• IT-Karriere:
  • Services:

Mehr Sicherheit mit System

Letztlich nutzten die Angreifer immer wieder die gleichen Prozesse aus, so Neumann. Er habe daher nach Lösungsmöglichkeiten gesucht, wie man Menschen dazu bringen könne, nicht zu klicken, sondern einen möglichen Angriff an die IT zu melden, die dann Gegenmaßnahmen ergreifen könne. Bei einem asiatischen Unternehmen mit 30.000 Mitarbeitern hat Neumann eine Beispielstudie durchgeführt. Dabei habe sich gezeigt, dass verschiedene Awareness-Maßnahmen wie Rundmails, Poster, Onlinequiz mit Text oder Video keinerlei messbare Auswirkungen gehabt hätten. Mit all diesen Maßnahmen werde ohnehin System 2 angesprochen, so Neumann.

Stellenmarkt
  1. IT-Systemhaus der Bundesagentur für Arbeit, Nürnberg
  2. Kommunix GmbH, Unna

Erst wenn die Mitarbeiter auf ein testweise durchgeführtes Phishing hereingefallen waren und darüber aufgeklärt wurden, habe sich ein Effekt gezeigt. Dieser sei etwas besser gewesen, wenn den gephishten Mitarbeitern ein Aufklärungsvideo gezeigt wurde. "Selbsterfahrung hat einen starken Lerneffekt", betont Neumann. Allerdings sei diese Erfahrung sehr spezifisch, beispielsweise lernten die Nutzer, dass sie nicht auf eine Passwort-Reset-E-Mail klicken sollen, fielen dann dennoch auf eine Phishing-Mail herein, bei der die Kreditkartendaten eingegeben werden sollen. Zudem nehme der Lerneffekt mit der Zeit wieder ab.

Bei einer zweiten Studie mit 2.000 Personen bei einem internationalen Unternehmen habe sich gezeigt, dass Phishing-Angriffe deutlich schlechter funktionieren, wenn sie nicht auf bekannte Arbeitsabläufe setzen können und dadurch die Mitarbeiter aus den gewohnten Abläufen (System 1) herausholen. Das Unternehmen habe zum einen externe E-Mails mit einem Tag markiert, zudem hatte es den Passwortwechsel nicht über das Web abgebildet - entsprechend habe die Phishing-Mail, die die Mitarbeiter im Namen der IT-Abteilung zum Ändern des Passwortes aufforderte, nur bei 10 Prozent anstatt der erwarteten 35 bis 55 Prozent funktioniert. Diese konnten durch weitere Durchläufe und damit einhergehende Aufklärung um 66 Prozent reduziert werden. Die Zahl sei aus psychologischer Sicht zwar beeindruckend - nach einmaliger Intervention eine derartige Reduktion! - aber aus der Perspektive der IT-Sicherheit sei das immer noch desaströs, so Neumann.

Eine weitere Erkenntnis aus der Studie sei gewesen, dass die meisten Angriffe auf das Unternehmen von der IT-Abteilung verhindert werden konnten, wenn der Angriff von den Mitarbeitern schnell gemeldet wurde. "Die Mitarbeiter müssen ermutigt und belohnt werden, wenn sie bei der IT-Abteilung anrufen", sagte Neumann.

Wir können uns nicht auf System 2 verlassen

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

"Wir müssen unsere IT-Systeme so bauen, dass sie dafür nicht anfällig sind, dass wir automatisierte Sicherheitsprozesse lernen", fasst Neumann zusammen. Denn wir können uns nicht auf System 2 verlassen, wie es die meisten Schutzmaßnahmen machen, beispielsweise indem sie wegklickbare Warnungen einblenden. Beispielsweise Word mit seiner Makro-Warnung. "Es gibt eine Möglichkeit, das Problem mit Microsoft Word in den Griff zu bekommen und das ist, Makros zu deaktivieren - allerdings kommt dann bei vielen Unternehmen der Geschäftsbetrieb zum Erliegen", so Neumann. Eine zweite Möglichkeit sei das Signieren der Makros. Das könne man per Gruppenrichtlinie ausrollen.

Statt auf System 2 zu setzen, müsse System 1 abgesichert werden, indem intuitive Handlungen als Teil der Sicherheitsmechanismen antizipiert würden, sagte Neumann. Beispielsweise solle Nutzern nicht angewöhnt werden, Passwörter einzutippen und Sicherheitsprozesse nicht per E-Mail oder Browser abgebildet werden. Zudem sollte die Software-Installation auf vertrauenswürdige Quellen, beispielsweise App-Stores, eingeschränkt werden, damit Leute nicht irgendwelche heruntergeladenen .exe-Dateien ausführen. Zudem werde die Passwortsituation durch Fido2, hardwarebasierte Sicherheitsmechanismen und Zwei-Faktor-Authentifizierung langsam besser.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Social Engineering: Mit Angst und Langeweile Hirne hacken
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Berthold Moeller 07. Jan 2020

Aus meiner Sicht ist die schlichte Dummheit von Anwender UND von Administratoren das...

MFGSparka 07. Jan 2020

Ich habe vor einier Zeit in einem Unternehemen gearbeitet in dem die IT-Abteilung so gut...

Karmageddon 04. Jan 2020

... oder warum kann man sich mit Word-Makros Admin-Rechte verschaffen und ganze Netzwerke...

AntonZietz 02. Jan 2020

...wäre nett. Entweder bin ich blind oder Golem ver-hyperlinkt sich im Text nur selber...


Folgen Sie uns
       


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /