Abo
  • Services:

Wir sollten nicht sagen: Mitarbeiter sind das schwächste Glied der Kette

Golem.de: Was können Unternehmen tun, um sicherer zu werden? Viele sagen, die Mitarbeiter sind das schwächste Glied in der Kette.

Stellenmarkt
  1. GoDaddy, Hürth
  2. Hines Immobilien GmbH, Berlin

Barker: Wer sagt, dass seine Mitarbeiter das schwächste Glied sind, der hat eine sehr negative Botschaft und macht alles nur noch schlimmer. Man könnte zum Beispiel sagen: Mitarbeiter werden am häufigsten gezielt angegriffen. Das ist eine bessere Botschaft, die Menschen nicht demotiviert, sondern sie auf bestimmte Probleme aufmerksam macht. Eine nur leicht veränderte Botschaft kann Mitarbeiter eher motivieren, sich mit dem Bereich IT-Security auseinanderzusetzen.

Es gibt natürlich einen weiteren Aspekt: Wenn ein Mitarbeiter auf einen Link klickt und danach das ganze Netzwerk infiziert oder schädigt, dann ist das kein menschliches Problem, sondern mangelnde Segregation. Das ist dann ein technisches Problem. Mitarbeiter sollten mehr über die technischen Hintergründe informiert werden.

Wenn man sich die menschlichen Hintergründe von IT-Security anschaut, dann hat das natürlich viel mit Psychologie zu tun. Es geht um Faktoren wie Priming oder Optimismus. Es reicht nicht, Mitarbeitern nur stumpf zu sagen, was sie alles nicht tun sollen.

Golem.de: Viele Angriffsmodelle setzen weiterhin auf die Mitarbeiter. Ein gutes Beispiel ist sicher der Bereich CEO-Fraud - also der Betrug von Unternehmen mit gefälschten internen Rechnungen, die über eine kompromittierte Infrastruktur per E-Mail versendet werden. Auch da geht es ja viel um Unternehmenskultur.

Barker: Genau. Es gibt ganz bestimmte Trigger beim Social Engineering. Angreifer werden immer versuchen, ihr Opfer in einen sogenannten Hot-State zu bekommen. Dann agieren Menschen emotionaler und treffen irrationale Entscheidungen. Diese gefälschten Mails kommen meist von jemandem mit einer vermeintlich wichtigen Position - etwa dem Chief Financial Officer (CFO). Häufig gibt es auch einen angeblichen Zeitdruck. Viele Mitarbeiter denken dann: Der Chef ist zu wichtig, um ihn jetzt zu stören und kurz einmal nachzufragen.

Manchmal sind die Mails auch extrem gezielt formuliert und suggerieren etwa, dass eine Transaktion geheim bleiben soll, weil es sich um ein vertrauliches Börsengeschäft handelt. Häufig haben Mitarbeiter auch ein gutes Bauchgefühl, das aber teilweise zu spät einsetzt. Ich habe schon häufig gehört, dass Mitarbeiter nach Ausführung einer Transaktion sicher waren, falsch gehandelt zu haben. Sobald der psychologische Druck weg ist, beginnen die Mitarbeiter zu zweifeln. Aber dann ist es natürlich zu spät.

Die psychologischen Angriffsmuster sind sehr gut - und oft besser als unsere Verteidigung. Die Kriminellen sind bessere Psychologen als wir zurzeit. Deswegen spreche ich mit Unternehmen über Psychologie und Soziologie, um sie vor Angriffen besser schützen zu können.

Golem.de: Was denken Sie über Antivirus-Programme? Sie suggerieren ja oft, dass Nutzer nichts weiter tun müssen, als sie zu installieren.

Barker: Das wäre natürlich toll, wenn das funktionieren würde. Das Problem ist, dass da oft falsche Sicherheit suggeriert wird, denn Virenscanner schützen nicht vor allen Gefahren. Das gilt sowohl auf einem individuellen Level als auch für Unternehmen.

Und dort kommt das Problem der Sunk Cost dazu. Wenn der Chief Security Officer dem CEO einer Firma sagt, dass die Sicherheitsmaßnahmen verbessert werden müssen, hört man oft: Aber wir haben doch Antivirus, wir haben all die Jahre dafür bezahlt. Das muss doch auch weiterhin funktionieren. - Das bedeutet natürlich nicht, dass Antivirus gar keinen Platz in einer Sicherheitsstrategie haben sollte, aber es löst eben nicht alle Probleme.

Golem.de: Danke für das Gespräch.

Offenlegung: Golem.de hat auf Einladung der Deepsec-Veranstalter an der Konferenz in Wien teilgenommen. Die Reisekosten wurden von den Veranstaltern übernommen. Unsere Berichterstattung ist davon nicht beeinflusst und bleibt gewohnt neutral und kritisch. Der Artikel ist, wie alle anderen auf unserem Portal, unabhängig verfasst und unterliegt keinerlei Vorgaben Dritter; diese Offenlegung dient der Transparenz.

 Uns wird nicht beigebracht, Technik zu verstehen
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Blu-ray-Angebote
  1. 4,99€

cry88 06. Dez 2017

Natürlich hilft dir eine gute Ausbildung, das erlehnte Wissen auch unter Stress...

EQuatschBob 05. Dez 2017

Falls nicht, wo gibt es das Original? TIA!

HANKHPB 01. Dez 2017

Das trifft es nicht ganz: im Gegensatz zu "enable", welches bedeutet, physisch oder...

teachcor 01. Dez 2017

Der Umgang mit Computern (Smartphones gehören auch dazu) ist heute eine Kulturtechnik...

teachcor 01. Dez 2017

Was die Psychologie betrifft, da hat sie recht. IT-Fachleute sind meistens nicht in der...


Folgen Sie uns
       


Ryzen 2000 im Test - Livestream

AMDs neuer Ryzen 7 2700X und der Ryzen 5 2600X sind empfehlenswerte CPUs. Vielleicht haben unsere Leser aber noch spezifische Fragen an unseren Tester. Golem.de-Redakteur Marc Sauter stellt sich diesen.

Ryzen 2000 im Test - Livestream Video aufrufen
EU-Urheberrechtsreform: Wie die Affen auf der Schreibmaschine
EU-Urheberrechtsreform
Wie die Affen auf der Schreibmaschine

Nahezu wöchentlich liegen inzwischen neue Vorschläge zum europäischen Leistungsschutzrecht und zu Uploadfiltern auf dem Tisch. Sie sind dilettantische Versuche, schlechte Konzepte irgendwie in Gesetzesform zu gießen.
Ein IMHO von Friedhelm Greis

  1. Leistungsschutzrecht VG Media darf Google weiterhin bevorzugen
  2. EU-Verhandlungen Regierung fordert deutsche Version des Leistungsschutzrechts
  3. Fake News EU-Kommission fordert Verhaltenskodex für Online-Plattformen

Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
Wonder Workshop Cue im Test
Der Spielzeugroboter kommt ins Flegelalter

Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
Ein Test von Alexander Merz


    Xbox Adaptive Controller ausprobiert: 19 x Klinke, 1 x Controller, 0 x Probleme
    Xbox Adaptive Controller ausprobiert
    19 x Klinke, 1 x Controller, 0 x Probleme

    Microsoft steigt in den Markt der zugänglichen Geräte ein. Der Xbox Adaptive Controller ermöglicht es Menschen mit temporärer oder dauerhafter Bewegungseinschränkung zu spielen, ohne enorm viel Geld auszugeben. Wir haben es auf dem Microsoft Campus in Redmond ausprobiert.
    Von Andreas Sebayang

    1. Firmware Xbox One erhält Option für 120-Hz-Bildfrequenz
    2. AMD Freesync Xbox One erhält variable Bildraten
    3. Xbox One Streamer können Gamepad mit Spieler teilen

      •  /