2011-10: Aus der Schublade in die Köpfe
Um mehr Arbeit zu schaffen, nehmen Mitarbeiter Dateien auf USB-Stick mit nach Hause oder schicken sie sich per E-mail. Um schnell und unkompliziert mit Kollegen zu kommunizieren, nutzen sie im Unternehmen Skype. Auf Facebook erzählen sie begeistert von "ihrer Firma". Sie nutzen nach Lust und Laune ihre LieblingsApps, um ihr Arbeitsumfeld bequemer oder auch spannender zu gestalten. Für jeden Security-Experten ein grauenvolles Szenario, denn alle diese Aktionen bieten wunderbare Ansätze für Social Engineering-Attacken.
Wie sehr der Mensch im Mittelpunkt unserer Security-Bemühungen stehen muss, zeigt die neue Studie "The Risk of Social Engineering on Information Security" von Dimensional Resarch: 64 Prozent der in Deutschland befragten Unternehmen wurden bereits Opfer so genannter Social Engineering-Attacken. 46 Prozent waren in den vergangenen beiden Jahren von 25 oder mehr solcher Angriffe betroffen mit Folgekosten pro Vorfall von über 25.000 Dollar sowie Daten- und Reputationsverlust.
Eigentlich ist alles in der Security-Policy geregelt ...
Für Datenschutzbeauftragte, Chief Information Security Officer und IT-Aministratoren ist das nichts Neues. Sie haben alle Szenarios auch in ihren Policies akribisch abgebildet und Vorsorge getroffen, doch die Realität zeigt: Gerade engagierte Kollegen, finden Wege, die technischen Maßnahmen zu umgehen oder sie ignorieren sie ganz einfach. „Kann Du mir das schnell auf deinen Stick kopieren, ich darf das ja nicht.“ Geht die Mail mit dem 10-MB-Anhang nicht raus, wird sie eben über den Privat-Account verschickt.
Die Herausforderung ist also: Wie kriegt man die Vorschriften, Regeln und Prozesse aus der Schublade des CISO in die Köpfe der Mitarbeiter?
Einen pfiffigen und durchaus vielversprechenden Ansatz haben Unternehmen wie Checkpoint oder die deutsche itWatch vorgestellt. Aktionen (wie Zugriffe auf Applikationen, aber auch Kopieren von Daten auf USB etc.) sind ab sofort nicht einfach erlaubt oder verboten. Ein rechtebasiertes Dialogsystem weist darauf hin, wenn der Mitarbeiter etwas tun will, das er nicht darf oder soll. Wenn er beispielsweise ein Dokument, das als "vertraulich" markiert ist, an einen Adressaten außerhalb der Firma senden will, erscheint ein Hinweis: "Du schickst grade ein vertrauliches Dokument nach draußen. Bist du sicher, dass du das tun willst?". Es läßt sich auch regeln, dass der Mitarbeiter nicht nur „Ja, ich will“ anklicken darf, sondern eine kurze Begründung eingeben muss.
Wertet man das Logging dieser Aktionen aus, ergeben sich überdies wichtige Erkenntnisse über das Verhalten einzelner Mitarbeiter: Wer also ständig mit den gleichen Ausnahmen und Regelverstößen auffällt, den kann der Securtiy-Beauftragte nochmals gezielt darauf ansprechen und auf die Risiken hinweisen. Wie immer bei solchen Auswertungen ist dafür die Zustimmung des Betriebsrates nötig.
Dialog mit dem Mitarbeiter
Damit können Mitarbeiter künftig aktiver in die Security-Prozesse eingebunden werden. Sie können Situationen, die gefährlich sein können, erkennen, einschätzen und selbst und sofort vermeiden. Der Weg führt also weg von strikten Verboten, die sie nicht einsehen können, weg von der Ansammlung an Technologien, die die Kollegen nicht verstehen, hin zu Prozessen, die nachvollziehbar sind. Im besten Fall empfindet sie der Mitarbeiter auch noch positiv, wenn er damit beispielsweise bewusst ein Risiko vermeiden kann der sich eine Blamage erspart. Ein solches Verfahren wirkt damit gleichzeitig wie eine immerwährende Awareness-Maßnahme.
Zum Zweiten werden die Mitarbeiter dabei unterstützt, die Policy einzuhalten, ohne großen Aufwand zu verlangen. Wenn der Anwender seine Daten beim Kopieren auf den USB-Stick mit einem extra Programm verschlüsseln muss, wird es ihm oft genug zu umständlich sein und der wird es unterlassen. Wenn die Daten beim Kopieren automatisch verschlüsselt werden, dann ist sicherlich niemand böse darüber.