Der menschliche Faktor: ein unterschätztes Problem in der Cybersicherheit

news

Der menschliche Faktor ist die treibende Kraft hinter den meisten Problemen im Bereich der Cybersicherheit.

Weiblicher Kopf im Cyberspace

Der menschliche Faktor [engl. Human Factor] wird als eines der 10 größten Probleme im Cyberspace im Jahr 2023 angesehen. Oftmals wird dem Aspekt der menschlichen Psychologie, dem Faktor Mensch, nicht die nötige Aufmerksamkeit geschenkt, wenn es darum geht, Maßnahmen zur Informationssicherheit im Unternehmen zu treffen. Er ist ebenso besorgniserregend wie externe Angriffe. Forscher haben herausgefunden, dass etwa 88 % aller Datenschutzverletzungen auf Fehler von Mitarbeitern zurückzuführen sind. Cybersicherheit ist also nicht nur ein technisches Problem.

Was bedeutet der menschliche Faktor im Zusammenhang mit Cybersicherheit?

  1. Der menschliche Faktor in der Cybersicherheit bezieht sich auf Situationen, in denen menschliches Versagen zu einer erfolgreichen Daten- oder Sicherheitsverletzung führt.
  2. Menschliches Versagen ist definiert als ein Benutzerfehler, der auf einen Phishing-Angriff oder eine böswillige Insider-Aktion hereinfällt.
  3. Sie können aus Nachlässigkeit, mangelndem Bewusstsein oder unangemessenen Zugangskontrollen resultieren.

Menschen gelten als die schwächste Komponente in der Sicherheit jeder IT-Infrastruktur und stellen die größten Risiken und Bedrohungen für ein Unternehmen dar.

Die Ursachen von Vorfällen im Zusammenhang mit dem menschlichen Faktor

Die Vorfälle werden sowohl von Mitarbeitern mit geringen Kenntnissen zum Thema Cybersicherheit als auch von IT-Fachpersonal verursacht. In der Literatur wird der menschliche Faktor in drei große Kategorien unterteilt:

Phishing Klickraten abhängig vom Fachbereich im Unternehmen
Quelle: Psychology of Human Error 2022

Benutzerfehler

Die Nachlässigkeit von Mitarbeitern oder Auftragnehmern, die zum Diebstahl von Zugangsdaten führt, macht laut der aktuellen Studie des Ponemon Institute, 2022 Cost of Insider Threats Global Report, 74 % aller Insider-Bedrohungsvorfälle aus und verursacht durchschnittliche Kosten von 484.931 US-Dollar pro Vorfall.

Beispiele für Benutzerfehler sind Fälle in denen Mitarbeiter

  • vertrauliche E-Mails an falsche Adressen oder E-Mails mit falschen Anhängen versenden
  • Anwendungen ausführen, die zu Datenlecks führen können und
  • von IT-Teams technische Fehlkonfigurationen durchführen

Die Forscher haben herausgefunden, dass die Hauptursachen für menschliches Versagen in der Ablenkung während der Arbeit im Home-Office liegen oder wenn die Mitarbeiter müde und gestresst sind. Aber auch, weil sie schnell arbeiten und unter Druck stehen oder ausgebrannt sind.

Benutzerfehler können jedem passieren. Irren ist menschlich. Das bedeutet, dass nicht nur Mitarbeiter, denen das Bewusstsein für die Cybersicherheit fehlt, sondern auch IT- und Cybersicherheitsexperten Fehler machen.

Phishing Angriff

Insider können durch einen Phishing-Angriff selbst zum Opfer werden. In diesen Fällen fungieren die Insider als Einfallstor für kritische Informationen und Infrastrukturen von Unternehmen. Die Methoden für Phishing-Angriffe nehmen ständig zu. Die bekanntesten sind

  • Phishing-E-Mails
  • Link-Manipulation
  • gefälschte Websites
  • CEO-Betrug
  • Mobile Phishing/Smishing
  • Voice Phishing/Vishing
  • Malvertising 

Die von Tessian durchgeführte Untersuchung Psychology of Human Error 2022 lieferte einige sehr interessante Ergebnisse. Es stellte sich heraus, dass die Phishing-Klickraten je nach der Abteilung, in der die Mitarbeiter arbeiten, stark variieren:

Cost of a Data Breach Report 2022
Quelle: basierend auf dem IBM Security Report “Cost of a Data Breach Report 2022”

Die Forscher gehen davon aus, dass die Wahrscheinlichkeit, auf Phishing-Angriffe hereinzufallen, im Finanz-, Rechts- und Betriebsbereich geringer ist, da dort strenge Datenschutzbestimmungen gelten. Aber dieses Ergebnis zeigt erneut, dass menschliches Versagen jedem passieren kann. Die Kernfrage ist, wie die Organisation auf solche Vorfälle vorbereitet ist.

Viele Vorfälle sind nur möglich, weil die Menschen nicht mehr oder zu wenig miteinander reden.

Es gibt zwei Grundregeln, wann man alarmiert sein und besondere Vorsicht walten lassen sollte:

  • wenn jemand Zeitdruck auf Sie ausübt und/oder
  • Finanzen oder personenbezogene kritische Daten betroffen sind

Böswillige Insider

Die Bedrohung durch Insider stellt für jedes Unternehmen ein großes Risiko dar, da böswillige Insider über ein umfangreiches Wissen verfügen, das es ihnen ermöglicht, wirksame Angriffe auf die Vermögenswerte des Unternehmens zu unternehmen. Die Angreifer wissen, wo sich die kritischen Informationen befinden, wo die "Kronjuwelen" versteckt sind. Außerdem ist die Zeit bis zur Entdeckung eines Angriffs dank des Insiderwissens im Durchschnitt länger als bei anderen Arten von Cyberangriffen.

Mit Insidern sind mehrere Akteure gemeint. Es handelt sich um Mitarbeiter, Organisationsmitglieder und diejenigen, denen die Organisation sensible Informationen und Zugang gewährt hat. Aber auch Auftragnehmer, Lieferanten, Aufsichtspersonen oder Reparaturpersonal. Grundsätzlich gilt jeder, dem die Organisation Zugang zu sensiblen Informationen gewährt hat, als Insider.

Zu diesem Thema haben wir kürzlich einen eigenen Blogpost veröffentlicht.

Die Herausforderungen bei der Bewältigung der Vorfälle

Laut dem "Cost of Data Breach Report 2022" von IBM Security benötigten Unternehmen durchschnittlich 277 Tage (etwa neun Monate), um eine Datenschutzverletzung zu entdecken und zu melden. Die häufigste Ursache für Datenschutzverletzungen im Jahr 2022 waren gestohlene oder kompromittierte Identitäten, wobei es etwa 243 Tage dauerte, diese Art von Angriffen zu entdecken und 84 Tage, sie einzudämmen.

Die Grafik zeigt, dass in den meisten Fällen Insider beteiligt sind: entweder als Angreifer oder sie werden für die Zwecke der externen Angreifer ausgenutzt. Wie bereits erwähnt, haben die Forscher herausgefunden, dass etwa 88 % aller Datenschutzverletzungen durch einen Mitarbeiterfehler verursacht werden.

Es gibt kein Patentrezept zur Verhinderung eines Cyberangriffs

Alle technischen Lösungen helfen nichts, wenn ein Mitarbeiter eine E-Mail öffnet, die mit Viren belastet ist. Oder wenn sich externe Agenten durch erfolgreiche Phishing-, Smishing- oder Social-Engineering-Angriffe Zugang zur Infrastruktur des Unternehmens verschaffen.

Oft hört man das Argument: „Ja, gut, aber wir haben doch eine Firewall installiert, da sollte doch nichts passieren.“ Aber man sollte nicht vergessen, dass eine Firewall kein magisches Werkzeug ist, um einen Cyberangriff zu verhindern. Eine Firewall ist nur eine Antwort auf bereits bekannte Hacking-Methoden. Die Cyberkriminellen entwickeln ständig neue Methoden, und die Firewall-Anbieter passen sich nur diesen an. Nicht andersherum.

Unternehmen müssen auf Cybervorfälle vorbereitet sein. Cyberangriffe können kostspielig werden, wenn sie nicht schnell gelöst werden.

Um dieser Bedrohung zu begegnen, sollten Unternehmen ein Informationssicherheitsmanagementsystem im gesamten Unternehmen einführen, um sensible Informationen zu sichern und zu schützen. Außerdem müssen Unternehmen ein Programm für das Management der Geschäftskontinuität einrichten, um sicherzustellen, dass sie ihren Betrieb während und nach einem Notfall oder einer größeren Störung aufrechterhalten können.

Am wichtigsten ist jedoch, dass die Unternehmen ein umfassendes Schulungsprogramm zur Cybersicherheit für alle Mitarbeiter und Auftragnehmer einführen. Ziel ist es, das Risiko von Insider-Bedrohungen zu minimieren, die durch unwissende oder unvorsichtige Handlungen von Nutzern aufgrund mangelnder Kenntnisse über Informationen und Cybersicherheit entstehen.

SEC Consult hat eine Reihe von Dienstleistungen und Programmen entwickelt, um Ihre Organisation zu begleiten und zu unterstützen.

Mehr zum Thema

Über den Autor

[Translate to German:] Anna-Maria Praks
Anna-Maria Praks
SEC Consult
R&D Lead Vulnerability Lab

Anna-Maria ist eine Fachfrau mit über 25 Jahren Erfahrung in der Sicherheitsbranche. Zu ihren Fachgebieten gehören Cybersicherheit, Verteidigungs- und Sicherheitspolitik, internationale Beziehungen und Regierungsangelegenheiten. Anna-Maria hat im Laufe ihrer Karriere in der Politik, in der Wissenschaft und in der Privatwirtschaft gearbeitet. Seit 2015 arbeitet sie als Forschungs- und Entwicklungsmanagerin bei SEC Consult.

 

Zurück