Was ist „People Centric Security“ und warum ist sie wichtig?
Sicherheitslösungen der nächsten Generation beziehen den Schutz des Nutzers mit ein und arbeiten häufig auch mit KI-Funktionen. "People Centric Security" konzentriert sich genau auf diesen Ansatz. Es geht darum, die Mitarbeiterinnen und Mitarbeiter durch intelligente Lösungen, aber auch durch Schulungen vor Angriffen zu schützen, die auf ihre Anmeldeinformationen und Daten abzielen. Dabei geht das Konzept aber noch einen Schritt weiter.
Von Thomas Joos, freier Journalist
Laut einem Forschungspapier der Cyber Rescue Alliance aus dem Jahr 2022 sind nahezu alle Unternehmen weltweit Ziel von Phishing-Angriffen geworden. Bei 12 Prozent der erfolgreichen Angriffe hatten die Cyberkriminellen mehr als ein Jahr lang vollen Zugriff auf die Unternehmensdaten, bevor Ransomware die Daten verschlüsselte. Login-Daten sind mit über 60 Prozent die begehrteste Datenkategorie bei Sicherheitsverletzungen. Nach Angaben der Identity Defined Security Alliance hatten 79 Prozent der Unternehmen in den letzten zwei Jahren eine Sicherheitsverletzung im Zusammenhang mit Identitäten.
Nutzerinnen und Nutzer rücken immer mehr in den Fokus der Angreifer. Bei modernen Angriffsvektoren versuchen Cyberkriminelle über Phishing und sogar Spear-Phishing an Anmeldedaten oder Informationen von Anwendern zu gelangen. Durch aktuelle Technologien wie künstliche Intelligenz (KI) sind solche Angriffe mittlerweile sehr gut gemacht und selbst erfahrene Benutzer laufen Gefahr, von Phishing-Angriffen überrumpelt zu werden. Das liegt oft daran, dass mehrere Akteure zusammenarbeiten und gezielt KI-Funktionen einsetzen. So lassen sich beispielsweise Deep-Fake-Anrufe und sogar Deep-Fake-Videokonferenzen erzeugen, bei denen Angreifer Daten von Nutzern abgreifen können.
Firewalls, Malware-Schutz und andere Sicherheitslösungen reichen nicht mehr aus
Längst reicht es nicht mehr aus, sich auf komplexe und teure Sicherheitstechnologien zu verlassen. Angreifer gehen immer raffinierter vor und beschaffen sich direkt bei den Anwendern die Zugangsdaten, mit denen sich letztlich die meisten Sicherheitsfunktionen im Netzwerk aushebeln lassen. Eine Ausnahme bilden fortschrittliche Sicherheitslösungen der nächsten Generation, die den Schutz des Nutzers mit einbeziehen und häufig auch mit KI-Funktionen arbeiten.
„People Centric Security“ konzentriert sich genau auf diesen Ansatz. Es geht darum, die Nutzerinnen und Nutzer durch intelligente Lösungen, aber auch durch Schulungen vor Angriffen zu schützen, die auf ihre Anmeldeinformationen und Daten abzielen. Dabei geht das Konzept aber noch einen Schritt weiter. In Zeiten, in denen Unternehmen immer mehr auf Cloud-Services und das Homeoffice setzen, findet zwangsläufig immer mehr Datenverkehr zwischen lokalen Rechenzentren, Netzwerken und der Cloud statt. Dabei kommt es zu Fehlern und leider oft auch zu gezielten Angriffen. Auch davor soll der „People Centric Security“-Ansatz schützen.
Homeoffice und mobile Anwender im Fokus von „People Centric Security“
Dabei geht es nicht nur um den Schutz von Zugriffen aus und in die Cloud. Immer mehr Anwender arbeiten regelmäßig im Homeoffice oder mobil. Dabei werden zwangsläufig auch Daten über das Netzwerk, das Internet und externe Datenträger wie USB-Sticks transportiert. Diese Daten stehen natürlich im Fokus von Angreifern. In einem solchen Szenario besteht aber auch die Gefahr, dass USB-Sticks, Daten oder sogar ganze Notebooks absichtlich weitergegeben werden oder versehentlich verloren gehen.
Eine weitere Gefahr besteht darin, dass zu viele Daten mit zu hohen Rechten an externe Nutzer oder interne Nutzer weitergegeben werden, die diese Daten nicht oder zumindest nicht mit den zugewiesenen Rechten benötigen. Dieses auch als „Over-Sharing“ bezeichnete Szenario stellt eine weitere Gefahr dar, die von Cyberkriminellen gezielt ausgenutzt wird oder zu versehentlichem Datenverlust führen kann. „People Centric Security“ kann auch in diesem Bereich hilfreich sein und so Unternehmensdaten schützen.
Datenverlust richtig einschätzen und Risiken bewerten
Um „People Centric Security“ im Unternehmen effizient umzusetzen, sollten die Verantwortlichen in Unternehmen zunächst analysieren, welche Daten und welche Nutzer besonders gefährdet sind. Gibt es Anwender mit weitreichenden Rechten, die zum Teil auch im Homeoffice oder mobil arbeiten? Auf welche Daten greifen diese Benutzer zu? Was würde der Verlust dieser Daten für das Unternehmen bedeuten? Diese Fragen sollten beantwortet werden und darauf sollten sich die Unternehmen beim Schutz der Daten und Benutzer konzentrieren. Ohne solche Ansätze werden in den nächsten Jahren vermutlich auch die besten und teuersten Sicherheitsinfrastrukturen nicht helfen. Fernzugangsdaten sind mittlerweile ein begehrtes Handelsobjekt in einschlägigen Internetforen. In fast allen Fällen erfolgreicher Angriffe müssen die Angreifer nichts hacken, sie loggen sich einfach ein.
„People Centric Security“ legt einen Schutzmantel um gefährdete Benutzer
Im Fokus von „People Centric Security“ stehen zunächst Benutzer mit besonders weitreichenden Rechten und Datenzugriffen. Solche privilegierten Benutzerkonten sind für Angreifer besonders interessant und werden daher mit speziellen Angriffen aus dem Spear-Phishing-Sektor attackiert. Um diese Benutzer und damit letztlich die Unternehmensdaten zu schützen, kommt der „People Centry Security“-Ansatz zum Tragen. Dabei geht es nicht nur um erweiterte Lösungen für mehr Sicherheit, sondern auch um die Sensibilisierung der Anwender selbst. Angreifer nutzen häufig Informationen, die die Nutzer selbst zur Verfügung stellen, zum Beispiel in sozialen Medien. Wichtig ist dabei natürlich herauszufinden, welche Benutzerkonten davon betroffen sind.
Für Angriffe werden von Kriminellen häufig Open-Source-Intelligence-Tools (OSINT) eingesetzt, die frei zugängliche Informationen sammeln und für Angriffe auf Nutzer nutzen. Aber auch IT-Abteilungen können OSINT nutzen, um sich auf die Angriffe vorzubereiten. Übernehmen Kriminelle Accounts in sozialen Netzwerken, können sie diese nutzen, um andere Nutzer anzugreifen und im Namen des übernommenen Accounts weitere Daten abzugreifen. Häufig können nicht nur Daten, sondern auch Anmeldedaten für weitere Konten erbeutet werden, die dann ebenfalls in den Angriff einbezogen werden.
Schreibt ein Angreifer über einen gekaperten Account im Namen des übernommenen Kontos an einen anderen Nutzer, ist es für das neue Angriffsziel schwierig, die Attacke zu erkennen, vor allem wenn zuvor keine Schulung erfolgt ist. Oft erhalten Cyberkriminelle auf diesem Weg weitere Daten, die sie wiederum für weitere Angriffe nutzen können, um an noch mehr Daten und Informationen zu gelangen. Diese Kette lässt sich nahezu beliebig fortsetzen und ermöglicht den Angreifern wichtige Einblicke in die Daten und Strukturen eines Unternehmens. Der Höhepunkt des Angriffs ist dann oft die Übertragung von Ransomware und die damit verbundene Erpressung. Zuvor stehlen Kriminelle jedoch häufig Daten, die sie ebenfalls gewinnbringend verkaufen. Es wird also schnell klar, dass Unternehmen dringend reagieren sollten.
Moderne IT-Systeme im Bereich der personenzentrierten Sicherheit sollten idealerweise einer täglichen Überprüfung unterzogen werden. Mehr Sicherheit kann durch den Zero-Trust-Ansatz und den Schutz privilegierter Systeme erreicht werden. Tägliche Berichte über das Benutzerverhalten sind ebenfalls wichtig, besonders um die Nutzung gefährdeter Benutzerkonten zu bewerten. Wenn die Systeme verdächtiges Verhalten erkennen, ist eine schnelle Reaktion erforderlich. Dies ist jedoch nur möglich, wenn diese Accounts regelmäßig, idealerweise in Echtzeit oder zumindest täglich, überwacht werden.
Hier können Dienste mit KI/ML-Funktionen unterstützen, die ungewöhnliches Nutzerverhalten erkennen und Gegenmaßnahmen einleiten, zum Beispiel Warnungen versenden. Heutige Systeme können für Benutzerkonten, die ein ungewöhnliches Verhalten zeigen, nachträglich eine Multi-Faktor-Authentifizierung anfordern. Weitere Möglichkeiten sind die temporäre Sperrung des Accounts für den Zugriff auf besonders sensible Daten oder eine erweiterte Überwachung. Parallel dazu gibt es Systeme, die analysieren, wie oft Benutzer im Netzwerk auf Malware- und Phishing-Links klicken. Das System sperrt den Zugriff, protokolliert aber die Klicks. So können diese Mitarbeiter identifiziert und gezielt geschult werden.