Wozu sensibilisieren wir?

Warum müssen Mitarbeiter: innen für IT-Sicherheit sensibilisiert werden, wozu trainiert werden? Die häufigste Antwort darauf lautet: 90 Prozent aller erfolgreichen Angriffe starten doch angeblich mit dem Menschen, das müsse man durch Sensibilisierung und Schulungen ändern. Das ist aber ein gefährlicher Trugschluss. Zwar steht Social-Engineering am Anfang der meisten erfolgreichen Angriffe, doch wer Mitarbeiter:innen verantwortlich macht und nur auf Schulungen setzt, hat schon verloren. Ein einfaches Beispiel: Ist es möglich, dass in einer Organisation mit zehntausenden Angestellten wirklich niemand auf einen gefährlichen Link klickt? Nein, sicher nicht! Entscheidend ist, was dann passiert: Haben die Mitarbeiter:innen einen Passwortmanager im Browser, der sie daran hindert, ihre Zugangsdaten auf der Phishing-Website einzugeben, sind die Accounts durch einen zweiten Faktor geschützt? Und wenn Malware auf die Geräte heruntergeladen wird: Sind die Systeme auf dem aktuellen Stand, gibt es Frühwarnsysteme für verdächtige Aktivitäten, können infizierte Geräte leicht ausgesperrt werden? Sind verifizierte E-Mails klar als solche gekennzeichnet, sodass die Angestellten sich nur noch wenige potenziell gefährliche genau anschauen müssen?

Phishing-Finder-Ninjas

Mit anderen Worten: Die technische Verteidigung des Unternehmens muss Angriffe verhindern, die Mitarbeiter:innen können das nicht – es sei denn, sie werden Phishing-Finder-Ninjas, die nur noch wenig Zeit und Aufmerksamkeit für ihre eigentlichen Aufgaben haben. In Sensibilisierungsmaßnahmen und Trainings wird aber so getan, als müssten sie es: „Klicken Sie auf diesen Link und Ihre Organisation ist erledigt.“

Selbstverständlich müssen Mitarbeiter:innen sicheren Routinen folgen, beispielsweise die Kommunikation und der Datenaustausch über vorgesehene Kanäle, ein sicherer Umgang mit Zugangsdaten, der Schutz vor Diebstahl ihrer Geräte, das Sperren ihrer Geräte beim Verlassen des Arbeitsplatzes oder das Verhindern von Tailgating. Doch zu diesen Routinen tragen aktuelle Sensibilisierungsmaßnahmen und Trainings wenig oder gar nichts bei: Sie sind meist generisch, nicht an die Richtlinien der Organisationen und an verschiedene Mitarbeitergruppen angepasst, erzeugen Furcht und geben keine umsetzbaren konkreten Sicherheitshinweise. So ist das Erkennen von Phishing-E-Mails aller Art eine unlösbare Aufgabe, die selbst Sicherheitsexperten nicht hinbekommen. Das zeigt anschaulich ein Vortrag von Linus Neumann, Sprecher des Chaos Computer Clubs aus dem Jahr 2019: Er fiel auf eine Phishing-E-Mail herein, wollte seine Zugangsdaten auf der Phishingseite eingeben, wurde dann aber durch seinen Passwortmanager vor Schlimmerem geschützt, der keine Zugangsdaten für die gefälschte Website finden konnte.[1] Ein konkreter Tipp in einem guten Training könnte somit lauten: Nutzen Sie Passwortmanager. Und nicht: Erstellen Sie komplexe, einzigartige Passwörter für alle Ihre Accounts – in der Praxis sind das oft Hunderte. Doch das liefern die meisten Trainings nicht.

Phishing-Simulationen ohne Effekte

Trotzdem sind sie auf dem Vormarsch: Weltweit werden bereits heute mehrere Milliarden Euro pro Jahr für Sicherheitssensibilisierungs-Produkte ausgegeben. Dieser Trend wird auch dank ISO 27001 und dem BSI-Grundschutz vorangetrieben, die diese Maßnahmen verpflichtend machen, ohne konkret aufzuzeigen, wie die Sicherheit der Organisation dadurch erhöht wird. Aus Sicht der Wissenschaft fehlt bisher jedenfalls ein valider Nachweis, der einen nachhaltig positiven Effekt zeigt.

Bei den ebenfalls zunehmend beliebten Phishing-Simulationen ist es noch deutlicher: Wie eine groß angelegte Studie der ETH Zürich, welche die Daten von 14.000 Mitarbeiter:innen über die Dauer einer Phishing-Simulation von einem Jahr erhoben hat, zeigt, gibt es keine nennenswerten positiven Effekte dieser Simulationen und eingebetteter Trainings auf das tatsächliche Klickverhalten der Mitarbeiter:innen.[2] Wofür werden sie dann durchgeführt? Unter der Hand ist schon länger bekannt, dass es einfach um das Generieren vorzeigbarer Messgrößen geht, namentlich den fallenden Phishing-Mail-Klickraten, während einer Phishing-Simulation. In einer bald erscheinenden Studie, die wir über die Dauer von acht Monaten mit 30 Chief-Information-Security-Officern (CISOs) durchgeführt haben, werden diese Erkenntnisse erstmals auch empirisch bestätigt: CISOs brauchen diese Zahlen für ihre Berichte ans Management, um den angeblichen Erfolg der Trainingsmaßnahmen zu zeigen.

Falsche Schuldzuweisungen

Auf die Klickrate fixierten Organisationen geht es nicht darum, das Sicherheitsverhalten der Mitarbeiter:innen zu verbessern, sondern ihnen die Verantwortung aufzuladen: Wer nach dem Training immer noch klickt, ist schuld. Man hört aus der Praxis oft, darum gehe es nicht, sondern darum, die „Fehlerkultur“ zu verbessern. Aber die Auswirkungen auf die Produktivität und das Verhältnis zu den Mitarbeiter:innen werden außer Acht gelassen. Wenn sie aus Furcht legitime E-Mails nicht bearbeiten oder die Sicherheits- und Support-Desks vor lauter Meldungen von „vielleicht doch verdächtigen“ E-Mails ihre Arbeit nicht mehr wie gewohnt ausführen können, leidet die Produktivität. Die Furcht, vom eigenen Arbeitgeber reingelegt und mit Begriffen wie „Schwachstelle“ belegt zu werden, schafft negative Erfahrung, die Organisationen gerade vor dem Hintergrund des Fachkräftemangels vermeiden sollten.

Alles in allem scheinen die aktuellen „Best Practices“ also nur dazu zu taugen, die gewünschte Zertifizierung zu erhalten. Der Organisation ist dadurch nicht geholfen: Sie ist nicht nur nicht sicherer, sondern verliert auch noch Produktivität.

Sicherheitslernkurve

Was also kann man anstelle dessen tun? Hierfür haben wir die sogenannte Sicherheitslernkurve [3] (vgl. Abbildung 1) entwickelt. Sie ist ein Modell, das aufzeigt, wie Organisationen ihre Mitarbeiter:innen in neun Schritten zu sicherem Verhalten führen können. Das klingt vielleicht etwas theoretisch, doch die Schritte sind praktisch leicht umsetzbar.

Was man zunächst braucht, ist Sicherheitshygiene: IT, Policies, Sicherheitsmaßnahmen müssen für die Mitarbeiter:innen einwandfrei funktionieren. Sie müssen leicht verständlich anwendbar sein und dürfen nicht in der Erfüllung der eigentlichen Aufgaben stören. Das scheint trivial zu klingen, doch unsere Forschung zeigt seit Jahrzehnten und immer wieder, dass die meisten Organisationen nicht an die Usability ihrer Sicherheit denken. Beispiele sind zu viele verschiedene Zugangsdaten, restriktive Firewallregeln, die das Internet praktisch unbenutzbar machen oder ein nicht erreichbares IT-Sicherheitsteam.

Wenn eine Organisation diese Voraussetzungen nicht erfüllt, müssen die verantwortlichen CISOs oder Informationssicherheitsbeauftragten gar nicht erst über Trainings und Sensibilisierungsmaßnahmen nachdenken, um die es in den Schritten 2 bis 4 geht (vgl. Abbildung 1). Führen sie jedoch solche Trainings durch, sollten sie darauf achten, dass sie zielgruppenspezifisch arbeiten. Administratoren brauchen ein anderes Sicherheitswissen als Mitarbeiter:innen in der Personalabteilung.

Will man verhindern, dass Mitarbeiter:innen die Trainings nicht einfach durchklicken und wieder vergessen, ist es wichtig, eine Sicherheitsmission zu erstellen: Ziele, hinter denen auch die Geschäftsführung steht. Die Angestellten sollten dieser dann explizit zustimmen, indem sie unterschreiben, dass sie sich dieser Mission verpflichtet fühlen. Mitarbeiter:innen müssen daran glauben, dass sie mit ihrem Verhalten einen Unterschied für die Sicherheit der Organisation bewirken, denn sie brauchen eine funktionierende Selbstwirksamkeitserwartung.

Schlechte Trainings, die Angreifer als übermächtig zeigen, oder Phishing-Simulationen, die Mitarbeiter:innen regelrecht zum Klicken verführen – so geschehen bei den Asklepios Kliniken in 2021, die ihre Mitarbeiter:innen mit falschen Versprechen für Corona-Boni phishten [4] – bringen nichts. Richtig wäre hier an konkreten umsetzbaren Beispielen vorzuführen, wie sich die Sicherheit erhöhen lässt, beispielsweise indem man ein Video vorspielt, das zeigt, wie erfolgreich Tailgating verhindert wurde.

Anschließend geht es darum, erlernte Fähigkeiten praktisch zu trainieren, zum Beispiel probeweise die Backup-Codes der Zwei-Faktor-Authentisierung benutzen, um selbst zu erleben, dass man erlernte Maßnahmen erfolgreich anwenden kann. Im vorletzten Schritt werden psychologische Interventionen eingesetzt, um das Einbetten neuer, sicherer Routinen zu unterstützen. Das kann zum Beispiel das sogenannte „Willentliche Vergessen“ sein, bei dem durch das Verändern von auslösenden Hinweisreizen alte Routinen vergessen werden, oder aber das beliebte Nudging. Im letzten Schritt ist das sichere Verhalten erreicht. Um es zu erhalten, kann die Organisation unter anderem Belohnungen einsetzen.

Fazit

IT-Sicherheit wird bekanntlich immer wichtiger, der Schaden, den es abzuwenden gilt, immer dramatischer. Was wir in diesen Zeiten nicht brauchen, sind gegenseitige Schuldzuweisungen – vor allem nicht in Richtung der Mitarbeiter:innen und Endnutzer. Wir brauchen Vertrauen zueinander und Kooperation – die Sicherheitsforschung weiß das schon lang.[5]

Fangen Sie damit an, sich als Sicherheitsteam in den verschiedenen Abteilungen vorzustellen. Fördern Sie eine Fehlerkultur, ermuntern Sie andere, sich zu melden, wenn sie denken, etwas Verdächtiges bemerkt zu haben oder möglicherweise einen Fehler begangen zu haben. Beschuldigen Sie Laien nicht für etwas, das sie nicht abwenden konnten. Zeigen Sie Verständnis. Sie werden merken: Als vertrauensvoller Partner wahrgenommen zu werden, fördert nicht nur die eigene Freude im Job, es etabliert auch gleich ein menschliches Frühwarnsystem gegen Angriffe. Und dann hat man erreicht, was man eigentlich mit einem Training schaffen wollte: Die Organisation ist sicherer.

Literatur

[1] Linus Neumann, Hirne Hacken, https://media.ccc.de/v/36c3-11175-hirne_hacken#t=580
[2] Lain et al., Phishing in Organizations: Findings from a Large-Scale and Long-Term Study, 2022
[3] Sasse et al., Rebooting IT Security Awareness – How Organisations Can Encourage and Sustain Secure Behaviours, 2022
[4] Bild-Zeitung, Asklepios verteilt Fake-Gutscheine an Corona-Helden, www.bild.de/regional/hamburg/hamburg-aktuell/klinik-konzernasklepios-
verhoehnt-50-000-mitarbeiter-mit-fake-gutschein-77030946.bild.html
[5] Coles-Kemp et al., Why Should I? Cybersecurity, the Security of the State and the Insecurity of the Citizen, 2022