Abo
  • Services:

Wir sollten nicht sagen: Mitarbeiter sind das schwächste Glied der Kette

Golem.de: Was können Unternehmen tun, um sicherer zu werden? Viele sagen, die Mitarbeiter sind das schwächste Glied in der Kette.

Stellenmarkt
  1. KV Telematik GmbH, Berlin
  2. Bosch Gruppe, Stuttgart-Vaihingen

Barker: Wer sagt, dass seine Mitarbeiter das schwächste Glied sind, der hat eine sehr negative Botschaft und macht alles nur noch schlimmer. Man könnte zum Beispiel sagen: Mitarbeiter werden am häufigsten gezielt angegriffen. Das ist eine bessere Botschaft, die Menschen nicht demotiviert, sondern sie auf bestimmte Probleme aufmerksam macht. Eine nur leicht veränderte Botschaft kann Mitarbeiter eher motivieren, sich mit dem Bereich IT-Security auseinanderzusetzen.

Es gibt natürlich einen weiteren Aspekt: Wenn ein Mitarbeiter auf einen Link klickt und danach das ganze Netzwerk infiziert oder schädigt, dann ist das kein menschliches Problem, sondern mangelnde Segregation. Das ist dann ein technisches Problem. Mitarbeiter sollten mehr über die technischen Hintergründe informiert werden.

Wenn man sich die menschlichen Hintergründe von IT-Security anschaut, dann hat das natürlich viel mit Psychologie zu tun. Es geht um Faktoren wie Priming oder Optimismus. Es reicht nicht, Mitarbeitern nur stumpf zu sagen, was sie alles nicht tun sollen.

Golem.de: Viele Angriffsmodelle setzen weiterhin auf die Mitarbeiter. Ein gutes Beispiel ist sicher der Bereich CEO-Fraud - also der Betrug von Unternehmen mit gefälschten internen Rechnungen, die über eine kompromittierte Infrastruktur per E-Mail versendet werden. Auch da geht es ja viel um Unternehmenskultur.

Barker: Genau. Es gibt ganz bestimmte Trigger beim Social Engineering. Angreifer werden immer versuchen, ihr Opfer in einen sogenannten Hot-State zu bekommen. Dann agieren Menschen emotionaler und treffen irrationale Entscheidungen. Diese gefälschten Mails kommen meist von jemandem mit einer vermeintlich wichtigen Position - etwa dem Chief Financial Officer (CFO). Häufig gibt es auch einen angeblichen Zeitdruck. Viele Mitarbeiter denken dann: Der Chef ist zu wichtig, um ihn jetzt zu stören und kurz einmal nachzufragen.

Manchmal sind die Mails auch extrem gezielt formuliert und suggerieren etwa, dass eine Transaktion geheim bleiben soll, weil es sich um ein vertrauliches Börsengeschäft handelt. Häufig haben Mitarbeiter auch ein gutes Bauchgefühl, das aber teilweise zu spät einsetzt. Ich habe schon häufig gehört, dass Mitarbeiter nach Ausführung einer Transaktion sicher waren, falsch gehandelt zu haben. Sobald der psychologische Druck weg ist, beginnen die Mitarbeiter zu zweifeln. Aber dann ist es natürlich zu spät.

Die psychologischen Angriffsmuster sind sehr gut - und oft besser als unsere Verteidigung. Die Kriminellen sind bessere Psychologen als wir zurzeit. Deswegen spreche ich mit Unternehmen über Psychologie und Soziologie, um sie vor Angriffen besser schützen zu können.

Golem.de: Was denken Sie über Antivirus-Programme? Sie suggerieren ja oft, dass Nutzer nichts weiter tun müssen, als sie zu installieren.

Barker: Das wäre natürlich toll, wenn das funktionieren würde. Das Problem ist, dass da oft falsche Sicherheit suggeriert wird, denn Virenscanner schützen nicht vor allen Gefahren. Das gilt sowohl auf einem individuellen Level als auch für Unternehmen.

Und dort kommt das Problem der Sunk Cost dazu. Wenn der Chief Security Officer dem CEO einer Firma sagt, dass die Sicherheitsmaßnahmen verbessert werden müssen, hört man oft: Aber wir haben doch Antivirus, wir haben all die Jahre dafür bezahlt. Das muss doch auch weiterhin funktionieren. - Das bedeutet natürlich nicht, dass Antivirus gar keinen Platz in einer Sicherheitsstrategie haben sollte, aber es löst eben nicht alle Probleme.

Golem.de: Danke für das Gespräch.

Offenlegung: Golem.de hat auf Einladung der Deepsec-Veranstalter an der Konferenz in Wien teilgenommen. Die Reisekosten wurden von den Veranstaltern übernommen. Unsere Berichterstattung ist davon nicht beeinflusst und bleibt gewohnt neutral und kritisch. Der Artikel ist, wie alle anderen auf unserem Portal, unabhängig verfasst und unterliegt keinerlei Vorgaben Dritter; diese Offenlegung dient der Transparenz.

 Uns wird nicht beigebracht, Technik zu verstehen
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. (-15%) 33,99€
  3. 31,99€
  4. 14,99€

cry88 06. Dez 2017

Natürlich hilft dir eine gute Ausbildung, das erlehnte Wissen auch unter Stress...

EQuatschBob 05. Dez 2017

Falls nicht, wo gibt es das Original? TIA!

HANKHPB 01. Dez 2017

Das trifft es nicht ganz: im Gegensatz zu "enable", welches bedeutet, physisch oder...

teachcor 01. Dez 2017

Der Umgang mit Computern (Smartphones gehören auch dazu) ist heute eine Kulturtechnik...

teachcor 01. Dez 2017

Was die Psychologie betrifft, da hat sie recht. IT-Fachleute sind meistens nicht in der...


Folgen Sie uns
       


Smartphones Made in Germany - Bericht

Gigaset baut Smartphones - in Deutschland.

Smartphones Made in Germany - Bericht Video aufrufen
OLKB Planck im Test: Winzig, gerade, programmierbar - gut!
OLKB Planck im Test
Winzig, gerade, programmierbar - gut!

Wem 60-Prozent-Tastaturen wie die Vortex Poker 3 noch zu groß sind, der kann es mal mit 40 Prozent versuchen: Mit der voll programmierbaren Planck müssen wir anders als erwartet keine Abstriche machen - aber eine Umgewöhnung und die Einarbeitung in die Programmierung sind erforderlich.
Ein Test von Tobias Költzsch

  1. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern
  2. Kailh KS-Switch im Test Die bessere Alternative zu Cherrys MX Blue
  3. Apple-Patentantrag Krümel sollen Macbook-Tastatur nicht mehr stören

HDR-Capture im Test: High-End-Streaming von der Couch aus
HDR-Capture im Test
High-End-Streaming von der Couch aus

Was bringen all die schönen neuen Farben auf dem 4K-HDR-TV, wenn man sie nicht speichern kann oder während des Livestreams nicht mehr selber sieht? Avermedia bietet mit den Capture-Karten Live Gamer 4K und Live Gamer Ultra erstmals bezahlbare Lösungen an. PC-Spieler sehen mit ihnen sogar bis zu 240 Bilder pro Sekunde.
Von Michael Wieczorek

  1. DisplayHDR Vesa veröffentlicht erstes Testwerkzeug für HDR-Standard
  2. HDMI 2.0 und Displayport HDR bleibt Handarbeit
  3. Intel Linux bekommt experimentelle HDR-Unterstützung

Leckere neue Welt: Die Stadt wird essbar und smart
Leckere neue Welt
Die Stadt wird essbar und smart

Obst und Gemüse von der Stadtmauer. Salat und Kräuter aus dem Stadtpark. In essbaren Städten sprießt und gedeiht es, wo sonst Hecken wuchern und Geranien blühen. In manchen Metropolen gibt es gar sprechende Bänke, denkende Mülleimer und Gewächshochhäuser.
Ein Bericht von Daniel Hautmann

  1. IT-Sicherheit Angriffe auf Smart-City-Systeme können Massenpanik auslösen

    •  /