­dert.

Unternehmen fokus­sie­ren daher auf IT-Sicherheit und geben gemäß einer Studie von Statista allein in Deutschland in 2019 voraussichtlich rund 1,4 Milliarden Euro aus.

Das senkt die Wahrscheinlichkeit des tech­ni­schen Einbruchsversuchs, denn wie im wirk­li­chen Leben auch zie­hen Einbrecher lie­ber wei­ter zum nächs­ten Haus, wenn die Eingangstür im Vergleich zum Nachbarhaus gut gesi­chert ist.

Vergessen wird jedoch gern, dass tech­ni­sche Zugänge ja nicht der ein­zi­ge Weg sind, auf die­se schüt­zens­wer­ten Daten zuzu­grei­fen. Denn wenn Ihr Unternehmen nicht zufäl­li­ges und belie­bi­ges Ziel einer Diebesbande ist, son­dern Ihre Daten ganz kon­kre­tes Ziel geplan­ter Angriffe sind, weil bspw. Industriespionage im Vordergrund steht, wer­den Angreifer nicht locker las­sen, um an Ihre infor­ma­tio­nel­len Kronjuwelen zu gelan­gen. Sie wer­den ande­re Angriffswege wäh­len, wenn Hacker tech­nisch nicht wei­ter­kom­men und an den tech­ni­schen Sicherheitsmaßnahmen Ihrer Organisation schei­tern.

Angriffssziel wer­den dann die MitarbeiterInnen Ihrer Organisation, die durch geziel­te und geschick­te Manipulation dazu bewegt wer­den, Daten her­aus­zu­ge­ben, Credentials preis­zu­ge­ben oder Angreifern Türen auf­zu­ma­chen, die durch Technik bis­her gut gesi­chert und ver­schlos­sen waren.

Social Engineering und Sabotage sind laut der Allianz für Cybersicherheit des BSI zwei der zehn bedeut­sams­ten Sicherheitsbedrohungen in 2019. Die Aufmerksamkeit für die­ses Thema beim Aufbau eines ganz­heit­li­chen Ansatzes zum Schutze die­ser sen­si­blen Unternehmensdaten ist jedoch aus unse­rer Erfahrung immer noch viel zu gering.

Wir freu­en uns, dass die Deutsche Oracle Anwendergruppe (DOAG) uns als Speaker ein­ge­la­den hat und wir auf der DOAG Konferenz 2019 in Nürnberg über die­ses wich­ti­ge Thema der Informationssicherheit spre­chen dür­fen. Mit über 2.000 TeilnehmerInnen ist die DOAG Konferenz die füh­ren­de ORACLE Fachkonferenz, auf der das Thema tech­ni­scher Sicherheit von Daten(banken) in den letz­ten Jahren aus genann­ten Gründen zuneh­mend an Bedeutung gewon­nen hat.

Heartbleed ganz anders — wenn Cybercrime zur Herzenssache wird

Scamming. Kennen Sie nicht? Das Wort “scam” meint im Englischen soviel wie “Betrug”, “Masche” oder “Schwindel”. Scamming im Kontext von Cybercrime bedeu­tet dabei kon­kret, Menschen (häu­fig über das Vorgaukeln von Liebe und Hoffnung auf eine gemein­sa­me Zukunft in Zweisamkeit) dazu zu bewe­gen, viel Geld an das ver­meint­li­che Herzblatt zu über­wei­sen. Leider stellt sich für die geprell­ten Opfer irgend­wann her­aus, dass Herzblatt und Geld weg sind — für immer. Es gibt hier­zu im Internet zahl­rei­che Dokumentationen, die die Muster ein­drucks­voll erklä­ren. Wir haben hier exem­pla­risch mal eine für Sie aus­ge­sucht.

Kann mir nie pas­sie­ren!” sagen Sie? Vielleicht haben Sie Recht. Vielleicht nicht. Denn die Taktiken, mit denen Scamming funk­tio­niert sind die sel­ben, wie sie auch (sehr erfolg­reich) im Social Engineering Anwendung fin­den. Die Betrüger appel­lie­ren an Neugier (Sehnsucht nach einer Beziehung), Hilfsbereitschaft, Leichtgläubigkeit, Angst (allein zu sein), spen­den Lob und Anerkennung (Aussehen, Art) und wecken damit Emotionen des Opfers. Man(n) / Frau ist ver­liebt. Liebe macht blind. Hängt das Opfer an der Angel, wird nicht sel­ten Druck auf­ge­baut. Alles typi­sche Triggerpunkte, die im Scamming zur Anwendung kom­men und bewusst “gedrückt” wer­den, damit sich das Opfer wie gewünscht ver­hält. Meist dau­ert die­ser Vertrauensaufbau lang und wird bewusst geschickt Schritt für Schritt inten­si­viert, bis dann das Opfer ver­liebt, die Zeit reif und das Bankkonto leer ist.

Nun wer­den Sie sagen — was hat das mit Informationssicherheit mei­ner Organisation zu tun? Vielleicht nichts. Vielleicht (?) noch nichts. Denn es ist sicher nur eine Frage der Zeit, dass Scamming-Attacken auch dazu genutzt wer­den, Wirtschaftsspionage in Unternehmen zu betrei­ben. Man zielt dann viel­leicht nicht mehr auf das Geld der eigent­li­chen Zielperson.

Wir glau­ben, es wird nur eine Frage der Zeit sein, bis mit Scamming ganz gezielt Herzen von Personen an Schlüsselpositionen des Unternehmens gewon­nen wer­den. Personen, die Zugriff auf die wert­volls­ten Informationen des Unternehmens haben und mit Scamming dazu bewegt wer­den, am Arbeitsplatz Dinge zu tun, um die der Angreifer sie “bit­tet”.  Zielpersonen kön­nen pri­vi­le­gier­te Personen mit beson­de­ren Rechten wie bspw. die Assistenz des Vorstands oder der Leitung Forschung & Entwicklung sein. Hier sind die Regeln der IT-Security zu Gunsten erfor­der­li­cher Flexibilität am Arbeitsplatz meist nicht so streng. Und man ist ja tech­nisch meist sehr gut und umfang­reich gegen Angriffe “von drau­ßen” geschützt.

Komplett unge­schützt ist man aber vor dem Gefallen, der aus Liebe gemacht wird: “Schatz, du wür­dest mir einen gro­ßen Gefallen tun, wenn du für mich was in Deiner Firma aus­druckst. Ich habe hier kein aktu­ell Internet. Daher schi­cke ich Dir mei­nen USB-Stick per Post. Wäre lieb, wenn du den auf dem Stick gespei­cher­ten Vertrag dru­cken könn­test. Es ist sehr wich­tig für mich.”  Und schon ist der Trojaner in Ihrem Netz …

Wenn Sie dem vor­beu­gen und die Prinzipien und Wirkungsweisen von Social Engineering ver­ste­hen möch­ten, bie­ten wir hier­zu einen entsprechenden Workshop für Ihre Organisation.