Cyber-Kriminalität ist längst zu einer ernsthaften Bedrohung geworden. Immer mehr Angriffsversuche aus dem Internet nutzen den Mensch als Schwachstelle. Um Schaden zu verhindern, müssen Mitarbeiter als Firewall eingesetzt werden.
Der Faktor Mensch ist häufiger Angriffspunkt bei Cyber-Kriminalität
Partner des Bank Blogs
Nicht nur internationale Großkonzerne stehen im Fokus von Cyber-Angreifern. Dies belegt ein näherer Blick auf erfolgreiche Ransomware-Angriffe sowie Datendiebstähle der vergangenen Jahre: Die bislang größte Ransomware-Attacke „WannaCry“ erreichte im Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit. Ende Juni 2017 verbreitete sich eine neue Ransomware-Variante, die auf der bereits seit 2016 bekannten Malware „Petya“ basierte.
Einige Hackergruppen fokussieren ihre Angriffe sogar gezielt auf Tech-Celebrities wie Mark Zuckerberg und brechen hierbei u.a. in persönliche Social Media Accounts ein bzw. übernehmen diese. In dem über zahlreichen Medien berichteten Fall wurde zwar nicht unmittelbar Facebook kompromittiert – dafür aber sein Gründer persönlich. Der Einbruch in die Social-Media-Zugänge soll mit Hilfe von Passwörtern, die bereits fünf Jahre vorher dem Business-Netzwerk LinkedIn entwendet wurden, gelungen sein.
„C-Level Fraud“ durch Phishing-Attacken
Eine der wohl prominentesten Phishing-Attacken fand 2016 auf die Lohnbuchhaltung der Firma Snapchat statt. Die Angreifer hatten sich in einer E-Mail als CEO des Unternehmens ausgegeben und vertrauliche Gehaltsdaten seiner Mitarbeiter angefordert. Quellen zufolge entstand über die Weitergabe der Gehaltsdaten der Betroffenen hinaus kein weiterer Schaden.
Doch die eingesetzte Methode, die heute in der Fachsprache bereits als „C-Level Fraud“ bekannt ist und mittlerweile zum klassischen Repertoire bei Angriffen gehört, wirft verschiedene Fragen auf. Darunter die, ob solche Attacken bei strikt hierarchisch geführten Unternehmensstrukturen oder Menschen in Ländern mit hierarchisch geprägtem kulturellen Hintergrund mehr Erfolg haben, als in anderen. Dies wird später in diesem Artikel noch weiter untersucht.
Der Mensch als Schwachstelle
Die Beispiele unterstreichen, dass die Bedrohung für die gespeicherten vertraulichen und geschäftsrelevanten Daten heute über viele Vektoren erfolgt. Zu der technischen Dimension von Schadsoftware und Hackerangriffen kommt als äußerst empfindlicher Angriffsvektor der Faktor Mensch. Dabei haben die als „Social Engineering“ bezeichneten Bedrohungsszenarien die unangenehme Eigenschaft, technisch vermeintlich wasserdichte Schutzkonzepte effizient aushebeln zu können.
In jedem Fall verdeutlichen diese Beispiele in unterschiedlicher Intensität, dass erfolgreiche Cyber-Angriffe immer häufiger auf weichen, beziehungsweise auf den Menschen in seiner Rolle als Mitarbeiter oder IT-Nutzer bezogenen, Faktoren basieren. Dies beginnt im einfachsten Fall damit, einen Mitarbeiter durch eine gut gemachte „Phishing-Mail“ zum unachtsamen Anklicken eines Links oder Öffnen eines E-Mail-Anhangs zu verführen. Anrufe von vermeintlich anderen Abteilungen im Haus oder E-Mails von scheinbar hochstehenden Vorgesetzten bringen die damit ins Visier genommenen Mitarbeiter in erschreckend vielen Fällen dazu, bereitwillig Auskünfte zu erteilen oder Sicherheitsmaßnahmen zu vernachlässigen – ohne kritische Prüfung der Legitimität der jeweiligen Anfrage.
Zudem zeigen die aufgelisteten Fälle einen weiteren Trend auf: Von Cybercrime-Risiken sind Unternehmen aller Größenordnungen betroffen – vom Einzelunternehmer bis hin zum internationalen Großkonzern. Zumal manche Angriffsformen wie Ransomware schon durch ihre breite Streuung gar keine Eingrenzung ihrer „Zielgruppe“ vornehmen können.
Fehlverhalten der Nutzer bietet Einfallstore
Oft liegen die Einfallstore für Hacker und Schadprogramme auch am Fehlverhalten der Nutzer. So habe das BSI 2017 mehr als „zwei Millionen Zugriffe aus dem Regierungsnetz auf Server unterbunden, die mit Schadcode, Betrug oder Datendiebstahl in Verbindung standen“. Auch die Londoner Beratungsgesellschaft Willis Towers Watson kam in einer Studie 2017 zu dem Ergebnis, dass mehr als zwei Drittel aller Security Breaches eine direkte Folge menschlichen Verhaltens waren. Erfolgreiche Ransomware-Attacken, Daten- und Passwortdiebstähle haben Sicherheitsexperten schmerzhaft vor Augen geführt, dass zum Schutz gegen Cyber-Angriffe technische Abwehrmaßnahmen nur die notwendige Basis sind und der Faktor Mensch in Sicherheitskonzepten immer mehr Berücksichtigung finden muss. Hierbei gilt es, den Menschen und sein Verhalten in einem soziokulturellen Umfeld zu verstehen.
Die letzte Firewall sind die Mitarbeiter
Wenn es nun um Risikoabschätzung und das Treffen wirksamer Abwehrmaßnahmen geht, rückt aus den genannten Gründen das menschliche Verhalten in den Mittelpunkt. Selbst IT-Professionals unterläuft der vermeintliche Anfängerfehler, dass sie aus Bequemlichkeit für mehrere Zugänge beziehungsweise Dienste dasselbe Passwort nutzen.
Geschädigte, die es „hätten besser wissen müssen“, haben sich meist bei der persönlichen Abwägung zwischen Bequemlichkeit und Risikovermeidung für ersteres entschieden. Auch in den anderen genannten Beispielen scheiterten technologische Sicherheitsmaßnahmen am Faktor Mensch. Unachtsamkeit in einem kritischen Augenblick oder das Überwiegen von Respekt vor Vorgesetzten gegenüber einer gesunden Portion Skepsis – solch allzu menschliche Fehler haben zu Sicherheitsbrüchen und weitreichenden Konsequenzen geführt. Sowohl in Stresssituationen, als auch in der trügerischen Sicherheit von Routinen tendieren Menschen dazu, instinktiv zu reagieren.
Eine Sensibilisierung für Cyber-Bedrohungen etwa durch Schulungen kann die Wahrscheinlichkeit steigern, dass im entscheidenden Augenblick „die Alarmglocken schrillen“. Doch Gewissheit bieten auch solche Maßnahmen kaum – insbesondere dann nicht, wenn entsprechende Schulungen nicht auf den kulturellen Hintergrund der Zielgruppe angepasst sind.
