Abo
  • Services:

Wir sollten nicht sagen: Mitarbeiter sind das schwächste Glied der Kette

Golem.de: Was können Unternehmen tun, um sicherer zu werden? Viele sagen, die Mitarbeiter sind das schwächste Glied in der Kette.

Stellenmarkt
  1. Robert Bosch GmbH, Wittlich
  2. d.velop AG, Gescher, Bocholt, Münster, Sulzbach

Barker: Wer sagt, dass seine Mitarbeiter das schwächste Glied sind, der hat eine sehr negative Botschaft und macht alles nur noch schlimmer. Man könnte zum Beispiel sagen: Mitarbeiter werden am häufigsten gezielt angegriffen. Das ist eine bessere Botschaft, die Menschen nicht demotiviert, sondern sie auf bestimmte Probleme aufmerksam macht. Eine nur leicht veränderte Botschaft kann Mitarbeiter eher motivieren, sich mit dem Bereich IT-Security auseinanderzusetzen.

Es gibt natürlich einen weiteren Aspekt: Wenn ein Mitarbeiter auf einen Link klickt und danach das ganze Netzwerk infiziert oder schädigt, dann ist das kein menschliches Problem, sondern mangelnde Segregation. Das ist dann ein technisches Problem. Mitarbeiter sollten mehr über die technischen Hintergründe informiert werden.

Wenn man sich die menschlichen Hintergründe von IT-Security anschaut, dann hat das natürlich viel mit Psychologie zu tun. Es geht um Faktoren wie Priming oder Optimismus. Es reicht nicht, Mitarbeitern nur stumpf zu sagen, was sie alles nicht tun sollen.

Golem.de: Viele Angriffsmodelle setzen weiterhin auf die Mitarbeiter. Ein gutes Beispiel ist sicher der Bereich CEO-Fraud - also der Betrug von Unternehmen mit gefälschten internen Rechnungen, die über eine kompromittierte Infrastruktur per E-Mail versendet werden. Auch da geht es ja viel um Unternehmenskultur.

Barker: Genau. Es gibt ganz bestimmte Trigger beim Social Engineering. Angreifer werden immer versuchen, ihr Opfer in einen sogenannten Hot-State zu bekommen. Dann agieren Menschen emotionaler und treffen irrationale Entscheidungen. Diese gefälschten Mails kommen meist von jemandem mit einer vermeintlich wichtigen Position - etwa dem Chief Financial Officer (CFO). Häufig gibt es auch einen angeblichen Zeitdruck. Viele Mitarbeiter denken dann: Der Chef ist zu wichtig, um ihn jetzt zu stören und kurz einmal nachzufragen.

Manchmal sind die Mails auch extrem gezielt formuliert und suggerieren etwa, dass eine Transaktion geheim bleiben soll, weil es sich um ein vertrauliches Börsengeschäft handelt. Häufig haben Mitarbeiter auch ein gutes Bauchgefühl, das aber teilweise zu spät einsetzt. Ich habe schon häufig gehört, dass Mitarbeiter nach Ausführung einer Transaktion sicher waren, falsch gehandelt zu haben. Sobald der psychologische Druck weg ist, beginnen die Mitarbeiter zu zweifeln. Aber dann ist es natürlich zu spät.

Die psychologischen Angriffsmuster sind sehr gut - und oft besser als unsere Verteidigung. Die Kriminellen sind bessere Psychologen als wir zurzeit. Deswegen spreche ich mit Unternehmen über Psychologie und Soziologie, um sie vor Angriffen besser schützen zu können.

Golem.de: Was denken Sie über Antivirus-Programme? Sie suggerieren ja oft, dass Nutzer nichts weiter tun müssen, als sie zu installieren.

Barker: Das wäre natürlich toll, wenn das funktionieren würde. Das Problem ist, dass da oft falsche Sicherheit suggeriert wird, denn Virenscanner schützen nicht vor allen Gefahren. Das gilt sowohl auf einem individuellen Level als auch für Unternehmen.

Und dort kommt das Problem der Sunk Cost dazu. Wenn der Chief Security Officer dem CEO einer Firma sagt, dass die Sicherheitsmaßnahmen verbessert werden müssen, hört man oft: Aber wir haben doch Antivirus, wir haben all die Jahre dafür bezahlt. Das muss doch auch weiterhin funktionieren. - Das bedeutet natürlich nicht, dass Antivirus gar keinen Platz in einer Sicherheitsstrategie haben sollte, aber es löst eben nicht alle Probleme.

Golem.de: Danke für das Gespräch.

Offenlegung: Golem.de hat auf Einladung der Deepsec-Veranstalter an der Konferenz in Wien teilgenommen. Die Reisekosten wurden von den Veranstaltern übernommen. Unsere Berichterstattung ist davon nicht beeinflusst und bleibt gewohnt neutral und kritisch. Der Artikel ist, wie alle anderen auf unserem Portal, unabhängig verfasst und unterliegt keinerlei Vorgaben Dritter; diese Offenlegung dient der Transparenz.

 Uns wird nicht beigebracht, Technik zu verstehen
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Hardware-Angebote
  1. ab 399€

cry88 06. Dez 2017

Natürlich hilft dir eine gute Ausbildung, das erlehnte Wissen auch unter Stress...

EQuatschBob 05. Dez 2017

Falls nicht, wo gibt es das Original? TIA!

HANKHPB 01. Dez 2017

Das trifft es nicht ganz: im Gegensatz zu "enable", welches bedeutet, physisch oder...

teachcor 01. Dez 2017

Der Umgang mit Computern (Smartphones gehören auch dazu) ist heute eine Kulturtechnik...

teachcor 01. Dez 2017

Was die Psychologie betrifft, da hat sie recht. IT-Fachleute sind meistens nicht in der...


Folgen Sie uns
       


Shadow of the Tomb Raider - Golem.de live Teil 2

In Teil 2 des Livestreams zu Shadow of the Tomb Raider finden wir lustige Grafikfehler und der Chat trinkt zu viel Bier, kann Michael aber trotzdem bei einigen Rätseln helfen.

Shadow of the Tomb Raider - Golem.de live Teil 2 Video aufrufen
Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Dragonfly Google schweigt zu China-Plänen
  2. Nach Milliardenstrafe Google will Android-Verträge offenbar anpassen
  3. Google Android Studio 3.2 unterstützt Android 9 und App Bundles

Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Probefahrt mit Tesla Model 3: Wie auf Schienen übers Golden Gate
Probefahrt mit Tesla Model 3
Wie auf Schienen übers Golden Gate

Die Produktion des Tesla Model 3 für den europäischen Markt wird gerade vorbereitet. Golem.de hat einen Tag in und um San Francisco getestet, was Käufer von dem Elektroauto erwarten können.
Ein Erfahrungsbericht von Friedhelm Greis

  1. 1.000 Autos pro Tag Tesla baut das hunderttausendste Model 3
  2. Goodwood Festival of Speed Tesla bringt Model 3 erstmals offiziell nach Europa
  3. Elektroauto Produktionsziel des Tesla Model 3 erreicht

    •  /