Cyber Security – sind wir vielleicht einfach nur zu compliant?

Was machen wir für die Cyber Security, um den Schutz wirklich zu verbessern – und was unternehmen wir nur, um nicht wegen Fahrlässigkeit belangt zu werden? Dr. Peter Heinrich, Leiter der Fachstelle für Prozessmanagement und Informationssicherheit geht diesem Gedankengang nach – mit der Vermutung, dass wir wahrscheinlich viele Entscheidungen aus falscher Motivation heraus treffen.

Um das sicherheitsbezogene Verhalten (z. B. Cyber-Security) von Personen zu untersuchen, werden oft Theorien aus der Psychologie herangezogen. Zum Beispiel die Protection-Motivation-Theorie oder kurz PMT (Rogers, 1983), die davon ausgeht, dass wir Bedrohungen wahrnehmen, deren Ausmass wir mit dem Aufwand für die Bedrohungsabwehr abwägen, um schliesslich zu handeln – oder eben nicht. Klingt logisch, aber funktionieren solche rationalen Modelle wirklich in Bezug auf Cyber-Security in Unternehmen? Vielleicht haben wir dort gar keine Angst vor den direkten Folgen eines Systemeinbruchs, einer Infektion mit Ransomware oder vor sonstigen Konsequenzen schlecht gesicherter Kanäle. Vielleicht haben alle einfach nur Angst vor den Vorwürfen und Anschuldigungen im Falle, dass etwas passiert. Wenn das so wäre, wäre das absolut fatal – denn es würde schlicht zu falschen Entscheidungen führen.

Häufiger Passwortwechsel dient nur gutem Gewissen

Ein gutes Beispiel finden wir in fast jedem Unternehmen. Bestimmt müssen auch bei Ihnen die Mitarbeitenden regelmässig ihre Passwörter wechseln. Warum eigentlich? «Falls Ihr Passwort mal jemand fremden in die Hände fällt …» – absoluter Unfug. Dieser Jemand hätte bis zur nächsten Passwortänderung problemlos Zeit, Ihren Account nach Herzenslust zu nutzen. Entweder, um sich weitere Zugänge zu verschaffen oder um direkt schlimmes Unheil zu stiften. Klar, geleakte Accounts sind nicht mehr lange aktiv. Aber wollten wir uns wirklich davor schützen? Ich behaupte, wir wollen bloss mit gutem Gewissen den Haken auf der Checkliste setzen, der belegt, dass wir ordentliche Passwortrichtlinien haben.

Mit der regelmässigen Passwortänderung ist es aber noch nicht getan. Natürlich müssen die Buchstabenkonstellationen immer komplexer werden. Verwendung von Gross-/Kleinschreibung, Sonderzeichen, Zahlen, mindestens 12 Zeichen … wer kann sich das noch merken? Trotzdem darf man diese Richtlinien schon fast nicht mehr in Frage stellen, wenn man nicht komplett inkompetent wirken will – ist doch klar, dass die Passwörter somit nicht so leicht zu erraten sind und einem Brute-Force-Angriff leichter standhalten können. (Bei so einem Angriff werden automatisch und innert kurzer Zeit unzählige Passwortkombinationen ausprobiert). Wäre es aber nicht viel sinnvoller, das wahllose Ausprobieren von Passwörtern an den Systemen technisch möglichst zu unterbinden und/oder auf Zweifaktorauthentifikation umzusteigen, als die User solange mit diesen Richtlinien zu quälen, bis sie die Passwörter frustriert auf einen Post-It schreiben und an den Bildschirm kleben?

Anti-Viren-Programme werden oft überschätzt

Kommen wir zu meinem Lieblingsbeispiel für überschätzte Tools in der Cyber Security: die Anti-Viren-Software. Auch hier meinen Sie wahrscheinlich fahrlässig zu handeln, wenn Sie einen Computer ohne teuren Virenschutz an ihr Firmennetzwerk anschliessen würden. Interessanterweise sehen das Security-Experten ganz anders (Ion, Reeder, & Consolvo, 2015): Auf der Liste mit den wichtigsten Massnahmen stehen regelmässige Systemupdates ganz oben, gefolgt von der Verwendung einzigartiger Passwörter (was heisst, dass dasselbe Passwort nicht für verschiedene Accounts genutzt wird). AV-Softwares hingegen sucht man in den Top-Massnahmen vergebens. Trotzdem wird geradezu frenetisch AV-Software gefordert und installiert. Gleichzeitig ist es aber völlig okay, wenn unternehmensweit dasselbe Passwort für WLAN, E-Mail und sensitive Datenablagen verwendet wird, welches auf allen Geräten intern und extern immer und immer wieder eingegeben wird. Macht aber nichts – es ist ja jeweils nur ein halbes Jahr lang gültig und beinhaltet mindestens drei Sonderzeichen!

Die Realität sieht tatsächlich so aus, dass viele (wenn nicht sogar die meisten) der aktuellen Angriffe mit Ransomware nicht deshalb so erfolgreich waren, weil keine Anti-Viren-Programme installiert gewesen wären, sondern weil monatelang bekannte Sicherheitslücken nicht geschlossen wurden. Schuld am Angriff ist man natürlich nicht (auch die Stellen nicht, die die längst verfügbaren Updates hätten einspielen müssen). Denn man hatte ja das beste AV-Produkt installiert und überhaupt: Man wurde gerade angegriffen! Cyber-Terror! Nun stellen Sie sich die gleiche Situation vor, mit dem Unterschied, dass bewusst auf einen Virenscanner verzichtet wurde …

Managementorientierte Weiterbildung mit technischem Tiefgang

Diese Angst- und Vorwurfshaltung muss sich zugunsten von rationalen und informierten Entscheidungen ändern. Wir müssen umdenken, wegkommen von nutzlosen Policies und eklektisch wirkenden Massnahmen. Jede Massnahme sollten wir hinterfragen: Warum tun wir das, gegen wen oder was wollen wir uns damit schützen und wie gross ist der erwartete Nutzen abzüglich der negativen Folgen der Massnahme wirklich. Das verlangt ein tiefes Sachverständnis der Materie, sowohl aus technischer als auch aus organisatorischer Sicht. Wir müssen uns endlich mit dem Thema beschäftigen und nicht bloss die Verantwortung um jeden Preis vermeiden. Wenn Sie selber etwas verändern möchten, empfehle ich Ihnen unseren CAS Cyber Security. Dort werden wir uns exzessiv mit den Grundlagen und Details von Netzwerken, Schwachstellen, Schutzsysteme sowie mit organisatorischen Herausforderungen beschäftigen. Das Motto ist klar: Managementorientiert, mit technischem Tiefgang – so dass Sie in Zukunft mehr als nur compliant sind.

Literatur

Ion, I., Reeder, R., & Consolvo, S. (2015). “… No one Can Hack My Mind”: Comparing Expert and Non-Expert Security Practices. SOUPS, 327–346.

Rogers, R. W. (1983). Cognitive and physiological processes in fear appeals and attitude change: A revised theory of protection motivation (J. Cacioppo & R. Petty, eds.).

Ein Beitrag von Peter Heinrich.


2 Kommentare


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert