Der schnelle Klick
Es hatte Folgen, als am 28. Februar 2018 bekannt wurde, dass Unbefugten über einen Klick an falscher Stelle Zugang zum IT-Netz der Bundesregierung verschafft wurde: die Bundesakademie für öffentliche Verwaltung (BAköV) nahm daraufhin beispielsweise ihre Lernplattform zur „Sensibilisierungsinitiative für Informationssicherheit in der Bundesverwaltung“ vom Netz: Sicherheitsbedenken. Was war passiert? Stattgefunden hatte die Einschleusung einer Schadsoftware über eine Phishing Mail.
Der Mensch gilt als Schwachstelle bei 95% aller Sicherheitsvorfälle
Dabei erfolgen 91 % aller Angriffe über Phishing Mails: „Spear-Phishing“ richtet sich gezielt auf die Mensch-Maschine-Schnittstelle, der unsichersten Schnittstelle im Internet: es sind die Benutzer, Menschen also, die mit Schadsoftware infizierte E-Mail-Anhänge öffnen.
Teil des Problems ist dabei die E-Mail selbst: sie ist bauartbedingt unsicher – und doch die meistgenutzte Anwendung im Internet: sie ist das „Schweizer Taschenmesser“, die eierlegende Wollmilchsau der elektronischen Kommunikation. Ihrer universellen Einsetzbarkeit steht aber auch ihr Postkartencharakter gegenüber: Anfälligkeit, Offenheit, Einsehbarkeit, Fehlzustellung, Verlust. Man sieht also: die E-Mail eignet sich für nichts, was man sonst im Leben auch nicht mit einer Postkarte erledigen würde: Vertrauliches, Termingebundenes oder allzu Persönliches.
Die Aufklärer haben es schwer
Alle Sicherheitssysteme hängen am Ende vom Menschen und dessen Schwächen ab: an seiner Fehlbarkeit und Leichtgläubigkeit, Bestechlichkeit, Emotionalität und Gier. Den Benutzern fehlen aber auch die Zeit, die Motivation und die nötigen Grundkenntnisse, um ein Training erfolgreich werden zu lassen. Unbelehrbarkeit mischt sich hier mit Unkenntnis, Desinteresse, Motivationslosigkeit und Ignoranz.
Der schlichte Hinweis auf die Sicherheitsprobleme der E-Mail reicht hier nicht. Was nach Ansicht der Benutzer meistens gut funktioniert, kann doch nicht unsicher sein! Aber besonders unter Druck passieren auch den als „aufgeklärt“ bekannten Mitarbeitern Fehler, die auf falschen Einstellungen und Haltungen sowie unzutreffenden Grundannahmen beruhen.
Was tun? Frontalunterricht?
Zur Misere des mangelnden Problembewusstseins gesellt sich eine weitere Schwierigkeit: zu wenig Sicherheitserziehung im Allgemeinen und die falsche Grundannahme der Verantwortlichen, Sicherheitswissen lasse sich den Benutzern einfach so eintrichtern. Dieser Ansatz hinterlässt eine Kluft zwischen Wissen und Handeln, was bedeutet: besseres Lernen ist nur möglich durch konstruktivistische Didaktik – kognitionspsychologisch soll der Nutzer dahin gebracht werden, selbst zu lernen.
Modernes Live-Phishing-Training macht sich also Erkenntnisse moderner Psychologie und Pädagogik zunutze: “Awareness –Training – Education“. Durch Übung und Anwendung lässt sich „das Gelernte im Gegensatz zu „trägem Wissen“ schnell und flexibel in richtiges Handeln umsetzen.“ Zu bedenken ist allerdings, dass Simulationslernen zwar vorteilhaft ist, aber nur Teil einer kompletten Sensibilisierungskampagne sein kann.
Mitarbeitersensibilisierung in der Praxis
Am Beispiel einer Mitarbeitersensibilisierung bei der Landeshauptstadt Kiel veranschaulicht der Artikel, wie eine solche Kampagne funktioniert – als Werkzeug kam der Phishing-Simulator der Marke co3tools von Code and Concept zum Einsatz. Detailliert wird das Live-Phishing-Training mit Ziel, Zielpersonen und Ergebnis geschildert, positive und negative Reaktionen der Beteiligten und die Auswirkungen des Trainings werden ausführlich beschrieben.
Der Artikel wird am Ende mit einer kleinen Literaturliste abgerundet.
Link zum vollständigen Artikel in der „<kes> – Die Zeitschrift für Informationssicherheit“