Awareness-Index : Wie kann man das Sicherheitsverhalten gegenüber Cyberangriffen messbar machen?
IT-Sicherheit braucht den wachsamen Anwender – und für ein effektives Awareness-Konzept ist wiederum eine Evaluierung des Sicherheitsverhaltens im Unternehmensalltag notwendig. Dies ist eine echte Herausforderung, denn viele Ansätze sind mit hohem Aufwand und eingeschränkter Aussagekraft verbunden. Unsere Autoren stellen eine Kennzahl vor, die Awareness standardisiert und reproduzierbar messbar machen soll.
Security-Awareness ist – wie die Sicherheit selbst – sehr dynamisch und nur als Prozess sinnvoll „denkbar“: Ständig neue Angriffsmethoden und -vektoren sorgen etwa dafür, dass man in Unternehmen und anderen Organisationen Awareness kontinuierlich schulen und bewerten muss, um IT-Sicherheitsvorfällen vorzubeugen. Ein entsprechendes Konzept sollte dauerhafter und integraler Bestandteil jeder Unternehmenskultur sein.
Leider ist jegliche Art von Sicherheit eine schwierig zu messende Größe: Wie quantifiziert man etwa die Abwesenheit von Sicherheitsvorfällen? Gegen was, unter welchen Bedingungen und bis zu welchem Grad ist man „sicher“? Nicht anders verhält es sich beim Thema Awareness – es gibt verschiedene Ansätze und Messmethoden, die oft aber nur unzureichend zufriedenstellend sind. Dabei haben alle das gleiche Ziel: Menschliches und damit komplexes Verhalten in eine Kennzahl zu packen, die Aussagen zum „Return on Investment“ (ROI) von Awarenessmaßnahmen liefert, die Kommunikation mit Fachfremden erleichtert und als Kontrollinstrument schnelle Reaktionen ermöglicht.
Stimmungsbarometer
Ein in der Fachliteratur häufig beschriebener Ansatz hierfür sind empirische Umfragen, die verschiedene Dimensionen von Awareness behandeln – beispielsweise Wissen, Haltung und Verhalten (siehe etwa [1]). Unterschiedlich gewichtete Fragen ermöglichen dann zum Beispiel eine Einordnung in eine Skala von 0 bis 100. Dies bietet den Vorteil der einfachen Kommunizierbarkeit und liefert ein umfassendes Bild, wie das Thema Awareness von der Belegschaft wahrgenommen wird. Aus Faktoren wie Motivation, Wissenslücken oder der empfundenen Unternehmenskultur kann man auch durchaus Handlungsmaßnahmen ableiten.
Die Frage, wie verwundbar eine Testgruppe gegenüber IT-Sicherheits-Angriffen ist, wird jedoch nur bedingt beantwortet: Umfrageergebnisse bilden oft die Intention, nicht aber das tatsächliche Verhalten eines Befragten ab. Ein Mitarbeiter, der motiviert ist, sich sicher zu verhalten, kann trotzdem im entscheidenden Moment die wesentlichen Anzeichen übersehen. Schätzt der Befragte sein Verhalten als gemäß der normativen Wertvorstellung unerwünscht ein, beantwortet er Fragen außerdem häufig unwahr (sog. „Social Desirability Bias“, vgl. [2]). Und auch die Auswahl der Probanden stellt ein Problem dar, denn die aktive Teilnahme eines Mitarbeiters an einer Umfrage zum Thema IT-Sicherheit bedingt ein gewisses Grundinteresse.
Tests am lebenden Objekt
Einen anderen Ansatz zur realitätsnahen Überprüfung der Awareness bietet die Simulation von IT-Sicherheitsangriffen (Penetrationstests). Hierbei kommen aufgrund der Praktikabilität und des geringen Aufwands typischerweise einzelne Phishing-E-Mails zum Einsatz, die an viele Empfänger in identischer Art und Weise versendet werden. Im Ergebnis erhält man eine realitätsnahe Aussage, wie hoch die Klickrate auf ein bestimmtes Phishing-Szenario ausfällt
Allerdings ist auch hier Raum für Ungenauigkeiten: Diese Klickrate ist stark abhängig von Faktoren wie Sendezeitpunkt, Empfängerkreis und vor allem der Qualität des Angriffsszenarios. Vergleiche und vor allem die Reproduzierbarkeit der Ergebnisse sind stark erschwert – um (etwa nach Schulungsmaßnahmen) eine Vergleichsmessung durchzuführen, müsste man denselben Angriff auf dieselben Zielpersonen wiederholen können. Dies dürfte in der Praxis nicht von Erfolg gekrönt sein.
Artefakte im Arbeitsalltag
Das an der Universität Bonn entwickelte „IT-Security Awareness Penetration Testing Framework“ (ITS.APT) basiert ebenfalls auf der von Mitarbeitern gezeigten Reaktion auf künstlich erzeugte IT-Sicherheitsvorfälle im Arbeitsalltag: In den Arbeitsablauf des Computernutzers werden dazu sogenannte Artefakte eingebracht, die verschiedene Handlungsoptionen bieten – beispielsweise das Pop-up eines Browserupdates, das die Möglichkeiten „Ok“, „Abbrechen“ oder „Schließen“ anbietet (siehe [3]).
Ähnlich wie in Umfragen werden dann auch hier die jeweils gewählten Optionen verschieden gewichtet und ermöglichen so die Einordnung in eine Skala. Der Nachteil dieser Methode ist jedoch, dass man zur Einbringung der Artefakte zunächst das Messsystem in die bestehenden Systeme integrieren muss
Klassifikation von Angriffen
Um gerade im Bereich des Social-Engineering eine einfach realisierbare Messmethode zu erhalten, haben die Autoren einen neuen Ansatz entwickelt, der Penetrationstests reproduzierbar und vergleichbar macht und ohne den Aufwand einer Softwareintegration auskommt. Dazu klassifiziert man Social-Engineering-Angriffe in Kategorien, welche die gesamte Bandbreite von Massen- über Spear-Phishing bis hin zu mehrstufigen Angriffsszenarien abbilden.
Eine solche Kategorie definiert sich danach, wie viel Zeit ein Angreifer zur Vorbereitung und Durchführung einer vergleichbaren Attacke investieren muss. Diese Zeit umfasst die Informationsbeschaffung, die technische Vorbereitung wie das Kopieren des Designs von Login-Portalen (Clone-Phishing), das Erstellen von Malware oder/und das Registrieren von individuellen Fakedomains. Hinzu kommt außerdem ein „Gemeinaufwand“ von weiteren 30 % für die Ideenausarbeitung und Infrastruktur.
Der Angreifende wird dabei als professionalisierter Cyberkrimineller eingeordnet, um die tatsächliche Gefahrenlage für Unternehmen oder Organisationen möglichst realitätsnah abzubilden. Die Autoren haben fünf Kategorien entwickelt, die jeweils einer Vorbereitungszeit von 1, 4, 10, 20 und 40+ Stunden entsprechen (siehe Tab. 1).
Employee-Security-Index
Um nun die Awareness einer Testgruppe zu messen, wird jeder teilnehmende Mitarbeiter zum Ziel zufällig ausgewählter Angriffsszenarien verschiedener Kategorien und über die Testgruppe hinweg die Erfolgsrate für alle Kategorien gemessen. Dabei sind sowohl einmalige Messzeiträume als auch eine kontinuierliche Kontrolle der Awareness möglich: Die Autoren sehen eine Frequenz von 2 – 3 Angriffen pro Monat als empfehlenswert an, um aktuelle und realitätsnahe Ergebnisse zu erzielen und gleichzeitig den Gewöhnungseffekt minimal zu halten.
Zur vergleichenden Einstufung wird zudem eine fiktive „sichere“ Gruppe definiert: Unter der Annahme, dass perfektes menschliches Verhalten in einer realen Testgruppe nicht erreichbar ist, evaluiert man pro Kategorie (also pro Klasse der aufgewendeten Vorbereitungszeit) die Schnittstelle zwischen absoluter Sicherheit und Realisierbarkeit. Die „sichere“ Gruppe definiert sich dabei durch ein Verhalten gegenüber Cyberangriffen, das als tolerierbar angesehen wird.
Die Kennzahl „Employee-Security-Index“ (ESI) beschreibt dann das IT-Sicherheitsverhalten einer Testgruppe im Vergleich mit der „sicheren Gruppe“: Erreicht die „sichere“ Gruppe auf einer dimensionslosen Skala von 0 bis 100 den Wert 90, so liegt eine Gruppe, die doppelt (bzw. dreifach) so oft ein risikobehaftetes Verhalten zeigt, bei 80 (bzw. 70). Werte unter 70 gelten daher als kritisch, Werte zwischen 70 und 80 als akzeptabel, zwischen 80 und 90 als gut, und höhere Werte werden als vorbildlich eingestuft (vgl. Abb. 1).
Anwendungsbeispiel: Phishing
Mithilfe der vorgestellten Methode hat IT-Seal die Awareness gegenüber Social Engineering-Angriffen in deutschen und internationalen Unternehmen verschiedener Branchen untersucht. Dabei wurden Phishing-Angriffe der Kategorien 1–3 simuliert – also Attacken mit einer Vorbereitungszeit zwischen einer und zehn Stunden. Wenn in diesem Untersuchungsumfeld von Klickraten die Rede ist, meint ein „Klick“ das Öffnen risikobehafteter Inhalte, etwa eines Links oder eines Dateianhangs.
Konkrete Beispiele für Kategorie 1 sind etwa eine Sicherheitswarnung von Amazon, die den Empfänger dazu auffordert, sein Passwort zu ändern. In Kategorie 2 fällt zum Beispiel die E-Mail eines zufälligen Kollegen, der einen Link zu einem „lustigen GIF“ sendet – und für Kategorie 3 könnte eine vorgeblich vom Abteilungsleiter stammende E-Mail über einen spannenden Workshop informieren und auf angehängte Präsentationsfolien verweisen.
Insgesamt hat IT-Seal im Zuge solcher Untersuchungen bereits rund 30 000 E-Mails an etwa 5500 Mitarbeiter aus 32 Unternehmen unterschiedlicher Branchen versendet. Teilweise fand die Messung in Kombination mit einem Awareness-Training der Mitarbeiter statt, wobei jedem Klick die Weiterleitung auf eine interaktive Erklärseite folgte. Dort wurde dann erläutert, wie der Empfänger die E-Mail hätte enttarnen können. Dieses Vorgehen ermöglichte zudem einen Vergleich trainierter und untrainierter Mitarbeiter
Basierend auf den besten Ergebnissen trainierter Unternehmen sowie einer Risikoabschätzung aktueller Cyberangriffe und ihrer Vorbereitungszeit wurden die jeweiligen Toleranzwerte für die Kategorien 1–3 im Segment zwischen 1,5 % und 6,5 % festgelegt. Eine Mitarbeitergruppe, in der diese Klickraten gemessen werden, erreicht also einen ESI von 90. Der gemessene Mittelwert untrainierter Unternehmen resultierte unter diesen Bedingungen in einem ESI von 42,8.
Abteilungsvergleich
Abbildung 2 zeigt eine Auswahl von Daten, die bei AwarenessMessungen mit gleichzeitigem Training durch eine interaktive Erklärseite erhoben wurden. Die Grafik liefert damit einen unternehmensübergreifenden Vergleich von Abteilungen beziehungsweise Positionen auf der Basis der oben genannten Gesamtuntersuchung.
Die rote Linie stellt die Entwicklung des ESI basierend auf allen 30 000 simulierten Phishing-E-Mails dar. Auffällig ist, dass die Gruppe der „Führungskräfte“ (Unternehmens- und Abteilungsleiter, im Bild dunkelblau) nach einem schwachen Start die größte Verbesserung erreicht. Mitarbeitergruppen, die häufig in Kontakt zu Externen stehen („HR, Vertrieb, Marketing“, grün), zeigten fast durchweg das riskanteste Sicherheitsverhalten (geringer ESI). Durch ein sechsmonatiges Training konnten jedoch auch diese „Problemgruppen“ die Abweichung zum Mittelwert aller Mitarbeiter aufholen: Sowohl „HR, Vertrieb, Marketing“ als auch der Durchschnitt aller Mitarbeiter lagen in den Tests von IT-Seal nach sechs Monaten im akzeptablen bis guten Bereich.
Mitarbeiter aus den Bereichen Rechnungswesen, Buchhaltung und Controlling („Finanzen“, hellblau) zeichneten sich insgesamt durch eine überdurchschnittlich hohe Awareness aus. Dies kann mit besonderen Richtlinien oder Schulungen in diesen potenziell gefährdeten Abteilungen (Stichwort „CEO-Fraud“) zusammenhängen. Auszubildende und Praktikanten („Auszubildende“, violett) erzielten hingegen schon im ersten Monat einen ESI von 70: Eine mögliche Erklärung hierfür könnte sein, dass Mitarbeiter jüngerer Generationen ein größeres Wissen im Bereich der IT im Allgemeinen und der ITSicherheit im Speziellen besitzen, das es ihnen erleichtert, um gefährliche Inhalte herum zu navigieren.
Grenzen und Ausblick
Der Employee-Security-Index stellt eine realitätsnahe und reproduzierbare Methode zur Awareness-Messung dar und lässt sich mit überschaubarem Aufwand umsetzen. Mitarbeitergruppen können standardisiert miteinander verglichen und der gezielte Einsatz von weiteren Schulungsmaßnahmen abgeleitet werden.
Um aussagekräftige Ergebnisse zu erhalten, sollte man jedoch eine Signifikanzberechnung durchführen: Im Rahmen der hier vorgestellten Messreihen wurde beispielsweise eine Mindestzahl von 85 E-Mails pro Mitarbeitergruppe pro Monat gewählt, sodass der Einfluss einer einzelnen Phishing-E-Mail auf den erreichten ESI maximal 3 beträgt. Dies resultiert in einer Mindestgruppengröße von 30 Personen, was dem Mitarbeiterschutz zuträgt – denn Ergebnisse sollten nicht auf Einzelpersonen zurückführbar sein.
Die Bereitstellung der für das Messverfahren benötigten Phishing-Szenarien hat im Anwendungsbeispiel ein „intelligentes“ System übernommen, das auf der Basis frei zur Verfügung stehender Informationen automatisiert Phishing-E-Mails verschiedenen Inhalts generierte – so ließen sich mit geringem Aufwand auch Spear-Phishing-Angriffe simulieren. Eine ausreichend große Auswahl an Szenarien sollte dabei gewährleisten, dass Ergebnisse nicht durch den Austausch zwischen Mitarbeitern über den „Flurfunk“ verfälscht werden.
Außerdem sollte man die simulierten Angriffsszenarien regelmäßig an die aktuell von Kriminellen verwendeten Methoden anpassen. Auch branchenspezifische Angriffe sind möglich und sinnvoll, falls sich in der Realität die Häufung eines bestimmten Betrugsmusters zeigt. Dies hilft dann, die Verwundbarkeit gegen aktuelle Cyberbedrohungen möglichst realistisch abzubilden.
Das bisherige Konzept der Autoren umfasst allerdings lediglich die Messung des Mitarbeiterverhaltens gegenüber Phishing-Angriffen und behandelt das Thema Social-Engineering-Awareness somit nicht vollumfänglich. Eine Erweiterung auf andere Angriffsvektoren wie beispielsweise Vishing oder mehrstufige Angriffsszenarien böte die Möglichkeit einer umfassenden Analyse. Um neben dem Mitarbeiterverhalten auch die Motivation hinter dem gezeigten Handeln zu messen, sollten in die Auswertung einer solchen Analyse zudem auch Ergebnisse einer Mitarbeiterumfrage einfließen.
Unternehmenskultur
Bei jeder Awareness-Maßnahme ist es essenziell, den Mitarbeiter mit ins Boot zu holen. Im Kampf gegen die „Security-Fatigue“ (vgl. [4,5]) sollte das Thema IT-Sicherheitsbewusstsein aktiver und attraktiver Bestandteil jeder Unternehmenskultur sein!
Gerade Phishing-Simulationen bringen jedoch leicht ein unangenehmes Gefühl der Kontrolle mit sich: Deshalb sollte man vor der Durchführung solcher Maßnahmen die Mitarbeiter über die Awareness-Messungen in Kenntnis setzen und über die zu ihrem persönlichen Schutz unternommenen Anstrengungen informieren (etwa bzgl. Datenschutzvorkehrungen und rein gruppenbasierter Auswertung). So schafft das Unternehmen eine sichere Umgebung, in der Mitarbeiter eher gewillt sind, sich auf die Thematik einzulassen. Eine Einbeziehung des Betriebsrats ist darüber hinaus schon vor Projektbeginn empfehlenswert.
Der vorgestellte Employee-Security-Index ist zudem eine greifbare und praxisnahe Kennzahl, die nicht nur die Kommunikation mit der Geschäftsleitung, sondern auch mit der Belegschaft erleichtern kann: Ein regelmäßiges Update über erzielte Ergebnisse, beispielsweise über den Unternehmensnewsletter, oder auch eine Weiterentwicklung des Messkonzepts in Richtung Gamification sind denkbar.
Das regelmäßige Durchführen von Awareness-Messungen macht die Themen Social-Engineering und IT-Sicherheit zum festen Teil der Unternehmenskultur und steigert bei jedem einzelnen Mitarbeiter das Bewusstsein dafür, welche Verantwortung er als Anwender trägt.
Anjuli Franz (anjuli.franz@it-seal.de) ist IT-Security Consultant, David Kelm (david.kelm@it-seal.de) ist Geschäftsführer der IT-Seal GmbH.
Literatur
[1] H. A. Kruger, W. D. Kearney, A prototype for assessing information security awareness, Computers & Security Vol. 25 No. 4, Juni 2006, S. 289, erhältlich via www.sciencedirect.com/science/article/pii/S0167404806000563
[2] Burcu Bulgurcu, Hasan Cavusoglu, Izak Benbasat, Information Security Compliance: An empirical study of rationality-based beliefs and information security awareness, MIS Quarterly Vol. 34 No. 3, September 2010, S. 523, online verfügbar via https://pdfs.semanticscholar.org/4ac1/e50d51647961cdf022dde4618bb68eea71bb.pdf
[3] Arnold Sykosch, IT-Security Awareness Penetration Testing – ITS.APT, Portalseite, 2015–2018, https://itsec.cs.uni-bonn.de/itsapt/
[4] David Kelm, Security-Fatigue I, Wenn Anwender es müde sind, sich um Sicherheit zu bemühen – und was man dagegen tun kann, 2017# 4, S. 54
[5] Ralph Dombach, Security-Fatigue II, Auch in der Security selbst gibt es Ermüdungserscheinungen, 2017# 4, S. 58