Immer mehr IT-Abteilungen vertrauen auf Penetrationstests oder Bug-Bounty-Programme und simulieren Cyberattacken, um ihre Mitarbeiter zu sensibilisieren. Grund dafür ist der explosionsartige Anstieg von Cyberbedrohungen. Egal ob man nun die Sicherheitsmaßnahmen oder die digitalen Reflexe der Angestellten prüfen möchte: Die Simulation von Cyberattacken trägt zu einer erhöhten Wahrnehmung von Cyberrisiken bei.
Kennen Sie Jeremy aus dem Marketing-Team? Den Neuen im Team aus dem ersten Stock? Sie halten ihn für harmlos? In Wahrheit ist Jeremy ein sehr erfahrener Hacker, der vom Unternehmensleiter eingestellt wurde, um vor Ort einen Penetrationstest durchzuführen. Ihm wurde freie Hand gelassen, und seine Kollegen werden dies bald entdecken. Diese Geschichte könnte geradezu aus einem Thriller stammen, findet sich jedoch in der 36. Folge des Cybersicherheits-Podcasts Darknet Diaries, die „Jeremy from Marketing“ getauft wurde. Hierbei geht es um einen internen Angriff, der möglichst viele Schwachstellen aufdecken und somit das Sicherheitsniveau der Infrastrukturen und Netzwerke einstufen soll.
Das Simulationsgeschäft boomt
Heute bieten immer mehr Unternehmen Penetrationstests sowie praktische Übungen für Mitarbeiter an. Rollenspiele, simulierte Cyberattacken – die Entwicklung der Cybersicherheitskultur in Unternehmen wird immer immersiver. Ob man nun die Sicherheitsmaßnahmen oder die digitalen Reflexe der Mitarbeiter prüfen möchte, solche Aktivitäten können tatsächlich zur erhöhten Wahrnehmung potentieller Bedrohungen beitragen.
Pentesting oder Bug-Bounty-Programme, mit denen man ein Produkt oder eine Netzwerkinfrastruktur angreift, um ihre Stabilität oder Sicherheit zu beweisen, sind in der Cyberwelt mittlerweile gängig. Häufig greifen Unternehmen sogar auf externe Anbieter zurück, um ihre Sicherheitsvorkehrungen prüfen zu lassen. „Beim Black-Box-Pentesting hat die beauftragte Person Zugriff auf realen Daten und wird versuchen, das Netzwerk von außen anzugreifen“, erklärt Uwe Gries, Country Manager DACH bei Stormshield. „Andererseits kann man besagter Person auch Zugriff auf Code und Ablaufregeln gewähren, damit sie durch Korrekturlesen des Codes versucht, die Schutzmechanismen zu umgehen. Dies nennt man dann White-Box-Pentesting.“
Einer Berücksichtigung würdig sind ebenfalls Wettkämpfe zwischen Red und Blue Teams. Dabei testet das Red Team die Sicherheit eines Betriebs, eines IT-Netzwerks oder einer Anlage durch Hacking-Techniken, während das Blue Team versucht, die Attacke abzuwehren. Im Juni 2019 hatte das französische Verteidigungsministerium beispielsweise eine solche Simulation mit dem Ziel vorgenommen, „den Handlungen des Gegners vorzugreifen“. Solch eine Simulation einer Cyberattacke soll also die Schwachpunkte eines Unternehmens kenntlich machen. Weitere Teams, wie in der sogenannten BAD-Pyramide (Build, Attack, Defend“) erwähnt, können zusätzlich hinzugezogen werden, wenn man die Übung noch effizienter gestalten möchte.
Fallen können zur Sensibilisierung beitragen
Eine vor Kurzem durchgeführte IBM-Studie, die im Blog usecure genannt wird, unterstreicht, dass menschliches Versagen 95 % der Sicherheitslücken eines Unternehmens ausmacht. Anders ausgedrückt: Die korrekte Handhabung des menschlichen Faktors könnte die meisten Lücken ausmerzen, da die reine Absicherung des Perimeters unzureichend sein und jede Person ein Angriffsvektor werden kann. 30.000 Mitarbeiter des französischen Wirtschaftsministeriums gerieten in die Falle, die von ihrer eigenen Sicherheitsabteilung mit dem Ziel gestellt wurde, die den Phishing-Risiken ausgesetzten Mitarbeiter zu sensibilisieren und ihnen beizubringen, wie sie mit potenziellen Angriffen und den daraus resultierenden Schäden umgehen können. Und das mit Erfolg!
Aufgrund des Kostenfaktors solcher Vorgänge kann sich jedoch nicht jedes kleine oder mittlere Unternehmen leisten, solche Cyber-Übungen umzusetzen. Aus diesem Grund entscheiden sich die CISOs dann eher dafür, sich vom Prinzip des Red- und Blue-Team- Rollenspiels in kleinerem Umfang inspirieren zu lassen. Um realitätsnahe Bedingungen zu schaffen, sollten die zu attackierenden Mitarbeiter möglichst nichts von der Übung wissen. So könnte beispielsweise einem Mitarbeiter der Personalabteilung unwissentlich eine Falle gestellt werden, um die ordnungsgemäße Umsetzung der notwendigen Schutzmaßnahmen für eine Datei mit personenbezogenen Daten zu prüfen. Andere müssten dabei versuchen, mittels verschiedener technischer oder sozialer Methoden auf diese Datei zuzugreifen. Damit kann der CISO Parallelen zwischen der simulierten Cyberattacke und den wesentlichen Grundsätzen der IT-Sicherheit (etwa Schutz der Passwörter oder grundlegende Regeln für den Schutz vor verdächtigen E-Mails) ziehen.
„Eine gute praktische Übung ist sicherlich tausendmal so wirksam wie eine PowerPoint-Schulung“, betont Gries. Die Herausforderung besteht darin, die Übungen der Penetrationstests oder Rollenspiele mit effizienter Sensibilisierung zu verbinden. „Man muss sich also die Zeit nehmen, um die Übung in einen allgemeineren Kontext einzuordnen und die Cyberattacke schrittweise zu analysieren, um so alle Lehren hieraus ziehen zu können“, führt er fort. „Manchmal ist es sogar von Vorteil, einige Monate später die praktische Übung zu wiederholen, um zu sehen, ob sich das Verhalten der Mitarbeiter geändert hat und die Sicherheitsvorkehrungen für solche Angriffe auch verstanden wurden“, fügt Gries hinzu.
Wir sprachen bereits mehrmals über verschiedene Möglichkeiten zur Erreichung einer effizienten und resilienten Cybersicherheitskultur in den Unternehmen: vom Lehren der Cybersicherheit in Schulen bis hin zur Haftung der Mitarbeiter. Im Jahr 2020 sind die meisten IT-Abteilungen zwar noch auf der Suche nach der richtigen Sensibilisierungsmethode, doch kann man damit rechnen, dass die praktischen Übungen und sonstige simulierte Cyberattacken schon bald in ihren Katalog aufgenommen werden könnten.