Management und Wissen / <kes>/Microsoft-Sicherheitsstudie 2016 / Fazit

Same Procedure as Every Year?

Ein Kommentar zu Awareness und Malware

Wie alle zwei Jahre haben <kes> und Microsoft wieder eine Sicherheitsstudie auf dem Weg gebracht – dazu vorab vielen Dank an alle 267 Teilnehmer, die den umfangreichen Fragenkatalog durchgearbeitet haben. Die Erkenntnisse aus diesen Antworten wiederholen sich leider: Malware bleibt die Top-Gefahr und ein ausreichendes Bewusstsein für Sicherheit scheint immer noch nicht vorhanden zu sein. Was muss, was kann sich ändern?

Von Michael Kranawetter, Unterschleißheim

Es ist sehr erfreulich, dass die Studie diesmal so viele Teilnehmer gefunden hat, die sich Zeit genommen haben, um sich selbst zu reflektieren – und auch, dass sich die Unternehmen „dahinter“ fragen, wie man etwas besser machen könnte. Dies spiegelt bereits wider, dass es ein steigendes Bewusstsein für Informations-Sicherheit gibt, selbst wenn gerade dieses – noch immer als mangelhaft empfundene – Bewusstsein angeprangert und hier das größte Potenzial zur Verbesserung gesehen wird.

Tatsächlich sehen über 70 % der Teilnehmer, dass es an Bewusstsein bei den Mitarbeitern fehlt, beim Top-Management und auch beim mittleren Management immer noch 55 % und 52 %. Das sind alarmierende Zahlen, wenn man doch bedenkt, dass die meisten Unternehmen und Behörden heute bereits in Awareness- Maßnahmen investieren. Folglich stellt sich die Frage: Wie effizient und wie effektiv sind diese Maßnahmen?

Ist Awareness überhaupt der richtige Weg? Welche Verantwortung trägt der Anwender, welche die IT und welche das Management oder die Leitung? Gemäß der Umfrage sind zumindest bei der Hälfte der Teilnehmer die Budgetfragen und die kompetenten Mitarbeiter nicht die zentralen Hindernisse – es scheint also genug Geld und auch Personal vorhanden zu sein, um auch Schulungsmaßnahmen durchführen zu können.

Setzt man diese Zahlen (vereinfacht) ins Verhältnis, so sind bei mindestens 20 % der Befragten folglich die Schulungen nicht wirksam, da laut Aussage dennoch das Bewusstsein fehlt. Was ist also das Problem mit den existierenden Awareness-Maßnahmen? Sind sie sinnvoll? Rechnet sich die Investition? Oder zählt einfach immer wieder der alte Satz: „Nur Betroffenheit führt zu einem anderen Bewusstsein“?

Wandel ist notwendig

Ich denke, zum einen ist ein grundsätzlicher Wandel im Umgang mit Informationstechnologie notwendig: Dieser Wandel sollte darin bestehen, dass die potenziellen Gefahren im Internet jedem Menschen von Grund auf beigebracht werden – hier sind sowohl Schulen als auch Universitäten gefragt, das Thema Informations-Sicherheit noch viel tiefer in die Lehrpläne, Curricula und Lernkontrollen einzubauen. All das wirkt aber nur in die Zukunft. Folglich müssen heute berufsbegleitende Schulungen ebenso weiter intensiviert, vielleicht auch mit Prüfungen versehen oder entsprechende Anreize geschaffen werden.

Zudem müssen sich Awareness- Programme wandeln, hin zu einer „Education“, die diesen Namen verdient: Reine „Maßnahmen“ mit ein paar Spaßveranstaltungen sind einfach nicht genug. Hier spielt auch die Frage nach der Verantwortung eine Rolle: Denn auch heute ist es immer noch so, dass die meisten Mitarbeiter das Verständnis haben, jemand anderes sei für Sicherheit zuständig – die IT, der Securityverantwortliche et cetera.

Bei den am häufigsten genannten Sicherheits-Hindernissen stand fehlendes Bewusstsein ganz vorne.

Solche Eindrücke werden auch gern durch politische Maßnahmen falsch verstärkt, wie etwa mit der aktuellen Forderungen der „Cyber-Sicherheitsstrategie für Deutschland 2016“ [1], einen IT-Sicherheitsbeauftragten zu bestellen, ähnlich dem Datenschutzbeauftragten – mit dem Ziel, „digitaler Sorglosigkeit entgegen(zu)wirken“. Hier sollte es jedoch nicht um eine Person gehen, der man die Verantwortung zuschieben kann, denn Verantwortung trägt jeder Beteiligte, wie es auch in der Cyber- Sicherheitsstrategie in Ausführungen zu „Digitale Kompetenz bei allen Anwendern fördern“ erkennbar ist. Klar ist also, dass das Ziel der Bundesregierung an sich ein anderes ist: nämlich sicherzustellen, „Konzeption und Umsetzung von IT-Sicherheitsmaßnahmen voran(zu)treiben“.

