31. Mai. 2019

„Breach Fatigue“ – Zeit für einen Weckruf


Von Jadee Hanson, Code42

Die nahezu konstante Abfolge von Datenschutzverletzungen und Cyber-Attacken und die nicht minder omnipräsente Berichterstattung darüber haben bei vielen Verbrauchern dazu geführt, dass sie Sicherheitsrisiken gegenüber regelrecht abgestumpft sind. Wer erinnert sich nicht an die Zeit, als die ersten Datendiebstähle bei Großhändlern öffentlich wurden? Alle verfielen in Hektik, änderten ihre Passwörter und Kreditkarteninformationen. Zahlreiche prominente und durchaus schwere Datendiebstähle später, hat sich ein Gefühl der Selbstgefälligkeit und eine gewissen Abgestumpftheit unter den Verbrauchern breit gemacht.

Laut dem Privacy Rights Clearinghouse gab es seit dem Jahr 2005 9.033 veröffentlichte Datenschutzverletzungen, was im Durchschnitt etwa 1,77 Vorfällen pro Tag entspricht. Da ist es nicht weiter verwunderlich, dass sich eine gewisse Gleichgültigkeit gegenüber dem Phänomen einstellt – und was die Verbraucherseite angeht, wurde das Thema Breach Fatigue ja bereits erschöpfend diskutiert. Allerdings ist das ist nur die eine Seite der Medaille: Das Phänomen Breach Fatigue betrifft auch Unternehmen und stellt dort ein ernstzunehmendes Problem dar. Die Folgen, wenn Mitarbeiter und Führungskräfte von Breach Fatigue befallen werden, sind ungleich ernster als bei Privatleuten: Unternehmen werden – wenn sich diese Abgestumpftheit erst einmal breit gemacht hat - offen für alle möglichen Arten von Insider-Bedrohungen; Sicherheitsstrategien werden unterlaufen und damit ineffektiv und führen in der Folge zu immer weiteren Schwachstellen.

Mittlerweile wird niemand mehr bestreiten, dass die Datensicherheit in jedem Unternehmen sehr weit oben auf der Prioritätenliste stehen muss. Dennoch ist zu beobachten, dass das Thema Breach Fatigue mehr oder weniger achselzuckend hingenommen wird, anstelle hier an einer Lösung respektive an effektiven Gegenmaßnahmen zu arbeiten. Dabei ist gerade für Unternehmen von immenser Wichtigkeit, die Bekämpfung der Breach Fatigue zu einem Bestandteil ihrer Sicherheitsstrategien zu machen und dafür zu sorgen, dass das Phänomen bei den eigenen Mitarbeitern frühzeitig erkannt wird. Diese Gleichgültigkeit gilt es umzukehren – nur so kann eine umfassende Sicherheitsstrategie funktionieren.

Die Folgen der Gleichgültigkeit

Es gibt hier also ganz offensichtlich ein sträflich unterschätztes Problem. Jeden Tag findet sich ein neuer Artikel darüber, wie entscheidend Sicherheit ist, welchen Schaden großangelegte Datendiebstähle anrichten und wie fortgeschritten die Cyberkriminellen mittlerweile sind. Niemand sollte sich darauf verlassen, dass diese Angreifer irgendwann ebenso müde und abgestumpft sind wie die von Breach Fatigue befallenen Mitarbeiter. Und es ist nur menschlich, dass Menschen und Unternehmen schlicht und einfach überfordert sind und an irgendeinem Punkt zu dem Schluss kommen, dass Datendiebstähle unvermeidlich sind und außerhalb ihrer Kontrolle liegen.

Einer der gefährlichsten Aspekte bei der Breach Fatigue liegt in der Selbstgefälligkeit, die sowohl bei Einzelpersonen als auch in Unternehmen als Ganzes auftreten kann. Natürlich können Organisationen sich implizit die Denkweise zu eigen machen, dass Datendiebstähle eben einfach immer passieren werden und daraus folgern, dass es eigentlich keinen Sinn macht, sie verhindern zu wollen. Ob diese Haltung nun bewusst oder unbewusst eingenommen wird, sie kann dazu führen, dass die Entscheidungsträger im Unternehmen wenig Anlass sehen, für einen vollumfänglichen Schutz ihres geistigen Eigentums zu sorgen oder wenigstens die erforderlichen Tools und Services vorzuhalten. Weitere Folgen dieser Haltung können geringere Investitionen in Mitarbeiter für das Security-Team sein oder eine Zunahme von Risikoverhalten.

Dabei gilt es noch die Mitarbeiterseite ins Kalkül zu ziehen: Hier besteht die Gefahr, dass Angestellte durch das andauernde Genörgel rund um Sicherheitsfragen bei der Arbeit frustriert und nicht zuletzt überwältigt werden. Vorschriften darüber, wie oft Passwörter geändert und wie komplex sie gestaltet sein müssen oder welche Programme und Endgeräte bei der Arbeit keinesfalls eingesetzt werden dürfen, gehören heute ebenso zur modernen Arbeitswelt wie regelmäßige Sicherheits-Trainings. Zweifellos sind diese Regeln und Vorschriften wichtig, dennoch können bei den Mitarbeitern das Gefühl hervorrufen, dass all das sie im Grunde nur von der eigentlichen Arbeit abhält, was dann in Frust und Antriebslosigkeit mündet.

Überforderte oder allzu selbstzufriedene Mitarbeiter können ein Risiko für das gesamte Unternehmen darstellen.

Was also können die Verantwortlichen tun, um die Gefahren der Breach Fatigue innerhalb der Belegschaft und innerhalb größerer Prozesse bekämpfen? Das Schlüsselelement besteht darin, die Symptome zu erkennen und mit den richtigen Techniken zur Risikominderung zu reagieren.

Symptom erkennen und bekämpfen

Wie bei vielen anderen schlechten Gewohnheiten auch ist es bei der Breach Fatigue gar nicht so einfach, sie an sich selbst festzustellen. Viele Organisationen sind vielleicht der Meinung, dass sie vom Phänomen der Breach Fatigue nicht betroffen sind, da sie das sonst wüssten. Allerdings ist das Phänomen weiter verbreitet, als sie vielleicht annehmen.

Um herauszufinden, wie es in puncto Breach Fatigue bestellt ist, müssen Unternehmen erst einmal feststellen, welchen  Stellenwert das Thema Sicherheit bei den Mitarbeitern überhaupt hat. Gehen ihnen die Security-Reminder auf die Nerven? In welchen Abständen ändern sie ihre Passwörter? Wie schnell und bereitwillig nehmen sie an neuen Sicherheits-Trainings Teil? All diese Fragen müssen sich die Unternehmen beantworten und auf einer regelmäßigen Basis auch weiter verfolgen. Das ist allerdings manchmal gar nicht so leicht. Einige Organisationen fangen damit an, dass sie die Einstellung gegenüber der Sicherheit innerhalb der Belegschaft auf dem individuellen Level erfassen. Neue Tools gestatten die Nutzung harter Fakten und Messgrößen um das Engagement, die Einstellung und das vorhandene Wissen im Bereich Sicherheit zu erfassen und mit Benchmarks zu vergleichen. Darüber hinaus werden oft auch informelle Umfragen genutzt um die Einstellung abzufragen. Auf der organisatorischen Ebene kann es sehr wirkungsvoll sein, sich auch die Unternehmensführung anzuschauen. Wie steht es mit den Investitionen in die Security? Sind diese auf einem gleichbleibenden Niveau oder gehen sie gar zurück? Auch diese Überlegungen sind hilfreich, um Breach Fatigue zu diagnostizieren und anzugehen.

Die Kur? Die Risiken bewusst machen

Ein Faktor, der der Breach Fatigue in die Karten spielt, ist die Tatsache, dass es für den Einzelnen so überaus einfach ist, die Folgen eines Datendiebstahls auszublenden. Und zwar nicht nur die Folgen für einen selbst, sondern für das ganze Unternehmen. Den Mitarbeitern muss klar sein, dass sie ganz und gar unabsichtlich die Firma und ihre Kollegen einem hohen Risiko aussetzen, während die Führungsebene immer wieder an die umfangreichen Konsequenzen erinnert werden muss, die es hat, wenn man den Schutz als selbstverständlich ansieht.

Gemäß der 2018er Cost of a Data Breach Study von Ponemon belaufen sich die Gesamtkosten eines Datendiebstahls auf 3,86 Millionen Dollar – das sind 6,4 Prozent mehr als in den vorangegangenen Jahren. Darüber hinaus liegen die durchschnittlichen Kosten für jede verlorenen oder gestohlenen Datensatz im Jahresvergleich bei 148 US-Dollar. Ebenso nachteilig sind die unermesslichen Kosten für verlorene Reputation und Markenwert, die durch einen größeren Verstoß entstehen können und oft zum Verlust von Kunden oder potenziellen Partnern führen. Dieser Vertrauensverlust ist sehr schwer zu beziffern und hat schwerwiegende finanzielle Folgen.

Niemand malt gerne den Teufel an die Wand – dennoch ist es wichtig, die beschriebenen Konsequenzen im Hinterkopf zu behalten. Regelmäßige Erinnerungen an das wahre Ausmaß der Folgen eines solchen Verstoßes können helfen, die Breach Fatigue zu bekämpfen.

Inzwischen ist die öffentliche Wahrnehmung von Unternehmen, die von einer Datenattacke betroffen waren, eine ganz andere: Die Frage nach dem Vorher-Nachher wird – teilweise sogar behördlicherseits – immer lauter gestellt: Rechenschaftspflicht und Transparenz werden zunehmend als Maßstab dafür herangezogen, wie Unternehmen in diesen Situationen beurteilt werden. Durch die Aufrechterhaltung einer positiven Sicherheitskultur und die Wachsamkeit gegenüber den ersten Anzeichen von Breach Fatigue sind Unternehmen bestens dafür aufgestellt, im Ernstfall effektiv zu reagieren.

Jadee Hanson ist CISO and VP of Information Systems bei Code42.