Mit <kes>+ lesen

Eine kurze Geschichte der Awareness : Aus der Hoch-Zeit in die Dekadenz – ist die Zeit der Awareness abgelaufen?

Security-Awareness war die letzten beiden Dekaden so oft in aller Munde, dass sie nun scheinbar ad nauseam durchgekaut ist – jetzige Maßnahmen „schmecken“ oft nur fade und langweilig und können kaum als hilfreicher Hochgenuss bezeichnet werden. Unser Autor versucht eine Einordnung, wie es dazu kam und wie man die Situation womöglich noch wenden könnte.

Security-Management
Lesezeit 11 Min.

Von Sebastian Broecker, Bad Soden

Anfang der 2000er war die goldene Zeit der Awareness – es gab zahlreiche Tagungen in aller Welt, Gesamtpakete zur Steigerung der Awareness von Mitarbeitern mit Kantinen-Events (Security-Day), Tassen, Kugelschreibern und Postern. Heutzutage gibt es meist 08/15-Vorträge für die Mitarbeiter oder ein todlangweiliges computerbased Training. Ist daher die Zeit der Awareness vorbei? Ist es wirklich so, wie der „IT Guru“ Bruce Schneider sagt: „Security-Awareness ist Zeitverschwendung“?

Kurze Rückschau

Das Zeitalter der Ahnungslosigkeit

Abgesehen von wissenschaftlichen Beiträgen beginnt erst Anfang der 80er-Jahre des letzten Jahrtausends (was wirklich antik klingt) das Bewusstsein für Hacking und das, was wir heute Cyberangriffe nennen, aufzukommen. Dazu gehören die ersten Viren (1982), der Film Wargames (1983), in dem erstmals ein Hacker eine Hauptrolle spielt, die ersten kommerziellen Virenscanner (1987 von G Data) und der Gedanke, all das sei vor allem technische Spielerei von „halbstarken“ Computer-Nerds.

Erst Mitte der 90er-Jahre führt die Verbreitung von x86er-Computern über die „Spielnutzung“ hinaus zusammen mit der aufkommenden Vernetzung von Computern (AOL-CD-ROMs…„bin ich schon drin?“) zu neuen Arten und Zielen von Angriffen – unter anderem Social-Hacking (i. d. R. zunächst von privaten E-Mail-Accounts).

Dennoch dauert es bis Anfang der 2000er, bis Firmen langsam beginnen, ihre Mitarbeiter vor Fehlhandlungen zu warnen, die Angriffe ermöglichen. Denn zu dieser Zeit beginnt sich das per E-Mail übertragene Virus Loveletter in vielen Varianten auszubreiten: Die Betreffzeile „I love you“ der malwarehaltigen E-Mail, die man in der Regel von einer bekannten Absendeadresse erhielt (z. B. einem Kollegen oder Chef), ist bis heute eine der einfachsten und besten Maschen, um auf die Neugier des Empfängers zu zielen.

„I love you!“ – das goldene Zeitalter

In der Folge von Loveletter und seinen Ablegern erwachte das Interesse der davon betroffenen Firmen und von Dienstleistern, die kreative Lösungen zur Schulung der Mitarbeiter anboten. So gab es in vielen Organisationen den „Tag der Security“ mit Flyern und Vorträgen, bedruckten Tassen und Kugelschreibern und auch einem breiten Interesse der Mitarbeiter an dem Thema – selbst wenn man manchmal nicht recht verstand, was Security mit einem Kantinentag zu tun haben soll: Angebot und Nachfrage trafen zusammen und sorgten für ein „Golden Age of Awareness“.

Angegraut – das Silver Age of Awareness

Nach einigen Jahren versuchten viele Dienstleister auf dem Gebiet der Awareness neue Wege zu gehen, weil das Thema für die Mitarbeiter langsam langweilig wurde – sie überboten sich gegenseitig in kreativen Lösungen. Sehr gerne wurden für die Wissensvermittlung Lernspiele umgesetzt (vgl. S. 65), die zeitweise faszinierend waren (Autorennspiel) oder auch nur so spannend, als würde man Farbe beim Trocknen zusehen.

Zunehmend wurden alle möglichen Medien genutzt. So gab der Autor vor langer Zeit dienstlich einen Newsletter heraus, in dem er an konkreten und aktuellen Beispielen Sachverhalte erklärte (z. B. Diebstahl des Harry-Potter-Manuskripts). Das mag für den ein oder anderen noch interessant gewesen sein, doch generell stieß der bemühte didaktische Overload dann irgendwann nicht mehr auf große Gegenliebe oder auch nur Interesse: Wer will schon 10 Minuten lang ein Spiel spielen, nur um dann zu erfahren: „Sichere auch Du Dein Passwort!“ Überdies waren viele Maßnahmen finanziell und zeitlich (Arbeitszeit) sehr aufwendig, sodass irgendwann auch das Interesse der Auftraggeber daran nachließ.

The Aftermath – zurück in die Bronzezeit

Die Kombination des Wunsches der Arbeitgeber den „Aufwand gering zu halten“ sorgte in Verbindung mit verschiedenen gesetzlichen Regelungen „zur Verbreitung der gewonnenen Lehren aus einem Vorfall“ und einer damit verbundenen Nachweispflicht der Durchführung solcher Maßnahmen dafür, dass viele Anbieter ihre Awareness-Strategie änderten: Statt bizarrer und aufwendiger Dinge geht der Trend zu einem webbasierten Training (meist nur mehr oder weniger mit Standardthemen) und dem Compliance-Stempel, dass dieses abgeleistet wurde – oder alternativ einer (Vorher/Nachher-) Bewertung der Awareness.

Letzteres geschieht in der Regel mit preiswerten Phishingmail-Paketen, bei denen „gemessen“ wird, wie viele Empfänger einer solchen E-Mail auf das „giftige“ Attachment geklickt haben. Einzelne Anbieter bieten so etwas für kleine Unternehmen schon ab 250 Euro an – was natürlich gerne angenommen wird, da Security ja schon immer ein Kostentreiber war. So verkommt IT-Sicherheits-Awareness zu einem „Discounter-Produkt“ und gleichzeitig hat man das wohlige Gefühl, durch die Messung der Teilnahme/Klickbereitschaft alle Compliance Anforderungen erfüllt zu haben. Selbst Gartner sagt in einer Studie von 2021, dass die Messung der Awareness eines der wichtigsten Dinge einer Awareness-Kampagne sei [1].

Raison d‘être

Die eben erwähnte Compliancepflicht (um z. B. der ISO 2700x zu genügen) ist in den letzten Jahren zu einem wichtigen Treiber für Awareness geworden. Awareness-Schulungen für Mitarbeiter finden jedoch meist nur über webbasiertes Training oder über 08/15-Vorträge statt. Dabei geht völlig verloren, dass gerade beim Thema Social-Hacking kontinuierlich neue Angriffsmethoden auftauchen. So werden etwa Social-Media-Profile neuer Mitarbeiter eines Unternehmens ausgespäht und diese – in der Hoffnung, dass sie noch keine Security-Schulung genossen haben oder die internen Prozesse nicht kennen – gezielt von angeblichen Mitarbeitern des Supports (aka Cyberkriminelle) kontaktiert, um beispielsweise einen bestimmten (vergifteten) Link von einem Firmenrechner aus anzuklicken.

Wenn ein neuer Angriff kommt, kann es sein, dass complianceorientierte Standardschulungen erst nach Monaten angepasst werden, statt den User zeitnah zu informieren. Eine von vielen Methoden der zeitnahen Kommunikation wäre zum Beispiel ein – nur für dringliche Informationen durch die Security-Abteilung verwendeter – Mailverteiler an alle Vorgesetzten einer Organisation, der etwa darüber informiert, dass derzeit Anrufe nicht von angeblichen Microsoft-Mitarbeitern kommen, sondern von Angreifern. Solche Methoden haben einen anderen Ansatz, als nur der Compliance gerecht zu werden: Sie verbreiten vielmehr flexible (!) und zeitnahe Informationen, um die Firma zu schützen. Denn auch bei gut gesicherten Unternehmen reicht ein einziges ungesichertes Einfallstor, um hohen Schaden zu bewirken. Der Heise Verlag wurde etwa 2019 sehr hart von der Emotet-Malware getroffen – und hat die forensische Untersuchung sehr offen und als „Lessons Learned“ für andere publiziert [2].

Gründe für Bedeutungsverlust

Wie konnte es dazu kommen, dass Awareness so viel von ihrer ursprünglichen Bedeutung verloren hat?

Der Aufwand

In den zwei Jahrzehnten, in denen der Autor sich mit Awareness beschäftigt hat, stellte er fest, dass die Methoden von Angriffen immer schneller variieren. Als vor circa 20 Jahren die Loveletter-Attacke aktuell war, gab es lange Zeit nur milde Varianten davon. Die Betreffzeile der virulenten E-Mails änderte sich anfangs für längere Zeit nur in „Mittel gegen Loveletter“, um dann etwas breitflächiger Neugier zu erzeugen („Das musst Du gesehen haben“). Lange genügte es also für die Security-Abteilung, eine allgemeine Warnung vor E-Mails herauszugeben, die man nicht erwartet und die zudem merkwürdige Betreffzeilen haben.

Heute ist es weit komplizierter (vgl. etwa [3]): Manipulierte E-Mails enthalten bei Dritten abgegriffene Inhalte (echte Dialoge) zwischen angeblichem Absender und Empfänger, sodass sie plausibel wirken – eine Warnung vor der Betreffzeile reicht da längst nicht mehr. Warnt die Security-Abteilung nun vor E-Mails, die trotz echter Textinhalte seltsame private Absender haben, so greifen die Angreifer kurze Zeit später mit gefakten echten Firmen-E-Mail-Adressen an – und nur kurze Zeit später findet man wiederum anders aufgebaute Angriffe, die vielleicht vortäuschen, man hätte ein Fax bekommen (mit einer Vorschau, die in dem Fax sogar handschriftliche Notizen zeigt).

Schafft man es als Awareness-Team generell, gegenüber heiklen E-Mails zu sensibilisieren, dann erfolgen die Angriffe halt plötzlich per gezieltem Anruf von Mitarbeitern auf Diensttelefonen, die angeblich vom Microsoft-Support kommen. Selbst wenn die Security-Abteilung zeitnah Warnungen im Intranet publiziert,ist der damit verbundene Aufwand sehr hoch. Denn die neue Bedrohung muss erkannt (z. B. durch eine Meldung eines Mitarbeiters), dann verifiziert und analysiert, die Bedrohungslage für das Unternehmen abgeschätzt, die User gewarnt (z. B. über das Intranet) und schließlich müssen technische Maßnahmen implementiert werden (in Abstimmung mit dem SOC oder IT-Betrieb).

Reichte also im „Golden Age“ ein vielleicht monatlich erscheinender Newsletter zur Awareness, so sind heute stundenaktuelle Warnungen (z. B. bei Telefonangriffen) an der Tagesordnung. Dies steht völlig im Widerspruch zu den derzeit ach so beliebten webbased Trainings, die meist einmal jährlich absolviert werden müssen und nur selten eine Überarbeitung erfahren.

Information-Overflow und fehlende Identifikation

Ein Security-Team mag also durchaus einmal wöchentlich eine Warnung an die Mitarbeiter aussprechen wollen. Das kann schnell dazu führen, dass Letztere angesichts einer solchen Reizüberflutung ein Desinteresse an den Meldungen entwickeln. Doch selbst wenn sie Interesse daran zeigen, ist die Frage, wie viel sich die Mitarbeiter davon wirklich merken können: Denn 80 % der Awareness-Experten haben einen technischen Hintergrund [4,5] und reden daher nicht die Sprache vieler Mitarbeiter – das senkt schon mal stark die Bereitschaft, die Awareness-Nachricht verstehen zu wollen.

Und selbst wenn die Botschaft zielgruppengerecht gestaltet ist, heißt das nicht, dass sich die Empfänger der Warnung auch daran halten: Das kann an einer fehlenden Identifikation mit der Firma liegen oder an dem Gefühl, dass es einen selbst ja eh nicht treffen wird und die Regeln daher vor allem für andere wichtig sind. Das ist etwa mit dem Rauchen vergleichbar: In Deutschland raucht noch immer etwa jeder Vierte, trotz aller Warnungen auf den Zigarettenschachteln – trotz aller Statistiken.

Trügerische Key-Performance-Indicators (KPIs)

Wie bereits erwähnt, sehen viele die Awareness nur (oder vorrangig) unter dem Compliance-Aspekt: Man hält sich an die ISO 2700x und überprüft, wie viele Mitarbeiter das webbased Training gemacht haben. Angenommen, das sind zum Ende eines Jahres 90 % – dann glauben viele Manager, dass die Kombination eines vermeintlich guten KPI und die Einhaltung der genannten Vorgabe bereits Sicherheit schafft (vgl. [6]).

Das ist aber ein fataler Irrtum: Denn wie bei Corona-Infektionen reicht ein einziger Mitarbeiter, der das Virus in sich trägt, um Chaos auszulösen. Im Januar 2020 meldeten die deutschen Nachrichten, dass ein aus Asien zurückgekehrter Mitarbeiter der erste nachgewiesene Coronafall in Deutschland sei. In den nächsten Tagen konnte man beobachten, dass weitere Infektionen in derselben Firma auftraten – das ist durchaus mit dem Durchseuchen eines Firmennetzes mit Emotet vergleichbar.

Für den Autor ist daher weder eine gute Teilnahmequote an einem Awareness-Training innerhalb einer Firma aussagekräftig noch eine niedrige Klickrate bei einem Phishingtest (denn morgen gibt es einen neuen, andersartigen Angriff) – noch die simple Erfüllung von Compliance-Anforderungen (also der Nachweis, dass alle einmal jährlich den Awareness-Kurs ableisten).

Chancen zur Rettung

Und wie kann man nun die Awareness retten? Schließlich ist sie entscheidend für aufgeklärte und aufmerksame Mitarbeiter, die als „menschliche Firewall“ ein wichtiger Teil einer Defense-in-Depth-Strategie sind – oft genug als die erste oder letzte wertvolle Verteidigungslinie.

Designermode versus „Awareness von der Stange“

Nach zwei Jahrzehnten Arbeit im Awarenessbereich vertritt der Autor die Meinung, dass der Schlüssel zu einer erfolgreichen Awareness (als Zustand) darin liegt, dass der Awareness-Experte für das Thema „brennt“: Er muss die Zeit haben, Awareness zu „leben“ und zu verkörpern. Er benötigt viel Empathie und vielleicht didaktisches Geschick, um die „Sprache des Volkes“ zu sprechen und Interesse für das Thema zu wecken. So sollte er abteilungsspezifische Vorträge halten, indem er beispielsweise in der Personalabteilung über virenhaltige Bewerbungen spricht.

