#DTX: Sicherheitsprofis müssen sich auf menschliches Verhalten konzentrieren, um Cyber-Herausforderungen anzugehen

Cyber Security News

Die Cybersecurity-Branche sollte mehr Rücksicht auf menschliche Verhaltensweisen nehmen, um Cyber-Risiken effektiv zu bekämpfen, so eine Expertenrunde auf der DTX: NOW virtuellen Konferenz.

Lisa Forte, Partnerin bei Red Goat Cyber Security, die die Sitzung moderierte, betonte, dass menschliches Verhalten einfach nicht ignoriert werden kann, wenn es um Cybersicherheit geht, und merkte an, dass Menschen “täglich mit unserer Technologie interagieren – ob das unsere Mitarbeiter sind, die für die Pflege der Daten verantwortlich sind, oder ob das Kunden sind, die eindeutige Benutzernamen und Passwörter für unsere Anwendungen erstellen, um auf ihre eigenen Daten zuzugreifen, das menschliche Element kommt bei all dem zum Tragen.”

Das Panel diskutierte zunächst Ansätze, die Sicherheitsteams nutzen sollten, um zu verhindern, dass Menschen auf Social-Engineering-Betrügereien und Cyber-Attacken hereinfallen. Javvad Malik, Security Awareness Advocate bei KnowBe4, glaubt, dass der Ausgangspunkt darin besteht, die Menschen für die Bedrohungen zu sensibilisieren, die es da draußen gibt. “Den Dingen ein Etikett und einen Namen zu geben, hilft dabei, sie zu normalisieren, damit die Leute nicht das Gefühl haben, dass sie die einzigen sind, die von einem bestimmten Betrug erwischt werden”, sagte er.

Darüber hinaus muss sich diese Normalisierung auch darauf erstrecken, wenn Menschen von Betrügereien erwischt werden, wodurch eine Umgebung geschaffen wird, in der es keine Schande gibt, zuzugeben, dass man betrogen wurde, und die häufige Meldung von Betrügereien an die Strafverfolgungsbehörden fördert, so Malik.

Um den Bürgern zu helfen, Cyber-Risiken wirklich zu verstehen, sagte Holly Grace Williams, Gründerin von Akimbo Core, dass wir uns darauf konzentrieren müssen, sicherzustellen, dass es für die Menschen einfach ist, dies zu tun. Dazu gehört auch die Art und Weise, wie Awareness-Training in Organisationen behandelt wird. “Sehr oft sehe ich Security-Awareness-Programme, die von Unternehmen angeboten werden, bei denen sich das Unternehmen entweder nicht um den Inhalt des Trainings kümmert und es einfach nur ein Ankreuzfeld ist, oder dass der Inhalt nur auf den ersten Blick ineffektiv ist”, bemerkte sie.

John Graham-Cumming, Chief Technology Officer bei Cloudflare, fügte hinzu, dass digitale Unternehmen auch mehr Anstrengungen unternehmen sollten, um Kunden effektiv zu einem besseren Sicherheitsverhalten zu zwingen, z. B. zu starken Passwörtern und Zwei-Faktor-Authentifizierung. Er nannte das Beispiel von Systemen, die im Entstehen begriffen sind, die den Nutzern mitteilen, dass sie “ein Passwort verwenden, das schon einmal gehackt wurde, also verwenden Sie dieses Passwort nicht”, kommentierte er und fügte hinzu, dass diejenigen, die nicht in der Sicherheitsbranche tätig sind, “einfach Hilfe brauchen, um an die richtige Stelle zu gelangen.”

Das Panel fuhr fort, neue Wege aufzuzeigen, wie Sicherheitsteams eine positive Änderung des Sicherheitsverhaltens bei Menschen bewirken können. Malik hob die Bedeutung von effektivem Marketing hervor, um bestimmte Verhaltensweisen zu normalisieren. Er glaubt zum Beispiel, dass die Cybersicherheit von der Terminologie des “designierten Fahrers” lernen könnte, die verwendet wird, um das Fahren unter Alkoholeinfluss zu unterbinden, und die von Verhaltenswissenschaftlern stark in Hollywood vorangetrieben wurde. Als dieser Begriff in Sitcoms aufgenommen wurde, wurde das Konzept schnell normalisiert und führte zu einer Verhaltensänderung. “Wenn wir Sicherheit aus dieser Perspektive angehen, können wir bessere Verhaltensweisen erreichen”, erklärte er.

Ein weiterer wichtiger Schritt, den Unternehmen unternehmen müssen, ist es, Mitarbeitern, die bei Social-Engineering-Angriffen wie Phishing erwischt werden, die Angst vor Bestrafung zu nehmen. Williams merkte an, dass es leider immer noch häufig vorkommt, dass einzelne Mitarbeiterfehler von Organisationen für Sicherheitsverletzungen verantwortlich gemacht werden, wie es bei den Angriffen von Equinox und SolarWinds der Fall war. “Wenn Ihre gesamte Organisation versagen kann, weil ein Mitarbeiter ein falsches Passwort gewählt oder auf einen Link in einer E-Mail geklickt hat, gibt es grundlegend größere Probleme für Ihre Organisation”, betonte sie.

Neben der Vermeidung von Schuldzuweisungen für Fehler ist die Entwicklung der richtigen Sicherheitskultur unter allen Mitarbeitern in einer Organisation entscheidend, um den Erfolg von Taktiken wie Phishing zu verhindern. Dazu muss eine gute Beziehung zwischen den Sicherheitsteams und anderen Mitarbeitern aufgebaut werden”, so Malik. “Wenn die einzige Interaktion, die Sie mit Ihrem Sicherheitsteam haben, darin besteht, dass ein Vorfall auftritt oder dass sie Ihnen einen simulierten Phish schicken und sagen: ‘Wir haben Sie erwischt’, dann werden Sie, egal wie gut er ist, nur denken: ‘Wer sind diese Leute und warum versuchen sie, mich auszutricksen?'”, skizzierte er.

Graham-Cumming stimmte dem zu und erklärte, dass das Sicherheitspersonal nicht nur über technisches Fachwissen, sondern auch über ein gutes “Verhalten am Krankenbett” verfügen muss. Er sagte, es sei wichtig, eine Beziehung zum allgemeinen Personal zu haben, “nicht nur, wenn die Dinge schlecht gelaufen sind”, was auch einschließt, die Leute zu ermutigen, alle Bedenken zu melden, die sie haben, selbst wenn sie sich als nicht sicherheitsrelevant herausstellen. “Es geht wirklich um Offenheit und Ehrlichkeit und darum, die Leute gut zu behandeln, damit sie deinen Job respektieren und das Gefühl haben, dass du jemand bist, dem sie vertrauen können”, erklärte er.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com