• IT-Karriere:
  • Services:

Mehr Sicherheit mit System

Letztlich nutzten die Angreifer immer wieder die gleichen Prozesse aus, so Neumann. Er habe daher nach Lösungsmöglichkeiten gesucht, wie man Menschen dazu bringen könne, nicht zu klicken, sondern einen möglichen Angriff an die IT zu melden, die dann Gegenmaßnahmen ergreifen könne. Bei einem asiatischen Unternehmen mit 30.000 Mitarbeitern hat Neumann eine Beispielstudie durchgeführt. Dabei habe sich gezeigt, dass verschiedene Awareness-Maßnahmen wie Rundmails, Poster, Onlinequiz mit Text oder Video keinerlei messbare Auswirkungen gehabt hätten. Mit all diesen Maßnahmen werde ohnehin System 2 angesprochen, so Neumann.

Stellenmarkt
  1. Haufe Group, Berlin
  2. ADG Apotheken-Dienstleistungsgesellschaft mbH, Regensburg

Erst wenn die Mitarbeiter auf ein testweise durchgeführtes Phishing hereingefallen waren und darüber aufgeklärt wurden, habe sich ein Effekt gezeigt. Dieser sei etwas besser gewesen, wenn den gephishten Mitarbeitern ein Aufklärungsvideo gezeigt wurde. "Selbsterfahrung hat einen starken Lerneffekt", betont Neumann. Allerdings sei diese Erfahrung sehr spezifisch, beispielsweise lernten die Nutzer, dass sie nicht auf eine Passwort-Reset-E-Mail klicken sollen, fielen dann dennoch auf eine Phishing-Mail herein, bei der die Kreditkartendaten eingegeben werden sollen. Zudem nehme der Lerneffekt mit der Zeit wieder ab.

Bei einer zweiten Studie mit 2.000 Personen bei einem internationalen Unternehmen habe sich gezeigt, dass Phishing-Angriffe deutlich schlechter funktionieren, wenn sie nicht auf bekannte Arbeitsabläufe setzen können und dadurch die Mitarbeiter aus den gewohnten Abläufen (System 1) herausholen. Das Unternehmen habe zum einen externe E-Mails mit einem Tag markiert, zudem hatte es den Passwortwechsel nicht über das Web abgebildet - entsprechend habe die Phishing-Mail, die die Mitarbeiter im Namen der IT-Abteilung zum Ändern des Passwortes aufforderte, nur bei 10 Prozent anstatt der erwarteten 35 bis 55 Prozent funktioniert. Diese konnten durch weitere Durchläufe und damit einhergehende Aufklärung um 66 Prozent reduziert werden. Die Zahl sei aus psychologischer Sicht zwar beeindruckend - nach einmaliger Intervention eine derartige Reduktion! - aber aus der Perspektive der IT-Sicherheit sei das immer noch desaströs, so Neumann.

Eine weitere Erkenntnis aus der Studie sei gewesen, dass die meisten Angriffe auf das Unternehmen von der IT-Abteilung verhindert werden konnten, wenn der Angriff von den Mitarbeitern schnell gemeldet wurde. "Die Mitarbeiter müssen ermutigt und belohnt werden, wenn sie bei der IT-Abteilung anrufen", sagte Neumann.

Wir können uns nicht auf System 2 verlassen

"Wir müssen unsere IT-Systeme so bauen, dass sie dafür nicht anfällig sind, dass wir automatisierte Sicherheitsprozesse lernen", fasst Neumann zusammen. Denn wir können uns nicht auf System 2 verlassen, wie es die meisten Schutzmaßnahmen machen, beispielsweise indem sie wegklickbare Warnungen einblenden. Beispielsweise Word mit seiner Makro-Warnung. "Es gibt eine Möglichkeit, das Problem mit Microsoft Word in den Griff zu bekommen und das ist, Makros zu deaktivieren - allerdings kommt dann bei vielen Unternehmen der Geschäftsbetrieb zum Erliegen", so Neumann. Eine zweite Möglichkeit sei das Signieren der Makros. Das könne man per Gruppenrichtlinie ausrollen.

Statt auf System 2 zu setzen, müsse System 1 abgesichert werden, indem intuitive Handlungen als Teil der Sicherheitsmechanismen antizipiert würden, sagte Neumann. Beispielsweise solle Nutzern nicht angewöhnt werden, Passwörter einzutippen und Sicherheitsprozesse nicht per E-Mail oder Browser abgebildet werden. Zudem sollte die Software-Installation auf vertrauenswürdige Quellen, beispielsweise App-Stores, eingeschränkt werden, damit Leute nicht irgendwelche heruntergeladenen .exe-Dateien ausführen. Zudem werde die Passwortsituation durch Fido2, hardwarebasierte Sicherheitsmechanismen und Zwei-Faktor-Authentifizierung langsam besser.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Social Engineering: Mit Angst und Langeweile Hirne hacken
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

Berthold Moeller 07. Jan 2020

Aus meiner Sicht ist die schlichte Dummheit von Anwender UND von Administratoren das...

MFGSparka 07. Jan 2020

Ich habe vor einier Zeit in einem Unternehemen gearbeitet in dem die IT-Abteilung so gut...

Karmageddon 04. Jan 2020

... oder warum kann man sich mit Word-Makros Admin-Rechte verschaffen und ganze Netzwerke...

AntonZietz 02. Jan 2020

...wäre nett. Entweder bin ich blind oder Golem ver-hyperlinkt sich im Text nur selber...


Folgen Sie uns
       


Crysis Remastered im Technik-Test: But can it run Crysis? Yes!
Crysis Remastered im Technik-Test
But can it run Crysis? Yes!

Die PC-Version von Crysis Remastered wird durch die CPU limitiert, dafür ist die Sichtweite extrem und das Hardware-Raytracing aktiv.
Ein Bericht von Marc Sauter

  1. Systemanforderungen Crysis Remastered reicht GTX 1660 Ti
  2. Crytek Crysis Remastered erscheint mit Raytracing
  3. Crytek Crysis Remastered nach Kritik an Trailer verschoben

MX 10.0 im Test: Cherrys kompakte, flache, tolle RGB-Tastatur
MX 10.0 im Test
Cherrys kompakte, flache, tolle RGB-Tastatur

Die Cherry MX 10.0 kommt mit besonders flachen MX-Schaltern, ist hervorragend verarbeitet und umfangreich programmierbar. Warum Nutzer in Deutschland noch auf sie warten müssen, ist nach unserem Test unverständlich.
Ein Test von Tobias Költzsch

  1. Argand Partners Cherry wird verkauft

MX Anywhere 3 im Test: Logitechs flache Maus bietet viel Komfort
MX Anywhere 3 im Test
Logitechs flache Maus bietet viel Komfort

Die MX Anywhere 3 gefällt uns etwas besser als Logitechs älteres Mausmodell, das gilt aber nicht für jeden Einsatzzweck.
Ein Test von Ingo Pakalski

  1. MK295 Logitech macht preisgünstige Tastatur-Maus-Kombo leiser
  2. G915 TKL im Test Logitechs perfekte Tastatur braucht keinen Nummernblock
  3. Logitech Mechanische Tastatur verzichtet auf Kabel und Nummernblock

    •  /