Im Bosch CyberCompare Benchmarkreport 01/22 haben wir u. a. die größten Handlungsbedarfe aus den Diagnostiken mit mehr als 100 mittelständischen Unternehmen im DACH-Raum vorgestellt. Auf Platz 1 landete unzureichende Mitarbeiter-Awareness und auf Platz 2 mangelhafte Vorbereitung auf den Ernstfall, v. a. Incident Response – also der Fähigkeit, schnell und fachkundig auf Attacken zu reagieren. Dazu haben wir mit Niklas Hellemann von SoSafe und Fred Tavas von Trustwave zwei erfahrene Kollegen gesprochen, um diese beiden Themen noch einmal gesondert zu beleuchten.
Dr. Niklas Hellemann & Fred Tavas
Dr. Niklas Hellemann ist Diplom-Psychologe, Experte für Social Engineering sowie Mitbegründer und CEO von SoSafe – einem Cyber-Security-Awareness-Anbieter. Neben seinem Hintergrund in Business Administration und seiner Tätigkeit als Unternehmensberater bei der Boston Consulting Group studierte er Psychologie, was ihn zum menschlichen Ansatz im technisch versierten Cybersicherheitsmarkt führte. Basierend auf Verhaltenspsychologie und Datenanalyse unterstützt SoSafe Unternehmen dabei, eine nachhaltige Sicherheitskultur aufzubauen – und ihre Mitarbeitenden zu befähigen, sich in der digitalen Welt sicher zu bewegen.
Fred Tavas ist Director Sales Europe bei Trustwave – ein führender Anbieter von Cybersicherheits- und verwalteten Sicherheitsdiensten, der Unternehmen dabei hilft, Internetkriminalität zu bekämpfen, Daten zu schützen und Sicherheitsrisiken zu verringern. Sein Cybersecurity-Fachwissen ist breit gefächert: von Hybrid-SOC/SIEM über MDR und Threat Hunting bis hin zu Penetration Tests und RedTeaming. Somit verfügt er über ein ausgeprägtes Verständnis von Cyber- und Cloud-Sicherheitstechnologien sowie von Angeboten der Konkurrenz.
Erst einmal: Sie sprechen ja ebenfalls täglich mit Kunden – sehen Sie dort ein ähnliches Bild? Oder vielleicht auch ganz andere Top-Themen?
Niklas Hellemann, SoSafe: In einer Umfrage, die wir kürzlich mit über 250 IT-Sicherheitsverantwortlichen in Europa durchgeführten hatten, zeigte sich ein ähnliches Bild: Mehr als 90 Prozent der Expertinnen und Experten sagten, dass Awareness in ihrer Organisation sehr wichtig sei. Davon gaben jedoch 40 Prozent an, das Awareness-Level der Mitarbeitenden sei immer noch niedrig. 99 Prozent der Befragten verkündeten daher, dass im nächsten Jahr das Stärken der organisationseigenen Sicherheitskultur eines der Top-Themen sein wird. Unsere Kundenorganisationen sind schon einen Schritt weiter: Sie haben sich bereits für die Stärkung ihrer Sicherheitskultur entschieden und arbeiten mit uns zusammen, um diese kontinuierlich und nachhaltig zu etablieren.
Was bedeutet es denn überhaupt, Cyber-Security Awareness in einem Unternehmen zu stärken/aufzubauen?
Hellemann: Cyber-Security-Awareness sollte zunächst einmal mehr sein, als die Pflicht, Compliance-Boxen abzuhaken. Stattdessen sollte es darum gehen, eine nachhaltige Sicherheitskultur im Unternehmen aufzubauen und kontinuierlich zu stärken. Dafür ist ein Umdenken nötig: Mitarbeitende sollten nicht länger als „schwächstes Glied“ in der Informationssicherheit gesehen werden – sondern als Möglichkeit einer weiteren, starken Sicherheitsbarriere, der „Human Firewall“. Mit einer nachhaltigen Sicherheitskultur können Mitarbeitende dabei unterstützt werden, sich sicher im digitalen Raum zu bewegen und das Unternehmen so aktiv zu schützen. Essenziell ist dabei, dass es Mitarbeitenden leicht gemacht wird, Cybersicherheit in ihren Arbeitsalltag zu integrieren und dass die Inhalte so vermittelt werden, dass sie auch einfach erlernt und erinnert werden können – Grundlagen der Verhaltens- und Lernpsychologie helfen dabei. Die Lernenden sollten daher immer im Fokus der Inhalte stehen: Inhalte und Informationen sollten so einfach und intuitiv wie möglich vermittelt werden, damit die Lernenden sie nachhaltig im Gedächtnis behalten.
Warum glauben Sie, dass viele Unternehmen im Bereich Cyber-Security-Awareness Nachholbedarf haben?
Hellemann: In der Cybersicherheit wurde der Faktor Mensch allgemein lange Zeit vergessen oder sogar bewusst „ausgeklammert“. Es wurde nahezu ausschließlich auf technische Barrieren gesetzt. Selbst heute hat noch nicht überall das Umdenken stattgefunden, dass Menschen als Teil der Cyberabwehr aktiviert werden müssen. Aber die Zahlen zeigen: 20-30 Prozent der Phishing-Mails schaffen es durch die technischen Filter und Barrieren. Zusätzlich professionalisiert sich die Cyberkriminalität zunehmend weiter. Organisationen sehen sich einer Dark Economy gegenübergestellt, in der Cybercrime-as-a-Service das gängige Geschäftsmodell ist. Taktiken werden im Minutentakt weiterentwickelt. Die Schnittstelle zwischen Mensch und Maschine bleibt dabei weiterhin Einstiegstor Nummer 1 – mehr als 85 Prozent aller Angriffe starten beim Faktor Mensch. Das ist nicht überraschend. Denn die Menschen hinter den Bildschirmen lassen sich auch beim Einsatz der vielfältigsten Tools immer auf eine ähnliche Art und Weise angreifen – über emotionale Manipulation. Cyberkriminelle instrumentalisieren unsere menschliche Psyche auf Basis von Verhaltenspsychologie. Diese komplexen, sich ständig ändernden Entwicklungen können nicht durch sporadische Compliance-Schulungen zur Informationssicherheit abgedeckt werden. Stattdessen ist eine kontinuierliche Weiterbildung sowie eine hohe generelle Awareness für dieses Thema in Unternehmen notwendig. Organisationen müssen sich auf der Verteidigerseite genauso professionell und dynamisch aufstellen wie die Angreiferseite – und diese Priorität ist in vielen Unternehmen noch nicht gesetzt.
Wie Sie schon sagen: der Mitarbeitende als vermeintlich „schwaches Glied“ in der Verteidigungskette wurde schon vielfach beschrieben. Wie gut eignet sich ein reiner Phishing KPI wirklich zur Messung der Awareness im Unternehmen?
Hellemann: Wie gesagt möchten wir gerade diese Sichtweise auf Mitarbeitende ändern. Statt des „schwächsten Glieds“ können sie zu einem starken Bestandteil der Cyberabwehr von Unternehmen werden. Die Awareness im Unternehmen sollte aber tatsächlich nicht nur durch einen Blick auf Klick- und Interaktionsraten mit simulierten Phishing-Mails gemessen werden. Ein weiterer, wichtiger Indikator ist die Reporting-Rate: Sie zeigt letztlich, dass Mitarbeitende noch einen Schritt weitergehen als nicht auf die Phishing-Mail reinzufallen – und zu klicken oder mit der Mail zu interagieren. Stattdessen melden sie die Gefahr an das IT-Team des Unternehmens, und tragen so proaktiv zur Weiterentwicklung der Cybersicherheit eines Unternehmens bei.
Was halten Sie von der Sicht, dass man hier doch besser alternativ in Technik investiert, wie z. B. Mail Security, um die Phishing Mails noch besser auszufiltern, oder verstärkte Cloud-Nutzung oder Konzepte wie Thin Clients, als immer wieder aufwändig in Schulungsmaßnahmen zu investieren mit einem verbleibenden hohen „Restrisiko“?
Hellemann: Bei dieser Diskussion geht es nicht um ein Entweder-Oder. Wenn wir die Evolution und Innovation in der Cybersecurity betrachten, geht es vielmehr um das Erweitern des Schutzes um zusätzliche „Layer“. Sowohl eine technisch starke Abwehr sowie auch eine hohe Awareness sind in einer Organisation notwendig, um diese holistisch und nachhaltig vor Cyberangriffen zu schützen. Durch Technik kann niemals ein Set-Up erreicht werden, welches Cyberkriminelle nicht umschiffen können – dafür gibt es zu viele Angriffspunkte, die sich wie erwähnt aufgrund der Professionalisierung ständig weiterentwickeln. Spear Phishing, Voice Phishing, CEO Fraud sind nur einige der Bereiche, die man sich dafür näher anschauen kann. Daher sollte unser Meinung nach immer in beide Abwehrmechanismen investiert werden: Technik und Mensch.
Nicht alle Mitarbeitende sitzen den ganzen Tag am PC und sind eine ideale Zielgruppe für Web-Trainings, z. B. diejenigen im Bereich Service oder Produktion. Was sollte man dieser wichtigen Gruppe anbieten?
Hellemann: Unsere Inhalte konzentrieren sich in erster Linie auf Mitarbeitende, die in der Regel in Büros mit Internetanschluss arbeiten, da sie mit größerer Wahrscheinlichkeit Ziel von Cyberangriffen sind. Aufgrund der hohen Individualisierbarkeit unserer Inhalte können wir jedoch alle Mitarbeitenden ansprechen – insbesondere von Unternehmen aus der Fertigung und von Krankenhäusern kriegen wir positives Feedback zu unseren Mikromodulen und den Phishing Simulationen, die auch mobil genutzt werden können. Denn grundsätzlich sollten alle Mitarbeitenden in die Awareness-Schulungen integriert werden, um eine nachhaltige Sicherheitskultur zu integrieren.
Abschließend an Sie: sehen Sie im Bereich Learning und Awareness neue Trends, mit denen Unternehmen sich auseinandersetzen sollten?
Hellemann: Bezüglich der Inhalte, über die Mitarbeitende informiert und aufgeklärt werden sollten, gilt, dass nie ausgelernt ist. Aufgrund der ständigen Professionalisierung werden Angriffsstrategien im Minutentakt weiterentwickelt. Das haben wir insbesondere zu Pandemie-Beginn oder zu Beginn des Ukraine-Krieges gesehen, wo aktuelle Informationen für neue Cyberangriffe instrumentalisiert wurden. Daher sollte Inhalte kontinuierlich adaptiert und vermittelt werden. Darüber hinaus sollte die Art der Vermittlung stets den Lernenden in den Mittelpunkt stellen. Gamification ist beispielsweise ein Trend, der sich auszahlt: So ist die Aktivierungsrate von Lernenden beispielsweise um 53 Prozent höher, wenn das E-Learning Gamification verwendet – beziehungsweise wie in unserem Fall „Deep Gamification“: Also nicht nur die Gamifizierung durch „Casual Games“, die nicht mit den Inhalten vernetzt sind, sondern eine gesamtheitliche Gamifizierung der Lernerfahrung und spielerische Vermittlung der Inhalte.
Herr Tavas, sprechen wir über das Thema Incident Response: ein Incident Response Retainer ist vermutlich ein echter Kassenschlager und langweilig wird den Analysten sicherlich nicht. Welche Garantien habe ich denn als Kunde, wenn ich zwar SLAs eingekauft habe, aber die IR-Fähigkeiten beim Anbieter doch ausgelastet sind?
Fred Tavas, Trustwave: Ein professioneller und global aufgestellter DFIR Provider (Digital Forensics und Incident Response) sorgt durch die entsprechende Anzahl von Respondern, dass er in mehr als 99 Prozent der Fälle in der Lage ist innerhalb des SLA zu reagieren. Dabei kann es dann natürlich vorkommen, dass der Responder aus einer anderen Region als der Kunde agiert. Damit garantieren wir im Ernstfall sofortige Verfügbarkeit, in der Regel ca. 15-30 Minuten nach Eingang des Anrufs/Meldung.
Welche Bedeutung kommt aus Ihrer Sicht den Vorort-Einsätzen zu? Wie viel kann heute von Remote unterstützt werden?
Tavas: Die heute zur Verfügung stehenden Technologien bieten fast die gleichen Möglichkeiten wie ein Einsatz vor Ort. Auf jeden Fall kann auf diese Weise sehr schnell reagiert und agiert werden. Sollte sich während der Untersuchung herausstellen, dass ein Einsatz vor Ort notwendig ist, dann kann dies auch organisiert werden.
Viele Cyberversicherungen inkludieren auch Notfallnummern und Zugriff auf entsprechende IR-Teams. Gibt es Argumente, sich zusätzlich mit einem eigenen Retainer zu beschäftigen?
Tavas: Bei diesen Notfallnummern verhält es sich wie bei denen für den Pannen-Service: nach der ersten Panne hat man die Erkenntnis, ob es ausgereicht hat oder man besser den dedizierten Service eines spezialisierten Anbieters gewählt hätte. Da man im Vorfeld mit dem Anbieter nicht direkt interagiert oder agieren kann, bleibt es ein Abenteuer. Insbesondere dann, wenn ein DFIR Partner über den Einsatz hinaus bereits im Vorfeld hinsichtlich technischen wie auch organisatorischen Maßnahmen beraten kann.
Die IT eines mittelgroßen Unternehmens ist ja stets sehr komplex durch die Systemvielfalt, unterschiedliche Netzwerktopologien an unterschiedlichen Standorten, nicht-standardisierte Prozesse usw. Wie gehen Sie damit eigentlich im Rahmen eines Onboardings um? Wie stellen Sie sicher, dass die IR Analysten im Einsatz tatsächlich schnell effektiv arbeiten können?
Tavas: Wichtig ist, dass der Kunde gut vorbereitet ist und (s)eine Dokumentation aktuell verfügbar ist. Jeder Fall ist individuell und beginnt aus Sicht des Responders daher auch immer mit den Informationen, die ihm zur Verfügung stehen. Gerade deswegen ist es umso wichtiger mit seinem Provider VORHER zu sprechen.
Unsere Lieblingsfrage an Sie beide: Sie sind morgen CISO: Welches Thema gehen Sie als erstes an (außer Awareness und IR ;-)) ?
Tavas: 80 Prozent aller Angriffe gehen auf den Endpunkt, dementsprechend ist v.a. ein guter Managed Detection & Response (MDR) Ansatz wichtig. Der Nr. 1 Angriffsvektor sind E-Mails, so dass E-Mail Security kombiniert mit einer modernen SOAR Lösung für automatisierte Gegenmaßnahmen angemessen auf diese Bedrohung reagieren kann.
Hellemann: Neben einer hohen Awareness sollte jedes Unternehmen ein sehr gut aufgestelltes Security Operations Center haben. Das würde ich als erstes
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.
