Mehr Sicherheit mit System

Letztlich nutzten die Angreifer immer wieder die gleichen Prozesse aus, so Neumann. Er habe daher nach Lösungsmöglichkeiten gesucht, wie man Menschen dazu bringen könne, nicht zu klicken, sondern einen möglichen Angriff an die IT zu melden, die dann Gegenmaßnahmen ergreifen könne. Bei einem asiatischen Unternehmen mit 30.000 Mitarbeitern hat Neumann eine Beispielstudie durchgeführt. Dabei habe sich gezeigt, dass verschiedene Awareness-Maßnahmen wie Rundmails, Poster, Onlinequiz mit Text oder Video keinerlei messbare Auswirkungen gehabt hätten. Mit all diesen Maßnahmen werde ohnehin System 2 angesprochen, so Neumann.

Stellenmarkt
  1. Software Engineer / Senior Software Engineer (w/m/d) - Backend
    NEXPLORE Technology GmbH, Darmstadt, Essen oder München
  2. IT Servicetechniker Schul-IT (w/m/d)
    Bechtle GmbH & Co. KG, Neuwied (Home-Office möglich)
Detailsuche

Erst wenn die Mitarbeiter auf ein testweise durchgeführtes Phishing hereingefallen waren und darüber aufgeklärt wurden, habe sich ein Effekt gezeigt. Dieser sei etwas besser gewesen, wenn den gephishten Mitarbeitern ein Aufklärungsvideo gezeigt wurde. "Selbsterfahrung hat einen starken Lerneffekt", betont Neumann. Allerdings sei diese Erfahrung sehr spezifisch, beispielsweise lernten die Nutzer, dass sie nicht auf eine Passwort-Reset-E-Mail klicken sollen, fielen dann dennoch auf eine Phishing-Mail herein, bei der die Kreditkartendaten eingegeben werden sollen. Zudem nehme der Lerneffekt mit der Zeit wieder ab.

Bei einer zweiten Studie mit 2.000 Personen bei einem internationalen Unternehmen habe sich gezeigt, dass Phishing-Angriffe deutlich schlechter funktionieren, wenn sie nicht auf bekannte Arbeitsabläufe setzen können und dadurch die Mitarbeiter aus den gewohnten Abläufen (System 1) herausholen. Das Unternehmen habe zum einen externe E-Mails mit einem Tag markiert, zudem hatte es den Passwortwechsel nicht über das Web abgebildet - entsprechend habe die Phishing-Mail, die die Mitarbeiter im Namen der IT-Abteilung zum Ändern des Passwortes aufforderte, nur bei 10 Prozent anstatt der erwarteten 35 bis 55 Prozent funktioniert. Diese konnten durch weitere Durchläufe und damit einhergehende Aufklärung um 66 Prozent reduziert werden. Die Zahl sei aus psychologischer Sicht zwar beeindruckend - nach einmaliger Intervention eine derartige Reduktion! - aber aus der Perspektive der IT-Sicherheit sei das immer noch desaströs, so Neumann.

Eine weitere Erkenntnis aus der Studie sei gewesen, dass die meisten Angriffe auf das Unternehmen von der IT-Abteilung verhindert werden konnten, wenn der Angriff von den Mitarbeitern schnell gemeldet wurde. "Die Mitarbeiter müssen ermutigt und belohnt werden, wenn sie bei der IT-Abteilung anrufen", sagte Neumann.

Wir können uns nicht auf System 2 verlassen

Golem Karrierewelt
  1. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    14.-16.12.2022, virtuell
  2. CEH Certified Ethical Hacker v12: virtueller Fünf-Tage-Workshop
    30.01.-03.02.2023, Virtuell
Weitere IT-Trainings

"Wir müssen unsere IT-Systeme so bauen, dass sie dafür nicht anfällig sind, dass wir automatisierte Sicherheitsprozesse lernen", fasst Neumann zusammen. Denn wir können uns nicht auf System 2 verlassen, wie es die meisten Schutzmaßnahmen machen, beispielsweise indem sie wegklickbare Warnungen einblenden. Beispielsweise Word mit seiner Makro-Warnung. "Es gibt eine Möglichkeit, das Problem mit Microsoft Word in den Griff zu bekommen und das ist, Makros zu deaktivieren - allerdings kommt dann bei vielen Unternehmen der Geschäftsbetrieb zum Erliegen", so Neumann. Eine zweite Möglichkeit sei das Signieren der Makros. Das könne man per Gruppenrichtlinie ausrollen.

Statt auf System 2 zu setzen, müsse System 1 abgesichert werden, indem intuitive Handlungen als Teil der Sicherheitsmechanismen antizipiert würden, sagte Neumann. Beispielsweise solle Nutzern nicht angewöhnt werden, Passwörter einzutippen und Sicherheitsprozesse nicht per E-Mail oder Browser abgebildet werden. Zudem sollte die Software-Installation auf vertrauenswürdige Quellen, beispielsweise App-Stores, eingeschränkt werden, damit Leute nicht irgendwelche heruntergeladenen .exe-Dateien ausführen. Zudem werde die Passwortsituation durch Fido2, hardwarebasierte Sicherheitsmechanismen und Zwei-Faktor-Authentifizierung langsam besser.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Social Engineering: Mit Angst und Langeweile Hirne hacken
  1.  
  2. 1
  3. 2


Berthold Moeller 07. Jan 2020

Aus meiner Sicht ist die schlichte Dummheit von Anwender UND von Administratoren das...

MFGSparka 07. Jan 2020

Ich habe vor einier Zeit in einem Unternehemen gearbeitet in dem die IT-Abteilung so gut...

Karmageddon 04. Jan 2020

... oder warum kann man sich mit Word-Makros Admin-Rechte verschaffen und ganze Netzwerke...

AntonZietz 02. Jan 2020

...wäre nett. Entweder bin ich blind oder Golem ver-hyperlinkt sich im Text nur selber...



Aktuell auf der Startseite von Golem.de
Loupedeck Live S ausprobiert
Alle Streams an Deck

Das Loupedeck Live S ist eine kleine Hardwaresteuerung für Streaming und Medien. Wir fänden mehr Cloud und weniger Kosten wünschenswert.
Ein Praxistest von Martin Wolf

Loupedeck Live S ausprobiert: Alle Streams an Deck
Artikel
  1. Social Media: EU-Kommissar droht Twitter mit Abschaltung
    Social Media
    EU-Kommissar droht Twitter mit Abschaltung

    Twitter muss sich an EU-Recht halten, stellt EU-Kommissar Thierry Breton klar. Er will sich demnächst mit Elon Musk treffen.

  2. MK-V Founder Series: Monarch-Elektrotraktor mit autonomer Fahrfunktion
    MK-V Founder Series
    Monarch-Elektrotraktor mit autonomer Fahrfunktion

    Der Traktorhersteller Monarch hat eine Landwirtschaftsmaschine mit Elektroantrieb vorgestellt, bei der der Fahrer optional ist.

  3. IT-Projektmanager: Mehr als Excel-Schubser und Flaschenhälse
    IT-Projektmanager
    Mehr als Excel-Schubser und Flaschenhälse

    Viele IT-Teams halten ihr Projektmanagement für überflüssig. Wir zeigen drei kreative Methoden, mit denen Projektmanager wirklich relevant werden.
    Ein Ratgebertext von Jakob Rufus Klimkait und Kristin Ottlinger

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis -53% • Mindstar: AMD-Ryzen-CPUs zu Bestpreisen • Alternate: Kingston FURY Beast RGB 32GB DDR5-4800 146,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. SanDisk Ultra microSDXC 512GB 39€ • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /