Im Vorfeld des Digitalsummit ScaleUp 360° IT Security hat we.CONECT Global Leaders vorab mit David Kelm, Geschäftsführer bei IT Seal über die Herausforderungen im Bereich IT Security, gerade in Zeiten von vermehrtem Homeoffice, gesprochen. Außerdem gibt Herr Kelm Tipps, wie Mitarbeiter für das Thema IT Security sensibilisiert werden können.
David Kelm: Es ist tatsächlich ein verrücktes Jahr. Durch die Corona-Pandemie arbeiten nun viele Mitarbeiter von zu Hause aus im Home Office. Das bedeutete enorme sicherheitstechnische und logistische Herausforderungen für die IT-Sicherheitsverantwortlichen. Viele Kollegen mussten sich dazu erst einmal informieren, was überhaupt potentielle Sicherheitslücken und Gefahren im Home Office sind und wie man diese am besten unterbindet. Die Sicherheitsrichtlinien und -vorgaben konnten von heute auf morgen nicht mehr eingehalten werden, da sie lediglich für den Arbeitsplatz am Unternehmensstandort ausgelegt waren. Und auch für Mitarbeiter war die Umstellung, auf einmal von zu Hause aus zu arbeiten, eine große Herausforderung.
Dazu haben die Cyberkriminellen ihre Aktivitäten gesteigert. Ein „isolierter“ Mitarbeiter ist eben deutlich einfacher zu täuschen, da man nicht mehr so leicht den Kollegen fragen kann und damit 4-Augen-Prinzipien im Home Office häufig schwerer einzuhalten sind. Die Corona-Phase hat somit allerlei neue Cyberangriffe und Phishing-Szenarien hervorgebracht, die in vielen Fällen sehr erfolgreich waren. Die Mitarbeiter hatten gerade zu Beginn noch kein Gefühl für die Situation entwickelt und konnten somit leichter getäuscht werden.
David Kelm: Auch IT-Seal hatte sich dazu entschlossen, verantwortungsvoll mit der Situation umzugehen und sämtliche Mitarbeiter ins Home Office zu schicken. Wir konnten diesen Schritt gut meistern, da unsere Sicherheitsarchitektur auch bereits im Büro entsprechende Maßnahmen enthielt. Lediglich einige vertragliche Maßnahmen mussten getroffen werden.
Spannend war die Umstellung im Hinblick auf die Meeting-Kultur sowie der informelle Austausch am Tisch-Kicker. Hier mussten wir kreativ werden, um weiterhin den Austausch zwischen den Teams eng zu halten.
Dabei war eine der größten Herausforderungen für uns die kurzfristige Ergänzung des Portfolios um sichere Home-Office-Lösungen. Für uns war es wichtig, den IT-Sicherheitsbeauftragten von Anfang an zur Seite zu stehen und sie mit kostenfreiem Content zu unterstützen. Das musste alles sehr schnell gehen, doch unser Team hat sich bei dem Thema wirklich selbst übertroffen. Trotz Home Office haben wir es schließlich geschafft, dass die unterschiedlichen Abteilungen Hand in Hand arbeiten, um die Herausforderungen zu bewältigen.
David Kelm: Häufig werden die IT-Sicherheitsbeauftragten von ihren Kollegen als Mahner und Bittsteller wahrgenommen, die den Arbeitsalltag unnötig verkomplizieren und regelmäßig mit lästigen Vorgaben zur IT-Sicherheit ankommen. Das endet oftmals in Frust oder, noch schlimmer, einem Ignorieren der Sicherheitsvorgaben. Ich möchte den Verantwortlichen mit meinem Vortrag einen Plan an die Hand geben, mit dem sie ihre Mitarbeiter effektiv erreichen können, sodass diese ihre Verantwortung in Zukunft auch tatsächlich wahrnehmen.
David Kelm: Mitarbeiter sind der wichtigste Sicherheitsfaktor in Unternehmen, solange sie ihre Verantwortung wahrnehmen – falls nicht, kann sich das ganz schnell umkehren und enorme Risiken entstehen lassen. Häufig liegt dieses Fehlverhalten jedoch nicht an Böswilligkeit der Kollegen, sondern an einer anderen Risikowahrnehmung, denn nicht alle Mitarbeiter sind so sensibilisiert wie IT-Sicherheitsspezialisten. 9 von 10 Cyberangriffe starten mit einer Phishing-Mail und daher auch mit einem getäuschten Mitarbeiter, was auf eine sehr leidige Art die Relevanz von „menschlichen Firewalls“ zeigt.
Um Mitarbeiter mitzunehmen, empfehle ich eine durchdachte Awareness-Kampagne zur Sensibilisierung, die langfristig angelegt ist und mit unterschiedlichen didaktischen Methoden arbeitet: realitätsnahe Angriffssimulationen und begleitende E-Learnings sind beispielsweise eine sehr wirksame Kombination, um Mitarbeiter nachhaltig zu sensibilisieren.
Gerade realitätsnahe Angriffssimulationen sind dabei ein funktionierendes Mittel: Damit kann ein IT-Sicherheitsverantwortlicher auch noch gleichzeitig an der Motivation der Mitarbeiter arbeiten, damit sie das Thema ernst nehmen, Fähigkeiten mitgeben, wie sie solche Angriffe erkennen können und messen, wie der aktuelle Sicherheitsstand im Unternehmen ist und bei welchen Mitarbeiter-Gruppen weitergehende Schulungen notwendig sind.
David Kelm: Aktuelle Entwicklungen deuten nur bedingt darauf hin, dass die Angreifer-Seite diese Methoden zeitnah einsetzen werden. Die Voraussetzungen für eine sinnvolle Anwendung von KI sind nur in wenigen Fällen gegeben – gleichzeitig sind herkömmliche Methoden bereits erfolgreich genug. Erst wenn die Verteidiger-Seite im Katz-und-Maus Spiel entsprechend aufgeholt hat, werden die Kriminellen wieder einen entsprechenden Entwicklungssprung suchen.
Einer der wenigen Bereiche, in dem Angreifer aktuell bereits wirkungsvoll KI einsetzen, ist der Bereich des Telefon-Phishing (Vishing), bei dem Angreifer mit Hilfe von Deep-Fakes die Stimmen von CEOs fälschen und Zahlungen anweisen (CEO Fraud). Hier wird es sehr spannend, wie wir es schaffen, die Mitarbeiter und Prozesse gegen solche Angriffe zu wappnen.
Auf Seiten der Verteidigung ist KI jedoch ein wichtiges Tool. Schon heute sind herkömmliche Anti-Viren Programme nur noch selten in der Lage, aktuelle Malware zu erkennen – Statistiken sprechen von ca. 50%. Daher wird in Zukunft kaum ein Unternehmen ohne KI in seiner IT-Sicherheits-Kette auskommen.
David Kelm: Als Gründer eines Wachstumsunternehmens hat sich mein Job in den letzten Jahren stark verändert. Weg vom Techie, der selbst die erste Produktiteration programmiert hat und seine Leidenschaft für Social Engineering und Hacking ausleben konnte, hin zu einem Manager, der lediglich in seltenen Fällen (vor allem bei Vorträgen) noch mit der Technik spielen darf.
So traurig das aus Nerd-Sicht auf den ersten Blick klingt, so viel Freue bringt die neue Rolle im Alltag: Es begeistert mich jeden Tag aufs Neue, gemeinsam mit unserem starken Team daran zu arbeiten, das digitale Deutschland sicherer zu machen. Besonders freuen mich dabei die vielen positiven Rückmeldungen von unseren Nutzern – dass auch meine Mutter kürzlich ganz stolz erzählte, eine gezielte PayPal-Phishing-Mail erkannt zu haben, ist dann das i-Tüpfelchen.
Für tiefere Einsichten zum Thema, nehmen Sie am ScaleUp 360° IT Security teil:
Der Digitalsummit für Cybersecurity- und IT-Entscheidungsträger aus DACH zu den neuesten Technologien und Strategien im Bereich Cyber Security, Kritische Infrastrukturen, IT-Risiko Management & IT Security.