Mehr Sicherheit mit System

Letztlich nutzten die Angreifer immer wieder die gleichen Prozesse aus, so Neumann. Er habe daher nach Lösungsmöglichkeiten gesucht, wie man Menschen dazu bringen könne, nicht zu klicken, sondern einen möglichen Angriff an die IT zu melden, die dann Gegenmaßnahmen ergreifen könne. Bei einem asiatischen Unternehmen mit 30.000 Mitarbeitern hat Neumann eine Beispielstudie durchgeführt. Dabei habe sich gezeigt, dass verschiedene Awareness-Maßnahmen wie Rundmails, Poster, Onlinequiz mit Text oder Video keinerlei messbare Auswirkungen gehabt hätten. Mit all diesen Maßnahmen werde ohnehin System 2 angesprochen, so Neumann.

Stellenmarkt
  1. SAP-Systemanalytiker*in
    UNI ELEKTRO Fachgroßhandel GmbH & Co. KG, Eschborn
  2. Softwareentwickler C# / .NET (m/w/d)
    IS Software GmbH, Regensburg
Detailsuche

Erst wenn die Mitarbeiter auf ein testweise durchgeführtes Phishing hereingefallen waren und darüber aufgeklärt wurden, habe sich ein Effekt gezeigt. Dieser sei etwas besser gewesen, wenn den gephishten Mitarbeitern ein Aufklärungsvideo gezeigt wurde. "Selbsterfahrung hat einen starken Lerneffekt", betont Neumann. Allerdings sei diese Erfahrung sehr spezifisch, beispielsweise lernten die Nutzer, dass sie nicht auf eine Passwort-Reset-E-Mail klicken sollen, fielen dann dennoch auf eine Phishing-Mail herein, bei der die Kreditkartendaten eingegeben werden sollen. Zudem nehme der Lerneffekt mit der Zeit wieder ab.

Bei einer zweiten Studie mit 2.000 Personen bei einem internationalen Unternehmen habe sich gezeigt, dass Phishing-Angriffe deutlich schlechter funktionieren, wenn sie nicht auf bekannte Arbeitsabläufe setzen können und dadurch die Mitarbeiter aus den gewohnten Abläufen (System 1) herausholen. Das Unternehmen habe zum einen externe E-Mails mit einem Tag markiert, zudem hatte es den Passwortwechsel nicht über das Web abgebildet - entsprechend habe die Phishing-Mail, die die Mitarbeiter im Namen der IT-Abteilung zum Ändern des Passwortes aufforderte, nur bei 10 Prozent anstatt der erwarteten 35 bis 55 Prozent funktioniert. Diese konnten durch weitere Durchläufe und damit einhergehende Aufklärung um 66 Prozent reduziert werden. Die Zahl sei aus psychologischer Sicht zwar beeindruckend - nach einmaliger Intervention eine derartige Reduktion! - aber aus der Perspektive der IT-Sicherheit sei das immer noch desaströs, so Neumann.

Eine weitere Erkenntnis aus der Studie sei gewesen, dass die meisten Angriffe auf das Unternehmen von der IT-Abteilung verhindert werden konnten, wenn der Angriff von den Mitarbeitern schnell gemeldet wurde. "Die Mitarbeiter müssen ermutigt und belohnt werden, wenn sie bei der IT-Abteilung anrufen", sagte Neumann.

Wir können uns nicht auf System 2 verlassen

Golem Akademie
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
  2. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
Weitere IT-Trainings

"Wir müssen unsere IT-Systeme so bauen, dass sie dafür nicht anfällig sind, dass wir automatisierte Sicherheitsprozesse lernen", fasst Neumann zusammen. Denn wir können uns nicht auf System 2 verlassen, wie es die meisten Schutzmaßnahmen machen, beispielsweise indem sie wegklickbare Warnungen einblenden. Beispielsweise Word mit seiner Makro-Warnung. "Es gibt eine Möglichkeit, das Problem mit Microsoft Word in den Griff zu bekommen und das ist, Makros zu deaktivieren - allerdings kommt dann bei vielen Unternehmen der Geschäftsbetrieb zum Erliegen", so Neumann. Eine zweite Möglichkeit sei das Signieren der Makros. Das könne man per Gruppenrichtlinie ausrollen.

Statt auf System 2 zu setzen, müsse System 1 abgesichert werden, indem intuitive Handlungen als Teil der Sicherheitsmechanismen antizipiert würden, sagte Neumann. Beispielsweise solle Nutzern nicht angewöhnt werden, Passwörter einzutippen und Sicherheitsprozesse nicht per E-Mail oder Browser abgebildet werden. Zudem sollte die Software-Installation auf vertrauenswürdige Quellen, beispielsweise App-Stores, eingeschränkt werden, damit Leute nicht irgendwelche heruntergeladenen .exe-Dateien ausführen. Zudem werde die Passwortsituation durch Fido2, hardwarebasierte Sicherheitsmechanismen und Zwei-Faktor-Authentifizierung langsam besser.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Social Engineering: Mit Angst und Langeweile Hirne hacken
  1.  
  2. 1
  3. 2


Berthold Moeller 07. Jan 2020

Aus meiner Sicht ist die schlichte Dummheit von Anwender UND von Administratoren das...

MFGSparka 07. Jan 2020

Ich habe vor einier Zeit in einem Unternehemen gearbeitet in dem die IT-Abteilung so gut...

Karmageddon 04. Jan 2020

... oder warum kann man sich mit Word-Makros Admin-Rechte verschaffen und ganze Netzwerke...

AntonZietz 02. Jan 2020

...wäre nett. Entweder bin ich blind oder Golem ver-hyperlinkt sich im Text nur selber...



Aktuell auf der Startseite von Golem.de
Bald exklusiv bei Disney+
Serien verschwinden aus Abos von Netflix und Prime Video

Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
Von Ingo Pakalski

Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
Artikel
  1. Chorus im Test: Action im All plus galaktische Grafik
    Chorus im Test
    Action im All plus galaktische Grafik

    Schicke Grafik und ein sprechendes Raumschiff: Chorus von Deep Silver entpuppt sich beim Test als düsteres und spannendes Weltraumspiel.
    Von Peter Steinlechner

  2. Mobilfunkexperte: Afghanischer Ex-Minister hat nach Lieferando einen neuen Job
    Mobilfunkexperte
    Afghanischer Ex-Minister hat nach Lieferando einen neuen Job

    Der frühere afghanische Kommunikationsminister Syed Sadaat arbeitet nicht mehr bei Lieferando in Leipzig. Nun wird er Partner bei einem Maskenhersteller.

  3. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /