Menschlicher Faktor, SOC und Risiko : Mitarbeiter in Angriffserkennung und -abwehr einbinden
Während technische Informationssicherheit immer dynamischer agiert und sich zunehmend ums Security-Operations-Center (SOC) gruppiert, wirken Sicherheitskonzepte zum menschlichen Faktor in vielen Unternehmen seltsam erstarrt. Dabei wäre es längst Zeit für ein dynamisches und risikoorientierteres Vorgehen, das vom SOC profitiert und ihm zuarbeitet.
Die Anregung zu diesem Beitrag lieferte ein Kollege aus der technisch-organisatorischen Beratung für Informationssicherheit: Als sein Team bei einem Kunden, der vor einem Audit stand, in Teilbereichen Mängel der technischen Securityaufstellung konstatierte, schlug der Berater dem CISO vor, die Lücken durch verstärkte Sensibilisierungsmaßnahmen bei kritischen Zielgruppen zu kompensieren. Der Prüfer würde dies sicherlich als temporäre Überbrückungsmaßnahme akzeptieren.
Der Sicherheitschef winkte allerdings ab: „Awareness? Das sind doch ganz streng festgelegte Programme mit Onlineschulung, Erfolgskontrolle und flankierenden Plakaten. Das können wir professionell nicht so schnell stemmen.“ – eine interessante Replik, die ein paar Missverständnisse gängiger Sicherheitsnormen transportiert. Sie korreliert außerdem gut mit dem eintönigen Bild, das die Awarenessarbeit in der Mehrzahl der Organisationen heute abgibt.
Bestandsaufnahme
Einheitbrei mit Deko
Der Hang zur Gleichförmigkeit hat Gründe, die in der Interpretation der Vorgaben liegen. Industriestandards und Gesetzeswerke wie die ISO-2700x-Familie, der IT-Grundschutz, die EU-DSGVO, PCI-DSS, NIST und weitere fordern durchweg Sensibilisierungsmaßnahmen – teils noch implizit, zunehmend aber auch explizit. Sie verlangen dabei häufig Nachweise über den Erfolg des Vorgehens, mindestens eine Dokumentation der Zahl erreichter Mitarbeiter. In einigen Fällen kommt die ausdrückliche Vorgabe hinzu, mehr als einen medialen Kanal zu nutzen – gut ausgeprägt etwa beim PCI-DSS-Regelwerk aus der Kreditkartenwirtschaft (vgl. [1]).
Was die Umsetzung ihrer Forderungen betrifft, lassen die Normen den Anwendern durchweg viele Freiheiten – diese werden allerdings kaum genutzt. Im eingangs genannten Beispielfall hätten etwa ein paar schnell eingeräumte Meetings und regelmäßige Folgemails gereicht, in denen der CISO bestimmten Teams einfach erklärt hätte, worauf sie achten müssen.
Weil Organisationen angesichts möglicher Audits aber auf Nummer sicher gehen wollen, hat sich weithin eine immer gleiche Trias an Awarenessmaßnahmen durchgesetzt: Online-Schulungen mit Erfolgsprotokollierung im Zentrum, Plakate, Aufsteller oder Flyer als zweiter Kanal und gegebenenfalls noch Rundmails oder Beiträge von Managern in Unternehmenszeitungen als Zugabe.
Kreativere, auch kurzfristig umsetzbare und oft einfachere Alternativen geraten aus dem Blickfeld, obwohl auch sie eine angemessene Human-Factor-Arbeit im Sinne der Normen darstellen können. Online-Schulungen werden meist „von der Stange“ gekauft und nur in geringem Maß ans individuelle Unternehmen und seine Zielgruppen angepasst. Schulungen für besondere Zielgruppen gibt es, wenn überhaupt, im Bereich der Entwicklungsabteilungen.
Entkoppelt von der Bedrohungs-Abwehr
Besonders fällt auf, wie wenig Awarenessmaßnahmen angesichts dieser Ausrichtung dem aktuellen Trend der Informationssicherheit folgen können, schnelle und flexible Reaktionen auf sich ändernde Risiken und Bedrohungen zu ermöglichen. Die technisch-organisatorische Security rückt das Security-Operations-Center (SOC) immer stärker in den Mittelpunkt ihrer Arbeit. Dort treffen permanent manuell und automatisch verarbeitete Informationen über neue Bedrohungen und Angriffsformen ein, die das eigene Unternehmen betreffen könnten. Eine zunehmend intelligente Sensorik-Auswertung prüft außerdem ununterbrochen, ob sich verteilt im internen Netz Anzeichen für aktive Angreifer zeigen. Die aktive, dynamische Tätigkeit der Security-Analysten im SOC heißt nicht umsonst „Bedrohungsjagd“. Im Fall der Fälle sind die Teams aufgrund umfassender Informationsflüsse immer häufiger in der Lage, mit gezielten Abwehrmaßnahmen wie Abschottungen von Servern oder ad hoc umgesetzten Konfigurationsanpassungen von Sicherheitstools sogar noch bereits laufende Angriffe einzudämmen.
Der menschliche Faktor bleibt dabei weitgehend außen vor. Hier und da werden immerhin Mails an Mitarbeiter verschickt, wenn deren Verhalten etwas zur Abwehr einer konkreten Gefahr beitragen kann. Systematisch erfolgen derartige Einbindungen der Belegschaft allerdings kaum einmal. Oft merken Sachbearbeiter zuerst nur, dass irgendetwas an ihrem Arbeitsplatz plötzlich nicht mehr funktioniert, statt aktiv an der Angriffsabwehr beteiligt zu sein oder wenigstens über Prozessänderungen informiert zu werden.
Noch seltener findet man einen Kanal, der Meldungen und Beobachtungen von Mitarbeitern, die nicht zur IT oder gar IT-Security gehören, geregelt ans SOC weiterleitet. Dem SOC entgehen deshalb sowohl ein wirksamer Kanal für Gegenmaßnahmen als auch eine gut aufgefächerte (menschliche) Sensorik, die schädliche Aktivitäten jenseits der reinen Technik erfassen könnte – Social-Engineering-Anrufe etwa, die sich um ein bestimmtes Ziel herum gruppieren, „Hausbesuche“ von Datendieben oder seltsames Verhalten von externen Kräften.
Zusammengefasst: Die klassische AwarenessMethodik droht derzeit den Anschluss an moderne Vorgehensweisen in der Informationssicherheit und im Datenschutz zu verlieren und „aus der Zeit zu fallen“. Der Fokus liegt nach wie vor auf jenen Maßnahmen, die den Aufbau eines hinreichenden Niveaus an Security-Wissen und -Können bei den Mitarbeitern verfolgen. Aktivitäten, die darauf abzielen, auch moderne Gefahrenerkennung und -abwehr in Kooperation mit den Mitarbeitern einer Organisation zu bewältigen, fehlen fast überall. Die Bedeutung dieses Aspekts wird in Zukunft aber steigen, da praktisch alle Security-Maßnahmen inzwischen von der Idee reiner Prävention abrücken und sich darauf ausrichten, auch bereits angelaufene, intelligent angelegte Angriffe noch abzuwehren. Zeitgemäße Human-Factor-Konzepte benötigen zusätzliche Ansätze und andere Priorisierungen, um auch in diesem Bereich wirksam zu sein. Ein derart modifiziertes Vorgehen hat dabei den willkommenen Vorteil, auch langfristig weniger abstumpfend zu wirken als die üblichen jährlichen Schulungsdurchgänge.
SOC-orientierter Ansatz
Für entsprechende Anpassungen ist eine RisikoEinstufung der Mitarbeiterzielgruppen und ihrer Tätigkeiten notwendig: Sie gibt Aufschluss darüber, in welchem Maße die Informationssicherheit oder das Datenschutzniveau in einer Organisation überhaupt vom Verhalten der Teams in den einzelnen Fachabteilungen abhängig ist. Das hilft nicht nur dabei, den Zielgruppen die jeweils richtigen Awarenessmaßnahmen zuzuteilen.
Mit der Risiko-Landkarte, die so entsteht, kann das SOC Mitteilungen aus der Belegschaft schnell auf ihre Brisanz hin einschätzen, um sie – wie bei technisch ausgelösten Meldungen – entweder in den normalen Incident-Management-Prozess einzuspeisen oder sofortige Analysen auszulösen. Letzteres wäre etwa dann sinnvoll, wenn sich mögliche Social-Engineering-Aktivitäten um die „Kronjuwelen“ einer Organisation herum plötzlich häufen, während sich dort gleichzeitig Hinweise auf technisches Hacking zeigen.
Darüber hinaus lässt sich bei einem akuten Angriff die erwähnte Risiko-Landkarte der Zielgruppen dazu nutzen, bei einem Vorfall beliebiger Art schnell und gezielt diejenigen Teams unter den Anwendern auszuwählen, die mit Priorität in die Gegenmaßnahmen eingebunden werden sollten. Dazu ist es natürlich auch notwendig, leistungsfähige Kommunikationswege zwischen SOC und Fachbereichen einzurichten.
Beide Aspekte des entsprechenden Vorgehens wecken bei Organisationen häufig die Befürchtung, teuer und aufwendig zu sein. Man geht von einer vorgeschalteten Assessment-Phase aus, die im Alltagsbetrieb hinderlich ist und für eine geraume Zeit nur Kosten und keine Resultate bringt. Der Aufbau eines sicherheitsbezogenen Melde- und Kommunikationswesens von der Mitarbeiterschar hin zum SOC und zurück gilt weithin als problematisch. Dem lässt sich allerdings einiges entgegenhalten:
- Das hier beschriebene Assessment-Verfahren ist so konzipiert, dass es an sich bereits eine wirksame Awareness-Maßnahme darstellt.
- Die Ergebnisse des Assessments können durchaus zu einer Reduktion des Sensibilisierungs-Aufwands führen, da sich für wenig risikobehaftete Zielgruppen der Schulungsumfang gegebenenfalls verringern lässt.
- Der dynamische Ansatz übertrifft durch die SOCAnbindung die Effektivität des üblichen Schulungsmodells.
- Der Aufbau einer geregelten Kommunikation zwischen Belegschaft und SOC lässt sich durchaus kostengünstig gestalten (siehe unten).
Risiko-Ermittlung
Das grundlegende Verfahren für einen risikoorientierten Umgang mit Gefahren, die aus dem Verhalten von Mitarbeitern resultieren, wurde in der schon 2010 zum ersten Mal beschrieben [2]. Das damals noch neu erdachte und weitgehend theoretisch abgehandelte Vorgehen lässt sich heute in einfache, vergleichsweise leicht umzusetzende Schritte fassen. Seine Besonderheit liegt darin, die Mitarbeiter von Anfang an dialogorientiert und kooperativ einzubinden. Erstens lassen sich so auch Details erfassen, die typischen Fragebogenerhebungen entgehen, und zweitens steigert allein der Dialog mit der Belegschaft bereits die Awareness.
Die Entwicklung der vergangenen neun Jahre hat der Methodik dabei in die Hände gespielt: Weit mehr Unternehmensmitarbeiter als damals haben – auch aus privaten und persönlichen Erfahrungen heraus – inzwischen eine gewisse Grund-Awareness für Cyberrisiken aufgebaut oder zumindest eine eigene Einstellung zum Thema gewonnen. Ein weiterer Trend, der einem modernen, dynamischen Umgang mit dem menschlichen Faktor in der Informationssicherheit zugutekommt, zeigt sich in Institutionen mit hoch professionellen, selbstständig agierenden Mitarbeitern, die sich vom Einheitsbrei gängiger Online-Schulungen schnell abwenden würden – etwa Hightech-Entwicklungs-Umgebungen oder Kliniken mit hochdotierten Fachärzten. In solchen Ökosystemen tendieren Management und IT schon länger zu einer kooperativen, auf Dialog setzenden Zusammenarbeit zwischen Security und Anwendern, wenn es um die Ausarbeitung von Grundsätzen für ein sicheres Cyber-Security-Verhalten geht (vgl. [3]).
Start im kleinen Kreis
Das „Human-Factor-Risk-Assessment“ (HFRA) beginnt mit einem Workshop, bei dem die zur Durchführung der Maßnahmen auserkorenen Spezialisten (intern oder Berater) mit einem kleinen Kreis von Entscheidern aus den Arbeitsfeldern Informationssicherheit und Datenschutz zusammentreffen. Hierzu gehören zum Beispiel CISOs, Informationssicherheitsbeauftragte, Manager IT-Security sowie Datenschutzbeauftragte.
In diesem Meeting wird versucht, eine erste Einteilung der Belegschaft in der Organisation dahingehend vorzunehmen, wie groß der Einfluss ihres Verhaltens auf die Informationssicherheit sein könnte. Außerdem wird notiert, inwiefern für die entsprechenden Gruppen schon Awarenessmaßnahmen stattgefunden haben und welchen Wissens- und Könnens-Stand die Manager bei ihnen vermuten. Die Ergebnisse dieses Einstiegsmeetings sind als vorläufig zu betrachten, die dabei entstehende erste Version der Risiko-Landkarte der Belegschaft als grobe Skizze.
Dieser Workshop mit Entscheidern ist der einzige Schritt des Verfahrens, der rein vorbereitenden Charakter hat. Bereits der nächste Punkt – das Assessment selbst – wirkt, wie erwähnt, bereits als Awarenessmaßnahme, die auch bei einem Audit als solche präsentiert werden kann.
Diskussion kritischer Ereigniszusammenhänge
Für die zweite Stufe wählt das Human-FactorTeam zusammen mit den Managern der im Vorab-Workshop bestimmten Zielgruppen (meist deckungsgleich mit Abteilungen) Teilnehmer für Fokusgruppen aus. Bewährt hat sich, pro Meeting jeweils etwa zehn zufällig herausgegriffene Kollegen zusammenzubringen und zusätzlich ein oder zwei Mitarbeiter einzubinden, die als besonders interessiert oder versiert bekannt sind oder in der Belegschaft Vertrauen genießen – sie können später zu effektiven Multiplikatoren werden. Wie viele Meetings stattfinden sollten, hängt von der Organisationsgröße und -struktur ab.
In den Gruppen werden zunächst folgende Aspekte diskutiert:
- mit welcher Art von Informationen die Teilnehmer in ihrem Bereich umgehen und wie kritisch diese aus der Unternehmens- sowie Sicherheits- und Datenschutzperspektive sind
- inwiefern die Praxis der Informationsverarbeitung und Kommunikation sowie die verwendete Technik und die zugehörigen Prozesse (Usability) ein sicheres und datenschutzgerechtes Vorgehen unterstützen oder inwiefern sie diesem entgegenstehen
- ob Richtlinien zum sicheren Umgang mit Daten existieren
- ob Zeitdruck oder andere Faktoren zur Umgehung der Richtlinien verleiten
- welche Awareness-Maßnahmen stattgefunden haben und ob sich die Teilnehmer in der Lage fühlen, ihre Aufgaben tatsächlich sicherheitsgerecht auszuführen.
In einem weiteren Teil des Meetings geht es darum, herauszufinden, ob die Teilnehmer in ihrer Abteilung bereits Situationen erlebt haben oder sich vorstellen können, welche die Sicherheit von Informationen gefährden. Dabei kommen die auslösenden Elemente, die dann ablaufenden Prozesse sowie die Möglichkeiten des Handelns zur Sprache, die im jeweiligen Fall bestehen. Die Teilnehmer sollen selbst diskutieren, wie man entsprechende Situationen in der Zukunft vermeiden könnte. Diese Methode beruht auf der sogenannten „Critical Incidents Technique“ („Methode der kritischen Ereignisse“) nach John C. Flanagan [2,4].
Zwei typische Beispiele für Situationen, die so ans Tageslicht kommen können, sind:
- Ein bestimmtes Mitarbeiterteam muss monatlich zu einem bestimmten Zeitpunkt eine große Zahl von Einzeldaten aus der Kundendatei an eine andere Abteilung weitergeben – aus Prozessgründen immer wieder unter höchstem Zeitdruck. Da der Vorgang an sich aufgrund der Struktur der Datenbank nicht benutzerfreundlich ist, werden versehentlich wiederholt Daten mittransferiert, die aus Datenschutzgründen vertraulich zu halten wären. In der Abteilung, welche die Informationen weiterverarbeitet, sind diese Daten jedoch leicht zugänglich, da dort keine besonderen Schutzmaßnahmen implementiert wurden. Die auslösenden Momente für die kritische Situation sind in diesem Fall der Zeitdruck und technische Unzulänglichkeiten, die nebenher verhindern, dass die Sachbearbeiter die Informationen vor der Weitergabe noch einmal sichten können.
- Das Sekretariat des mittleren Managements arbeitet für viele Führungskräfte zugleich und beschäftigt auch Zeitarbeitskräfte. Manager fordern telefonisch immer wieder auch Informationen an, die als vertraulich eingestuft sind – und zwar „unverzüglich“. Die Mitglieder des Teams sind sich dann nicht in jedem Fall sicher, ob ihr jeweiliges Gegenüber überhaupt berechtigt ist, diese Informationen schnell und auf dem gewünschten Weg zu erhalten. Richtlinien oder Hilfen existieren für dieses Szenario nicht; das Team fühlt sich unsicher.
Das Human-Factor-Risk-Assessment deckt auf diese Weise auf, wo im Bereich menschlichen Verhaltens und der Arbeitspraxis verborgene Sicherheitslücken bestehen und wie sie sich zielgerichtet beheben lassen – gegebenenfalls auch mit optimierter Technik und durch Änderungen in Organisation und Prozessen. Außerdem wird die Haltung der Belegschaftsmitglieder zum Thema Informationssicherheit sichtbar: Denken sie über Sicherheitsaspekte nach und fühlen sie sich mit Schwachstellen unwohl oder stehen sie dem Thema eher gleichgültig gegenüber?
Abgesehen davon „aktiviert“ der Workshop die ausgewählten Mitarbeiter für das Themenfeld Sicherheit und macht ihnen deutlich, dass ihre Zuarbeit für die Securityteams wertvoll ist. Der angesprochene Personenkreis lässt sich dann auch leichter für eine zukünftige regelmäßige Zusammenarbeit mit dem SOC gewinnen – dieses Vorhaben sollte in den Workshops bereits angekündigt und erklärt werden.
Weitere Schritte und Erfolgsfaktoren
Anschließend müssen die Resultate aus den kleinen Gruppen mit ausgewählten Teilnehmern noch in die jeweilige Gesamtzielgruppe getragen werden. Dies geschieht am besten im Rahmen gewöhnlicher Abteilungsmeetings, bei denen ein Human-Factor-Spezialist und die Workshopteilnehmer vom Treffen und den dort besprochenen Problemen und kritischen Ereigniszusammenhängen berichten. Sollten bereits Abhilfemaßnahmen identifiziert worden sein, lohnt es sich, auch diese vorzustellen – als Nachweis, dass der Input der Belegschaft tatsächlich etwas bewirkt. Ideal ist es, danach alle Mitarbeiter der Abteilung noch einmal aufzufordern, eigene Beobachtungen und Wünsche beizusteuern.
Das gesamte Assessment wird vor dem beschriebenen Hintergrund zu einer interaktiven AwarenessMaßnahme, die sich als wirkungsvoller Teil der Sensibilisierungs-Strategie einer Organisation präsentieren lässt.
Es bereitet nicht nur eine engere Kooperation zwischen SOC und Belegschaft vor, sondern liefert auch die nötigen Informationen dafür, um neue zielgruppen- und risikogerechte Sensibilisierungsmethoden anwenden zu können.
Anzumerken ist, dass der Erfolg des Ansatzes stark vom geschickten Agieren der Gesprächsleitung in den Workshops der zweiten Stufe abhängt (siehe auch [2]): Je besser es gelingt, dort eine Atmosphäre zu schaffen, in der Mitarbeiter offen über ihre Erfahrungen und Einschätzungen sprechen, desto aussagekräftiger sind die Ergebnisse. Vor allem muss unter den Teilnehmern klar sein, dass bei keinerlei Äußerung irgendeine Sanktion des Unternehmens zu befürchten ist – selbst dann nicht, wenn eventuelles Fehlverhalten erkennbar wird.
Neue Kommunikationskanäle
Das einfachste Modell für ein Security-„Meldewesen“, bei dem Mitarbeiter Beobachtungen und mögliche Social-Engineering-Erlebnisse an ein Security-Operations-Team weitergeben, besteht in der Nutzung der existierenden Kommunikationswege E-Mail, Messaging und Telefon. Speziell instruierte Mitarbeiter des IT-Helpdesks nehmen dann die Meldungen entgegen, sichten sie und fungieren so als Vorfilter für das SOC. Vom Budget her schlagen hier die entsprechende Schulung der Ansprechpartner und ihre Arbeitsleistung zu Buche.
Eine stärker automatisierte Alternative ist die Bereitstellung einer (eventuell auch anonym nutzbaren) Intranet-Eingabemaske, die zur Erfassung der eigentlichen Beobachtung, des möglichen Ziel-Assets und weiterer Rahmeninformationen dient und die Angaben zugleich soweit aufgliedert und formalisiert, dass die Sichtung leichter fällt. Mit etwas größerem Programmieraufwand ließe sich der Input dann gegebenenfalls sogar so aufbereiten, dass er direkt in die Korrelationslogik eines SIEM-Systems oder vergleichbaren Werkzeugs samt seiner KI-Komponenten einbezogen werden kann (siehe auch [5,6,7]).
Der umgekehrte Kommunikationskanal im SOCorientierten Human-Factor-Konzept, also die Benachrichtigung von Mitarbeitergruppen, die durch ihr Handeln etwas zur Abwehr einer akuten Bedrohung beitragen können, stellt technisch keine großen Anforderungen an IT und IT-Security. Informationen können hier ohne Weiteres über etablierte E-Mail- und Messaging-Kanäle laufen. Wichtig ist es, betroffene Mitarbeiter auch dann zu informieren, wenn sie selbst nichts unternehmen müssen, aber plötzliche Einschränkungen bei der Nutzung ihrer Systeme zu erwarten haben. Sie fühlen sich dann wiederum in die Securitymaßnahmen einbezogen, was die Bereitschaft zur Zusammenarbeit mit dem SOC weiter erhöht.
Fazit
Das lange Zeit gültige Modell, bei der Einbindung von Mitarbeitern in die Informationssicherheit auf die präventive Sensibilisierung für Cyberbedrohungen zu setzen und so die Gefahr schädlichen Fehlverhaltens zu reduzieren, wird als alleiniger Ansatz zunehmend anachronistisch. Bedrohungen aus dem Web durchdringen das Privat- und das Berufsleben inzwischen so stark, dass man von der Mehrzahl der Belegschaftsmitglieder durchaus eine aktive Beteiligung an der Abwehr auch komplexer Cyber-Gefahren erwarten kann.
Mit der hier beschriebenen Methodik lassen sich Grundsteine für eine entsprechend effektive Interaktion zwischen SOC und Anwendern legen. Eine widerstandfähige Organisation – Stichwort „Resilienz“ – muss genauso auf ihren Stab bauen wie auf technische und organisatorische Maßnahmen der klassischen Art.
Bettina Weßelmann (bettina@wesselmann.com) ist Beraterin für Unternehmenskommunikation und Fachautorin mit dem Spezialgebiet Informationssicherheit.
Literatur
[1] Bettina Weßelmann, Neue Orientierung für Awareness-Programme, Best Practices des PCI SSC, <kes> 2015#1, S. 22
[2] Werner Degenhardt, Axel Mario Tietz, Johannes Wiele, Das Menschliche Vermessen, „Menschliche“ Risiken erkennen und bewerten, <kes> 2010#1, S. 51
[3] Bettina Weßelmann, Johannes Wiele, Awareness: Von Top-down zum Dialog, Kooperation verdrängt Kampagnenmodell, <kes> 2016#1, S. 6
[4] John C. Flanagan, The Critical Incident Technique, Psychological Bulletin 51 (4), Juli 1954, S. 327, online verfügbar auf www.apa.org/pubs/databases/psycinfo/cit-article.pdf
[5] Bettina Weßelmann, Johannes Wiele, „Human Factor“-Sensoren für SIEM, <kes> 2014#4, S. 6
[6] Bettina Weßelmann, Johannes Wiele, Proof of Concept: Roboter als Werkzeug für Remote Support, LANline 5/2019, S. 32, online verfügbar auf https://www.lanline.de/roboter-als-werkzeug-fuer-remote-support/
[7] Bettina Weßelmann, Johannes Wiele, Künstlich muss nicht menschlich sein, Über die „anderen“ Grenzen von Security-KI, <kes> 2019#4, S. 13