Das Ohr auf den Schienen

Um überhaupt aktuelle Warnungen aussprechen zu können, muss der Awareness-Beauftragte zudem das „Ohr auf den Schienen“ haben: Er benötigt Rückmeldungen vom IT-Support („Wir haben heute ungewöhnlich viele zurückgesetzte Passwörter.“), vom IT-Betrieb und vom SOC („heute starke Verzögerung beim Einloggen durch eine Attacke“). Aber noch wichtiger: Er sollte beliebt und freundlich sein, sodass die „normalen“ User ihm Ungewöhnliches melden („Ich hab da so eine komische Mail gekriegt.“) und sich auch trauen, Fehler zuzugeben („Ja, ich habe auf das Attachment geklickt.“).

Jeden User ernst nehmen

Wichtig ist überdies, dass Awareness-Ansprechpartner wirklich jeden User ernst nehmen. Es gab im Berufsleben des Autors durchaus Mitarbeiter aus manchen Bereichen, die trotz vieler Schulungen und 1:1-Coachings regelmäßig mit Fragen zu „einer komischen Mail“ kamen. Erst wenn man solche Fragen geduldig auch zum 207. Mal beantwortet, bewirkt man ein virales Marketing des Vertrauens. Und es ist besser, solche „dummen“ Fragen immer wieder erneut zu beantworten, als Menschen abzuschrecken, sodass sie vielleicht beim nächsten Mal aus Angst vor einer Rückfrage dann doch das Attachment einfach anklicken, anstatt nachzufragen.

Fazit und Ausblick

Der gegenwärtige Zustand der Awareness(-Kampagnen) ist aus Sicht des Autors ungenügend. Einmal im Jahr abzuleistende Webbelehrungen und standardisierte 08/15-Vorträge sowie gefühlte Sicherheit durch Phishing-Tests können langfristig nicht die Lösung sein. Denn immer besser werdende technische Security-Maßnahmen bewirken, dass Angreifer immer stärker dort ansetzen, wo es am leichtesten ist: beim Menschen. Daher nehmen Social-Hacking-Angriffe deutlich zu. Daher müssen wir es schaffen, in das goldene Zeitalter der Awareness zurückzuspringen, als Awareness noch Spaß gemacht hat! Denn wie es in einem schönen Zitat aus einer wissenschaftlichen Studie heißt: „Das Gehirn wird das Schlachtfeld des 21. Jahrhunderts … die Menschen sind die umkämpfte Domäne“ [7].

Dr. Sebastian Broecker war lange Jahre als CISO tätig und arbeitet derzeit als freiberuflicher Autor und Referent.

Literatur

[1] Richard Addiscott, 3 ways to assess the effectiveness of security awareness training, Failure to prove the effectiveness of a security awareness program can lower the executive support critical to ensuring participation in the program, Cybersecurity Dive, Juni 2021, www.cybersecuritydive.com/news/gartner-security-awareness-training/601735/

[2] Jürgen Schmidt, Emotet bei Heise, Erste Lehren aus einem Emotet-Trojaner-Befall, c‘t 13/2019, S. 36, online auf www.heise.de/select/ct/2019/13/1561119412274300

[3] David Kelm, Tricks für Klicks, Wie Cyber-Kriminelle Menschen beim Spear-Phishing zu riskanten Aktionen verleiten und was man dagegen tun kann, 2022# 2, S. 12

[4] Laura Kemmerer, Wie sollte man ein Security-Awareness-Training kommunizieren?, IT-Seal, Mai 2021, https://it-seal.de/wie-sollte-man-eine-security-awareness-kampagne-kommunizieren/

[5] Bettina Weßelmann, Johannes Wiele, Von Top-down zum Dialog, Kooperation verdrängt Kampagnenmodell, 2016# 1, S. 6

[6] Sebastian Broecker, Talisman, Fetisch & Co., Über Aberglauben in der Security – oder: Wie sehr schützen Zertifikate, Richtlinien und hippe Einrichtungen wirklich?, 2020# 3, S. 46

[7] Florian Rötzer, Nato: „Das Gehirn wird das Schlachtfeld des 21. Jahrhunderts“, Telepolis, Oktober 2021, https://heise.de/-6217726

Diesen Beitrag teilen: