Mit Human Detection and Response (HDR) zur resilienten Sicherheitskultur: Die riskantesten Verhaltensweisen erfolgreich eliminieren
Eine beunruhigende Tatsache prägt die aktuelle Sicherheitslandschaft: Laut dem Data Breach Investigations Report (DBIR) von Verizon sind 74 Prozent der Sicherheitsverletzungen auf erfolgreiche Social-Engineering-Angriffe, Fehler, Missbrauch und andere menschliche Schwächen zurückzuführen.
Trotz aller Aufklärungskampagnen und technologischer Fortschritte in der Cybersicherheit halten sich riskante Verhaltensweisen hartnäckig, und die Angreifer nutzen die technologische Revolution zu ihrem Vorteil. Die Einführung der Human Detection and Response (HDR) als neue Security-Kategorie könnte den Wendepunkt im Kampf gegen Cyberbedrohungen markieren.
Der aktuelle DBIR zeigt, dass der Anteil der Angriffe, die auf menschlichen Schwächen beruhen, zwar im Vergleich zum Vorjahr leicht gesunken ist, aber mit 74 Prozent immer noch
eine alarmierend hohe Zahl darstellt. Die rasante technologische Entwicklung, insbesondere im Bereich der KI-Sprachmodelle wie ChatGPT, ermöglicht es den Angreifern, Social
Engineering-Angriffe schneller zu erstellen und gezielter auf ihre Opfer zuzuschneiden. Die steigende Anzahl von Sicherheitsverletzungen durch Phishing & Co. deutet darauf hin, dass die Angreifer immer effektivere Kampagnen durchführen können.
Im DBIR war die erfolgreichste Angriffsmethode mit 50 Prozent Pretexting, also eine Social-Engineering-Aktivität mit einem bestimmten Vorwand als Auslöser. Das ist eine Steigerung um das Doppelte im Vergleich zum letzten Jahr. In die gleiche Richtung weisen die Ergebnisse des Cy-Xplorer 2023-Berichts von Orange Cyberdefense. Auch hier ist Phishing der wichtigste Angriffsvektor für Cybererpressung und Ransomware.
Da Cyberkriminelle Schwachstellen innerhalb von 29 Tagen nach ihrer Aufdeckung ausnutzen können und die Verschlüsselung in nur vier Minuten erfolgen kann, ist Zeit ein entscheidender Faktor. Unternehmen und ihre Mitarbeiter müssen schnell und entschlossen reagieren.
Die Ergebnisse beider Berichte bestätigen nun einmal mehr, wie erfolgreich die im Grunde genommen einfachen Mittel der Cyberkriminellen sind. Dazu kommt, dass die meisten dieser Aktivitäten die Absicht verfolgen, den Opfern finanziellen Schaden zuzufügen. Das Problem besteht weiterhin darin, dass es trotz kontinuierlich verbesserten E-Mailfiltern und professionellem Endpunktschutz den Angreifern noch immer gelingt, Schutzmechanismen zu umgehen und derartige E-Mails an ausgewählte Opfer zu versenden.
Die TOP 10 der riskantesten Verhaltensweisen
Mitarbeiter können dem Unternehmen nicht nur von außen, sondern auch intern Schaden zufügen – sei es unbewusst oder bewusst. Die entscheidende Rolle liegt dabei in ihrem Verhalten. Eine umfangreiche Analyse von Daten aus Hunderten von Unternehmen hat die Top 10 der riskantesten Verhaltensweisen von Mitarbeitern ermittelt, die weit verbreitet sind:
- Sie besuchen während der Arbeitszeit und über Firmengeräte oder das Firmennetzwerk Webseiten aus dem Unterhaltungsbereich oder nutzen Streaming-Dienste.
- Sie verbringen Arbeitszeit auf Spiele-Webseiten.
- Sie versenden sogenannte Graymails, E-Mails mit großen Empfängerkreisen, die im Zweifel als Spam-E-Mails eingestuft werden und von den Filtern gerettet werden, was letztlich die Schutzmaßnahmen gegen Phishing-E-Mails schwächt.
- Sie besuchen Webseiten für Erwachsene, die potenziell Malware und Verlinkungen zu bösartigen Inhalten enthalten können.
- Sie führen unerlaubte oder bösartige Anwendungen aus, nachdem sie diese zuvor heruntergeladen haben.
- Sie entdecken riskante Webseiten und rufen sie auf.
- Sie nutzen unerlaubte Wechselmedien wie USB-Sticks, sowohl eigene als auch gefundene.
- Sie geben unerlaubt persönliche Informationen weiter.
- Immer mehr Mitarbeiter greifen auf Cloud-Backup oder Cloud-Speicher zu.
- Wie bereits in Berichten, wie dem von Verizon, erwähnt wurde, öffnen Mitarbeiter bösartige E-Mail-Anhänge.
Wenn also schädliches Verhalten erfolgreiche Cyberangriffe begünstigt und Branchenreports dieses auch als Schwachstelle identifizieren, sollten Unternehmen Maßnahmen zu deren Behebung ergreifen. Für viele Jahre jedoch wurde in zu vielen Unternehmen die IT-Sicherheit rein auf der Technikebene diskutiert. Mitarbeiter und wie sie besser vor Phishing und anderen Social Engineering-Methoden geschützt werden können, kamen in vielen Sicherheitsstrategien nicht vor. Langsam ändert sich jedoch etwas und die Security Awareness hat sich von einem Nischendasein hin zu einem wichtigen Element der Unternehmenskultur entwickelt.
Von der reinen Awareness muss nun der Übergang zur nachhaltigen Verhaltensänderung erfolgen, zusammen mit der Etablierung einer starken Security-Culture. Aus diesem Grund gibt es nun eine eigene Kategorie, um die Bewertung des eigenen Ist-Zustandes in Sachen Security Awareness zu vereinfachen.
Human Detection and Response als neue Security-Kategorie
Human Detection and Response (HDR) ist in seiner Konzeption ähnlich wie Extended-Detection and Response (XDR), jedoch liegt der Fokus von HDR auf der menschlichen Ebene einer Cybersicherheitsstrategie. Es korreliert, identifiziert und reagiert auf Zehntausende von erkannten Cyberereignissen, die mit dem riskanten Sicherheitsverhalten der Benutzer in Verbindung stehen und innerhalb der bestehenden Sicherheitsinfrastruktur auftreten. Als Resultat führt HDR zu einer erheblichen Zeitersparnis für das chronisch überlastete Security-Operations-Center-(SOC)-Team. Die Menge an durch wiederholtes Risikoverhalten verursachten Warnmeldungen wird reduziert, sodass sich die SOC-Mitarbeiter verstärkt auf Cyberbedrohungen mit höherer Priorität konzentrieren können.
Um eine Verhaltensänderung herbeizuführen, ist es entscheidend, Benutzer kontinuierlich und möglichst in Echtzeit zu trainieren und zu schulen. Konstruktives Feedback nach einem Vorfall kann nicht nur emotionale Spannungen und Schamgefühle auffangen, sondern auch nachhaltig zur Entwicklung von Verhaltenskompetenz beitragen. Hierbei können benutzerdefinierte Kampagnen eingesetzt werden, um einzelne Mitarbeiter gezielt weiterzubilden. Dieser kontextuelle Ansatz eröffnet neue Möglichkeiten im Bereich des Trainings. Am Ende führt dies zu einer geschlossenen und effizienten Abwehrkette, die es den Angreifern immer schwieriger macht, erfolgreich einzudringen.
Lösungsansatz Echtzeit-Coaching
Sichere Verhaltensweisen sind ein deutlicher Indikator für eine fortgeschrittene Sicherheitskultur. Echtzeit-Coaching spielt hierbei eine entscheidende Rolle, indem Benutzern Lerninhalte als Reaktion auf riskantes Sicherheitsverhalten bereitgestellt werden. IT-Sicherheitsexperten können ihre Echtzeit-Coaching-Kampagnen so konfigurieren, dass sie den Benutzern sofort einen Sicherheitstipp zu erkannten Vorfällen geben.
Ein typisches Beispiel für riskantes Verhalten ist das Öffnen eines infizierten E-Mail-Anhangs, der Ransomware im Firmennetzwerk verbreiten könnte. Ebenso kann es sich um den Versuch handeln, eine Webseite mit eingeschränktem Inhalt auf einem Arbeitscomputer zu besuchen. In solchen Fällen erkennen die Sicherheitsprodukte das Verhalten und erstellen eine Ereigniswarnung. Eine spezielle Coaching-Software verknüpft dieses Ereignis mit relevanten Lerninhalten und sendet dann über Plattformen wie Microsoft Teams, Slack oder per E-Mail einen Sicherheitstipp an den Benutzer, der vor dem Öffnen der Webseite oder des E-Mail-Anhangs warnt und eine Erklärung liefert.
Die Möglichkeiten, die durch Echtzeit-Coaching entstehen, lassen sich wie folgt zusammenfassen:
1. Echtzeit-Coaching basierend auf riskantem Benutzerverhalten: Mitarbeiter erhalten über Kollaborationsplattformen wie Microsoft Teams oder Slack sofortiges Feedback, wenn
riskantes Verhalten auftritt.
2. Durch das Zusammenspiel mit bestehenden Endpoint-Security-Lösungen können Warndaten über erkannte Benutzerereignisse ausgelöst werden, die ein Risiko für das
Unternehmen darstellen.
3. Verbesserung des menschlichen Risikos in Echtzeit: Mit einem datengesteuerten Ansatz können menschliche Risiken quantifiziert und reduziert werden, indem Echtzeit-Verhaltenscoaching mit bestehenden Technologien kombiniert wird.
4. Effizienzsteigerung für Security-Analysten: Die Auslastung des Security-Operations-Centers wird durch Automatisierung und Reduzierung riskanter Benutzerverhalten verringert, wodurch sie sich auf höher priorisierte Cyberbedrohungen konzentrieren können.
Die Einführung von Human Detection and Response als neue Security-Kategorie könnte den lang ersehnten Durchbruch im Kampf gegen Social-Engineering-Angriffe und andere menschliche Schwächen bringen. Es ist an der Zeit, die Sicherheitskultur zu stärken und die Belegschaft zu einer entscheidenden Verteidigungslinie gegen Cyberbedrohungen zu machen.
Die Zukunft der Sicherheit liegt nicht nur in der Technologie, sondern auch im Menschen – mit HDR als Leitfaden in der neuen Ära der Security Awareness.
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4