Technik bleibt bedeutend

Maßnahmen sind ein gutes Stichwort: Denn der zweite wichtige Punkt zur Verbesserung der Situation ist, dass unterstützend auch Technik zum Einsatz kommen muss. Heutige Angriffe sind (leider mit wachsendem Anteil) so ausgeklügelt oder gezielt, dass auch die besten Schulungen einfach nicht mehr helfen: Der Anwender kann bei solchen perfiden Angriffen schlicht nicht erkennen, dass er gerade ausgetrickst wird oder schon ausgetrickst worden ist – oder er bemerkt überhaupt nichts.

Auch bei solchen Angriffen kann jedoch durchaus verschiedene, heute bereits existierende und käuflich erwerbbare Technik helfen. Das sind teilweise ganz einfache Punkte, wie zum Beispiel der Schutz der Identität: Viele Awareness-Maßnahmen haben ja den Umgang mit Kennwörtern als zentralen Punkt. Botschaften wie „das Kennwort ist wie eine Unterhose, man wechselt sie öfter und gibt sie nicht weiter“ findet man noch heute in Sicherheits- Trainings. Das sollte abgeschafft und durch den Einsatz von Technik hinfällig werden: Anwender sollten heute ihre Identität nicht mehr nur durch ein Kennwort absichern, sondern durch mehrere Faktoren, zum Beispiel durch Biometrie-Lösungen auf der Basis von damit geöffneten lokalen Geheimnissen (Stirchwort: FIDO / TPM). Die Technik ist da, sie wird mit dem Betriebssystem mitgeliefert – sie muss nur genutzt werden.

Darüber hinaus gibt es noch viele andere Beispiele, wie man es Angreifern schwerer machen kann, die IT auszunutzen, auch wenn Anwender ausgetrickst worden sind. Klar ist aber auch, dass es Angreifern dennoch immer wieder gelingen wird, über Benutzer und Technik hinweg unberechtigten Zugriff auf ein System zu bekommen. Dann ist es eben auch wichtig, dass die IT das feststellt und reagieren kann! „Assume the Breach“ ist hier das Schlagwort, worüber an anderer Stelle noch mehr zu lesen sein wird.

Selektive Wahrnehmung?

Interessant ist in diesem Zusammenhang auch, dass die Top-Aufmerksamkeit für Gefährdungen zum dritten Mal seit 1985 und nun zum zweiten Mal in direkter Folge der Malware gilt: 87 % der Studienteilnehmer haben hier „erhöhte“ oder „höchste“ Priorität angegeben! Der langjährige Favorit „Irrtum und Nachlässigkeit der Mitarbeiter“ landete auch dieses Jahr nur auf Rang zwei.

Warum bekommt Malware die meiste Aufmerksamkeit als Gefahrenbereich? Liegt es daran, dass sie so offensichtlich ist? Daran, dass man ihre Auswirkungen am meisten und direktesten zu spüren bekommt? (Wobei die aktuelle erhöhte Spürbarkeit von Ransomware in der Studie noch gar nicht signifikant gewesen sein dürfte, da ihr Betrachtungszeitraum 2014/2015 war und die Erfassung nur bis Mai 2016 lief.)

Oder resultiert die enorme Aufmerksamkeit für Malware (auch) daraus, dass die IT ihre Anti-Viren-(AV)- Lösungen immer besser verwalten kann und sie somit schlicht sehr viele Information über Infektionen erhält? Es zeigt auf jeden Fall, dass das Augenmerk in Sachen Sicherheit weiterhin stark auf dem Einsatz von AV-Lösungen liegt – und das ist nicht genug: Security-Maßnahmen müssen ganzheitlicher sein und es muss eine vollständige Sicherheits-Architektur zum Einsatz kommen!

Sehr interessant finde ich hierbei, dass die Komplexität der Systeme nicht wirklich als Problem identifiziert wird: Nur 25 % sahen hierin ein großes Hindernis für mehr Sicherheit – und das bei steigender Komplexität rund um Cloud, Mobility, Social Media und Big Data. Es ist beruhigend, dass drei Viertel der IT-Abteilungen offenbar der Meinung sind, ihre Umgebung im Griff zu haben – und das stimmt mich positiv für die Zukunft.

Michael Kranawetter ist National Security Officer der Microsoft Deutschland GmbH.

Literatur

[1] Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland 2016, November 2016, www.bmi.bund.de/DE/Themen/Sicherheit/IT-Cybersicherheit/Cybersicherheitsstrategiecybersicherheitsstrategie_node.html