«Den Menschen immer nur als Sicherheitsrisiko zu sehen, ist der falsche Ansatz»
Die Anzahl der Cyberangriffe steigt. Um sich vor dieser Gefahr zu schützen, müssen Unternehmen aller Branchen und Grössen auf mehreren Ebenen aktiv werden. Wie das gelingt, fragte «Fokus» bei einem Experten nach.
Herr Bachmann, die Temet AG ist spezialisiert auf Security Consulting. Worum handelt es sich dabei?
Im Kern geht es darum, unser Fachwissen im Bereich Cybersecurity in Form von massgeschneiderten Beratungsleistungen für unsere Kundschaft einzubringen. Das ist deshalb so wichtig, da wir nicht an das Giesskannenprinzip glauben. Unsere Strategie basiert vielmehr darauf, risikoorientiert zu agieren. Nehmen Sie zum Beispiel die Sensibilisierung von Mitarbeitenden: Durch gezielte und spezifische Sensibilisierungskampagnen gilt es, diese über Cyberrisiken in ihrer Arbeit aufzuklären. Phishing-Kampagnen helfen anschliessend zu überprüfen, ob die Mitarbeitenden die Inhalte unserer Schulungen wirklich verstanden haben – und ob eine angemessene Reaktion erfolgt.
Wie messen Sie den Erfolg solcher Kampagnen?
Ein meistgenutzter Indikator ist die Klickrate, welche die Phishing-E-Mails erzielen. Wir müssen uns allerdings bewusst sein, dass es utopisch ist, eine Klickrate von null Prozent anzustreben. Viele Faktoren wie die individuelle Tagesform einer Person oder der Zeitpunkt können die Wahrscheinlichkeit eines Klicks beeinflussen. Wer zum Beispiel auf LinkedIn über die anstehenden Tauchferien in der Türkei postet, läuft Gefahr, dass sie oder er eine Phishing-Mail anklickt, die auf diesen Urlaub Bezug nimmt. Und ja: Die heutigen Systeme der Cyberangreifer sind in der Lage, Informationen von Social Media direkt in ihre Phishing-Mails einfliessen zu lassen. Unser Ziel lautet daher, nicht nur die Klickrate zu reduzieren, sondern die Mitarbeiter so zu sensibilisieren, dass sie optimal auf verdächtige E-Mails reagieren.
Wie sieht demnach die optimale Reaktion auf den Erhalt einer Phishing-Mail aus?
Der essenzielle Faktor ist Geschwindigkeit. Ideal wäre es, wenn wir von Temet eine Kampagne über Nacht ausspielen und der erste Mitarbeiter unseres Kundenunternehmens, der am Morgen unsere Phishing-Mail erhält, diese direkt meldet. Wenn dann das Security Operations Center (SOC) zeitnah reagiert und Gegenmassnahmen einleiten kann, haben wir ein effektives System geschaffen. Diese Kultur des Sicherheitsverständnisses streben wir in unserer Beratung an.
Welche weiteren Faktoren sind dafür nebst Geschwindigkeit wesentlich?
Awareness allein reicht nicht. Eine Firma benötigt überdies solide Prozesse sowie einen angemessenen Grundschutz auf allen Endgeräten. Und falls doch einmal eine schädliche Software durchkommt, sollten Sicherungsmassnahmen wie Endpoint Isolation greifen. Zudem muss die richtige Kultur etabliert werden, um eine Atmosphäre der Angst zu vermeiden.
Eine Atmosphäre der Angst?
Genau. Oft wird der Mensch als schwächstes Glied im Sicherheitsprozess bezeichnet. Doch diese Sicht ist der falsche Ansatz, denn sie verhindert, dass eine Gefährdungssituation gemeldet wird, weil man sich vor den Konsequenzen fürchtet. Dabei muss man relativieren: Wenn durch einen einzigen Fehlklick ein ganzer Betrieb lahmgelegt wird, hat nicht die Einzelperson versagt, sondern das ganze System. Der Mensch wird somit zum wichtigsten Sensor, wenn die Technik bereits versagt hat.
Wie hat sich das Phishing im Laufe der Zeit weiterentwickelt?
Leider werden Phishing-Attacken immer ausgefeilter. Besonders perfide: Es gibt heute sogar Angriffe, bei denen die Mails absichtlich in schlechtem Deutsch verfasst sind, um weniger versierte Opfer zu erwischen. Denn wer gutgläubig auf eine derartige Nachricht reagiert, folgt mit höherer Wahrscheinlichkeit auch der Aufforderung, ein Passwort weiterzugeben. Gleichzeitig ermöglicht der Einsatz von KI wie ChatGPT die Erstellung von äusserst überzeugenden Phishing-E-Mails.
Das klingt nach einer ständigen Bedrohung. Wie können Unternehmen reagieren?
Jede Organisation muss eine Kultur fördern, die von Sicherheitsbewusstsein geprägt ist, robuste Sicherheitsprozesse implementiert und für einen soliden technischen Schutz sorgt. Das ist ein fortlaufender Prozess, der Anpassungsfähigkeit und Engagement erfordert. Wir von der Temet AG unterstützen Unternehmen dabei, eine solche Kultur im Betrieb zu verankern. Zudem stehen wir als Sparringpartner zur Verfügung und überprüfen getroffene Massnahmen auf ihre Wirkung – und ihre Nachhaltigkeit. Zu diesem Zweck beraten wir auch hinsichtlich des «Supply Chain Risk Managements».
Worum handelt es sich dabei?
Lieferanten und Dienstleister haben einen wesentlichen Einfluss auf die Sicherheit eines Unternehmens, denn keine Firma agiert isoliert. Daher muss man sich mit der Frage auseinandersetzen, wie man die Sicherheit in der eigenen Lieferkette gewährleisten kann. In verschiedenen Projekten durften wir unsere Kundschaft in den letzten Jahren in diesem Bereich unterstützen. Dabei gibt es verschiedene, individuelle Risikoszenarien, die berücksichtigt werden müssen. Verarbeitet ein Dienstleister Daten, können diese bei ihm gestohlen werden. Liefert der Anbieter Software, kann diese manipuliert sein.
Und wie kann man solche Supply-Chain-Risks adressieren?
Ein gutes «Supply Chain Risk Management» beginnt bei der Inventarisierung der Lieferanten als erster Schritt zu einem umfassenden Lieferantenmanagement. Anschliessend benötigt man eine Methodik, um kritische Lieferanten unabhängig des Auftragsvolumens zu identifizieren. Jedes Beschaffungsprojekt wird in der Folge auf diese Weise bewertet. Wenn ich meine kritischen Lieferanten identifiziert habe, muss ich meine Erwartungen an sie kommunizieren. Es reicht nicht, anzunehmen, dass der Lieferant sich angemessen um die Sicherheit seiner Produkte und Dienstleistungen kümmern wird. Sicherheit muss daher in Ausschreibungen und Verträgen explizit und konkret eingefordert werden. Natürlich unterstützen wir Firmen auch in diesem wichtigen Handlungsfeld.
Weitere Informationen unter www.temet.ch
Schreibe einen Kommentar