Gestern, heute, morgen: : Awareness im Wandel
In den letzten zwei Jahrzehnten haben sich die Methodik und das Bewusstsein für dieses Thema stark verändert, teils zum Besseren, teils bis hin zur Bedeutungslosigkeit. Aber wohin führt uns die Zukunft?
„Hütet euch vor den Geschenken der Danäer“, sagte der Priester Laookon vor mehr als zwei Jahrtausenden bei der Belagerung Trojas, als ein hölzernes Pferd vor das Tor gestellt wurde. Dieser Ratschlag kann mit Fug und Recht als der erste Sicherheitstipp bezeichnet werden. Seither hat sich im Bereich Awareness viel getan. Obwohl beispielsweise das Konzept der Computerviren bereits 1949 von John von Neumann theoretisch beschrieben wurde, überraschten die ersten Computerviren und -würmer, wie Elk Kloner, die IT-Welt Anfang der 80er Jahre. Erst Ende der 80er gab es die ersten kommerziellen Antivirenprogramme – aber noch keine Vorsichtsmaßnahmen in den Köpfen der Anwender. Das war die Ära der Unwissenheit.
Die goldene Ära
Mit der Zunahme der Bedeutung von IT in der Bürowelt und im Privaten (z. B. E-Mail-Nutzung) gewann das Thema IT-Sicherheit Anfang 2000 plötzlich an Bedeutung, als sich der Computervirus Loveletter mit dem neugierig machenden Hinweis auf eine Liebeserklärung des Absenders hundertausendfach verbreitete. Dieses Ereignis leitete die „goldene Ära“ der Awareness ein; gekennzeichnet durch ein hohes Interesse der IT-Nutzer für das Thema beziehungsweise für die entsprechenden Schutzmaßnahmen.
Das folgende Jahrzehnt war dann von einem Überangebot an Sensibilisierungsmaßnahmen der Unternehmen gekennzeichnet: Kantinentage zur IT-Security, Tassen mit Awareness-Kampagnen, Werbung in jedem Büro, Poster zu Schutzmaßnahmen in jeder Kaffeeküche („Log Dich immer aus, wenn Du vom Rechner weg gehst!“) waren ebenso häufig, wie firmeninterne Newsletter, Security-Shows von Hackern vor einem nicht technisch versiertem Publikum bis hin zu dienstlichen „PC-Spielen“, die Information zu Schutzmaßnahmen transportieren sollten.
Diese Zeit bezeichnet der Autor als das „Silver Age of Awareness“. Hier galt „gut gemeint ist nicht immer gut gemacht“. Einerseits ist die Menge an Informationen für die Nutzer gestiegen (von E-Mail-Sicherheit bis Clean-Desk), andererseits sind die methodischen Maßnahmen immer intensiver und auffälliger geworden. Reichte im „Golden Age“ noch der Hinweis „Mach keine E-Mail auf mit dem Betreff Loveletter“ galt es nun, den Raum abzuschließen, ein Passwort richtig zu wählen, keine Fremden einzulassen, E-Mail-Inhalten nicht zu glauben und im Bus keine Firmengeheimnisse auszuplaudern. Gleichzeitig überschlugen sich die Schulungsmaßnahmen. Selbst in der Kantine kam man beim Security-Day nicht mehr an dem Thema vorbei. Das führte bald dazu, dass die Benutzer das Thema nicht mehr hören konnten und eine Abneigung entwickelten – man erreichte also genau das Gegenteil von Awareness. Das war der Beginn des „Sonnenuntergangs“.
Abwärtstrend
Die hohe Themenvielfalt, die täglich größer wurde („Vorsicht vor Anrufen von falschen Microsoft Mitarbeitern“) führte zu hohen Aufwänden. Dies sowohl für die Anwender („Schon wieder eine neue Schulung.“) als auch für die Vortragenden. So wurden die Kampagnen gestreamlined, noch mehr outgesorced und zu 08/15-Webseminaren, die ein normaler Benutzer kaum noch von denen zum Arbeitsschutz, Compliance, erster Hilfe oder Korruptionsbekämpfung unterscheiden kann. Das ist das derzeitige „Bronze Age of Awareness“.
In vielen Firmen begann in den letzten Jahren sogar eine vierte Phase, da die Prozesse sich änderten. Zum einen wurden vielerorts agile Methoden (SCRUM) eingesetzt, zum anderen Prozesse verschlankt — gerade nach den Verlusten, die viele Unternehmen in Corona-Zeiten erlitten hatten. Allein die Einführung von SCRUM erfordert eine tiefgreifende Sicherheitsplanung, die oft vergessen wird. Gleichzeitig kommen ständig Methoden hinzu, zum Beispiel Docker, die eigene, neue Gefahren mit sich bringen. Dies bedeutet, dass im derzeitigen „Age of Sunset“ die Methodik für Awareness kostenoptimiert standardisiert und daher das Interesse der User an dem Thema gesunken ist, gleichzeitig aber weit stärker als früher die Herausforderungen an die IT-Security sprunghaft ansteigen und neue Prozesse – die oft angreifbar und noch nicht völlig verstanden sind – dazukommen. Ein Fest für die Hacker. Relativ verlässliche Zahlen findet man dazu beim BSI.
Neue Herausforderungen
Zusammenfassend lassen sich die Awarenessphasen aufteilen in: Ahnungslosigkeit, steigende Bedeutung, standardisierte „Tütensuppen-Awareness“ und die aktuelle Phase der exponentiell wachsenden Komplexität der Angriffe, bei der die Awareness nicht mehr mit der Zunahme der Bedrohungen mitkommt. Die folgenden kuriosen Beispiele sollen das untermauern:
- Hack der Keksfabrik: „Versalzener Keksteig“ war das schlimmste Szenario, dass sich die Ingenieure einer kanadischen Keksfabrik für einen Cyberangriff vorgestellt haben. Bei einem echten Angriff auf die Produktionsanlage kam es zu einem Produktionsstillstand, mit in den Rohren aushärtenden Keksteig und einem Millionenschaden.
- Angriff über ein Aquarium Thermostat: 2018 gelang es Hackern die Kundendatei eines Casinos zu entwenden. Sie drangen dabei über ein ungesichertes smartes Thermostat eines Aquariums in die IT-Systeme des Casinos ein.
- Angriff über Balkencodes auf Kassensysteme: Barcodes sind ein normaler Teil unseres Einkaufes. Manipuliert man diese jedoch, so kann man die Kassensysteme dahinter angreifen, da diese nicht gegen Angriffe über den Scanner geschützt sind.
Diese Liste ließe sich beliebig fortsetzen. Eigentlich ist daher ein neuer Weg notwendig, nämlich die dynamische und zielgruppengerechte Awareness. Was versteht man darunter? Es bedeutet eine Methodik der Sensibilisierung, die sehr aufwendig ist.
Zum einen müssen Informationen durch die Awareness-Abteilung tagesaktuell ausgewertet und bewertet werden. Diese Informationen sollten aus vielen verschiedenen Quellen stammen, von IT-Newstickern, Schwachstellendatenbanken, Analysen des Firmen-SOCs zu neuen Angriffen über Auffälligkeiten im Support (z. B. eine Vielzahl von seltsamen Meldungen von Benutzern) bis hin zu den IT-Abteilungen über Änderungen im System.
Der Analytiker, der das alles auswertet, sollte ein wenig pessimistisch bis paranoid sein, was das Verhalten der User anbetrifft („Darauf fällt bestimmt jemand rein.“) und auch die verschiedenen Abteilungen der Firma kennen und dort Ansprechpartner haben. Er muss bereit sein, diese Information schnell weiterzugeben, sei es übers Intranet oder über direkte Ansprechpartner oder andere Wege.
Der Autor dieses Beitrags erinnert sich an einen Fall, in dem ein völlig neuartiger Angriff systematisch gegen Mitarbeiter durchgeführt wurde. Innerhalb von zwei Stunden, war eine Warnung vor dieser neuen Masche zumindest im Intranet publiziert und an die Führungskräfte zur Weitergabe an die Mitarbeiter versendet. In einem anderen Fall in anderer Konstellation sah der Autor aber auch „interne Bearbeitungszeiträume“ von über einer Woche. An dieser Stelle eine direkte Frage: Wie schnell wären Sie bei der Weitergabe der Information im Intranet?
Der zweite Punkt, der ebenfalls viel Zeit in Anspruch nimmt, ist die Zielgruppenorientierung. Ein Manager muss anders angesprochen werden als die Person, die das intelligente Thermostat installiert, eine Sekretärin anders als die Person, die die Steuerung der Keksfabrik implementiert. Der Autor erinnert sich an Awareness-Schulungen, die er speziell für die Bibliotheksmitarbeiter und die Immobilienverwalter eines Unternehmens gemacht hatte, die zwar ähnliche Themen hatten (z. B. Viren), aber die Beispiele so gewählt wurden, dass die Betroffenen sich etwas drunter vorstellen konnten. Der Satz des Pythagoras wird – wenn man es auf Mathenachhilfe überträgt – immer etwas Bizarres bleiben. Aber wenn man den Zuhörern erzählt, was für ein komischer Kauz dieser Pythagoras war, dass er zum Beispiel auch eine Art Sektenführer war, wird das trockene Thema vielleicht interessanter.
Morgen
Allerdings ist das nur ein erster Schritt. Mit dem neuen Kontinent „künstliche Intelligenz“ (KI) beginnt gerade die nächste Phase der Awareness. Das Thema ist das neue „Erdöl“ der IT-Landschaft: KI ist eine Schlüsseltechnologie, die gerade in diesem Jahr explosionsartig anwächst. Die Aussicht auf effizienten Einsatz und eine technische Vorreiterrolle (inklusive der damit verbundenen Wirtschaftlichkeit) lässt die Security-Aspekte völlig untergehen. Das beginnt bei technischen Angriffen (z. B. Laserpointer-Attacken gegen selbstfahrende Autos, um eine grüne Ampel vorzutäuschen.) und geht zu wirklich erschreckenden Dingen, wie Social-Hacking-Angriffen gegen KIs.
Vor kurzem sagte ein Forscher der Bing-Chat-KI, dass er ein Entwickler des Systems ist („Ich bin dein Vater, Luke.“) und er gern Zugriff auf vertrauliche Protokolle des Chatbots hätte, die er dann auch bekam. Wie früher, als – man erinnere sich an den Hochstapler Gert Postel in den 90ern – ein gefälschtes Zeugnis und ein Kittel ausreichten, um als Arzt über Jahre zu arbeiten. Social Hacking gegen KIs? Als wären die User keine ausreichende Zielgruppe. Dieses Thema, gilt es im Auge zu behalten. Es wird die nächste Phase der Awareness einleiten.
Dr. Sebastian Broecker war lange Jahre als CISO tätig und arbeitet derzeit als freiberuflicher Autor und Referent