Die «Human Firewall» der Cybersecurity
Firewalls, Antivirenprogramme und andere technische Systeme sind wichtige Bestandteile der IT-Sicherheit. Doch der Mensch bleibt ein Risikofaktor. Denn Kriminelle versuchen immer häufiger menschliche Eigenschaften wie Neugier, Hilfsbereitschaft, Gier oder Autoritätsgläubigkeit auszunutzen – mit gravierenden Folgen. «Security Awareness», die gezielte und systematische Sensibilisierung der Mitarbeitenden für Themen der Cybersecurity, hat in den letzten Jahren an Bedeutung gewonnen.
Philipp Rütsche, Chief Information Security Officer der St.Galler Kantonalbank, ist für die Informationssicherheit der St.Galler Kantonalbank verantwortlich. Für ihn ist der Mensch der wesentliche Faktor, der über Erfolg oder Misserfolg eines Cyberangriffs entscheidet. Gerade auch, weil Social Engineering Methoden bei Cyberangriffen an Häufigkeit zugenommen haben. Beim Social Engineering liegt der Fokus auf der Täuschung über die Identität und die Absicht des Täters. So würden beispielsweise Mitarbeitende per Telefon über eine angebliche Paketlieferung informiert und gebeten den coronabedingt per E-Mail geschickten Lieferschein zu öffnen, um die Lieferung zu bestätigen, damit das Paket verzögerungsfrei ausgeliefert werden könne. Mit dem Doppelklick auf den Anhang werde dann jedoch die Schadsoftware installiert. «Oder ein angeblicher Bankmitarbeiter ruft an und erklärt, es gäbe Probleme mit dem E-Banking, die man gemeinsam per Fernzugriff beheben müsse. Am Ende erfasst der Betrüger im E-Banking des Opfers Zahlungen zu seinen Gunsten», so Rütsche. Die Liste der Betrügereien liesse sich beliebig weiterführen.
Unabdingbar: Security Awareness
Vielen Mitarbeitenden ist gar nicht bewusst, dass ausgespähte und von Dritten missbräuchlich genutzte Firmendaten ein Unternehmen an den Rand des Ruins treiben können. Die IT-Sicherheit in Unternehmen ist aber nur gewährleistet, wenn alle Mitarbeitende die verschiedenen Risiken kennen und regelmässig bezüglich Informationssicherheit geschult werden – man spricht in diesem Zusammenhang von «Security-Awareness». Auch Philipp Rütsche betont, wie wichtig die Sensibilisierung der Mitarbeitenden ist: «Durch unsachgemässe Handhabung von Geräten und Daten können Mitarbeitende auch Sicherheitssysteme aushebeln. Die ständige Sensibilisierung in Bezug auf Risiken und Bedrohungen sowie die notwendigen Schulungen sind enorm wichtig.»
Die SGKB nutzt für die Sensibilisierung ein elektronisches Ausbildungssystem, das Intranet und ein spezielles Tool für Phishing-Kampagnen. Beim Stelleneintritt wird ein Basis-Ausbildungsprogramm absolviert. Über das Jahr verteilt folgen dann regelmässig News zu aktuellen Cyberthemen oder wie letztes Jahr zum Thema Homeoffice. Phishing-Simulationen geben den Mitarbeitenden zudem Gelegenheit, realitätsnahe Phishing-Angriffe zu erkennen und zu melden.
Experten plädieren dafür, auf möglichst praxisnahe Awareness-Massnahmen zu setzen und die sogenannte «Human Firewall» zu aktivieren. Es gibt auch Unternehmen, die Mitarbeitende belohnen, wenn diese (potenzielle) Angriffe oder Sicherheitsprobleme an die IT-Abteilung weiterleiten. In einer Studie von Lucy Security kommt Palo Stacho, Head of Operations, zum Schluss: «Cybersecurity Awareness beeinflusst jedoch nicht nur die Anzahl von Sicherheitsvorfällen und die Ausbildung der Mitarbeiter positiv. Die Schulungen und die gestärkte Aufmerksamkeit auf IT-Sicherheit verbessert auch die Unternehmenskultur.»
Interview mit Cemailj Bajramoski, IT-Verantwortlicher Noventa AG
Der Industriedienstleister Noventa AG mit Hauptsitz in Diepoldsau entwickelt und produziert erfolgreiche Produkte für ihre Kunden – von der Idee bis zur Serien- und Marktreife. Dadurch können sich die Kunden auf ihre Kernkompetenzen konzentrieren, gewinnen wertvolle Wettbewerbsvorteile und reduzieren ihre Time-to-Market. Das Rheintaler Unternehmen legt grossen Wert auf sichere IT-Systeme und kümmert sich ebenfalls um die Awareness. Wir haben uns mit dem IT-Verantwortlichen der Noventa AG, Cemailj Bajramoski, über das Thema unterhalten.
Welchen Stellenwert hat die Sensibilisierung der Mitarbeitenden für Cybersecurity-Themen bei der Noventa?
Die Sensibilisierung der Mitarbeitenden im Zusammenhang mit Cybersecurity und Datensicherheit hat bei Noventa einen hohen Stellenwert. Es ist wichtig, dass sie immer wieder mit dem Thema Cybersecurity sowie den Bedrohungen unserer Systeme und Daten konfrontiert werden. Unsere IT-Abteilung versucht, regelmässig über aktuelle und potenzielle Bedrohungen zu informieren und damit das Thema immer wieder in den Fokus zu bringen.
Wie und mit welchen Hilfsmitteln gehen Sie vor, um die Awareness für diese Themen zu verbessern?
Generell haben wir zuerst versucht, unsere Systeme mit technischen Möglichkeiten so sicher wie möglich zu machen. Zu Beginn lief dies über das Thema Passwörter, sprich Regeln zur Art der Passwörter sowie zum regelmässigen Ändern dieser Passwörter. Nun setzen wir seit längerem zusätzlich beim externen Zugriff auf unsere Systeme auf eine 2-Faktor Authentifizierung. Dies bringt zusätzliche Sicherheit. Unsere Mitarbeitenden waren bei der Einführung dieser Lösung über den etwas weniger komfortablen Zugang nicht begeistert, aber mittlerweile ist das kein Thema mehr. Die Diskussion hat uns aber eine gute Plattform gegeben, erneut das Thema Cybersecurity in den Vordergrund zu stellen.
Wie informieren Sie Ihre Mitarbeitenden über diese Themen?
Für die regelmässige Kommunikation sowie die Bereitstellung von Informationen nutzen wir neben dem monatlichen Noventa-Newsletter ca. seit einem Jahr auch einen IT-Kanal via Microsoft Teams.
Einmal im Jahr führen wir ein IT-Sicherheitsaudit durch. Diese Risiko- und Schwachstellenanalyse hilft uns, interne Probleme in der IT-Abteilung zu identifizieren. Da in diesem Zusammenhang auch viele User mit einbezogen werden, kann damit auch wieder ein Zeichen in Bezug auf die Wichtigkeit des Themas gesetzt werden.
Weiter haben wir uns für 2021 vorgenommen, ein externes Sicherheitsaudit durchzuführen. Wir sind schon jetzt darauf gespannt, welche neuen Erkenntnisse wir gewinnen werden.
Mit der Pandemie ist das Homeoffice stark in den Fokus gerückt. Was bedeutet die Homeoffice-Arbeit in Bezug auf Cybersecurity?
Schon vor der Pandemie war Noventa zum Glück in der komfortablen Situation, dass wir die für uns notwendigen Systeme für das Arbeit im Homeoffice sowie für Teleworking generell bereits implementiert hatten. Die Pandemie hat das Thema aber schlagartig in den Fokus gerückt. Wir konnten innerhalb kürzester Zeit die User mit den notwendigen Softwaretools ausrüsten. Wichtig war aber, dass wir auch die notwendigen Schulungen durchführen konnten. Das Thema Cybersecurity war ein Teil davon.
Wie ist das Feedback der Mitarbeitenden?
Generell haben wir bisher sehr positive Feedbacks in Bezug auf unsere IT-Lösungen für den Homeoffice-Betrieb bekommen. Für unsere Mitarbeitenden ist es wichtig, dass sie von zu Hause bzw. von ausserhalb ihres Noventa-Arbeitsplatzes aus effizient arbeiten können. Notwendige Einschränkungen und etwas mehr Aufwand beim Einloggen sind gut akzeptiert.
Wie werden die Learnings getestet?
In der Vergangenheit haben wir weder unsere Systeme noch das Verhalten unserer Mitarbeitenden regelmässig auf Bedrohungen getestet. Dies wollen wir verbessern, da wir der Meinung sind, dass die Bedrohungen, denen sich unsere IT ausgesetzt sind, in Zukunft noch zunehmen werden. Wie bereits angesprochen, sind wir aktuell in der Vorbereitung eines Security Audits mit einem externen Spezialisten, um neue Erkenntnisse zu gewinnen.