Verwaltung unter Beschuss: Mitarbeitende als (Un-)Sicherheitsfaktor

Nicht erst seit Beginn des russischen Angriffskrieges gegen die Ukraine stehen westliche Staaten im Fadenkreuz von Cyber­attacken. Bereits in den Jahren zuvor kam es immer häufiger zu Hackerangriffen auf die öffentliche Verwaltung und Regierungsstellen sowie zu weitreichenden Desinformations- und anderen Cyberkampagnen. Letztere hatten vor allem die Destabilisierung westlicher Staaten und die Beeinflussung demokratischer Wahlen zum Ziel. Ganz gleich, ob Cyberattacken Regierungseinrichtungen, das öffentliche Gesundheitswesen, Schulen oder die Verwaltung ins Visier nehmen – sie haben es vor allem auf die Beschäftigten als Haupteinfallstor abgesehen. Es ist für die Angreifer weitaus einfacher, unbedarfte Mitarbeitende zu einer Fehlentscheidung wie einem unbedachten Klick zu bewegen, als technische Sicherheitsmassnahmen auszuhebeln.

Mitarbeitende im Visier

Cyberattacken auf den öffentlichen Sektor sind unterschiedlich motiviert und reichen von Cyberbetrug beziehungsweise Ransomware-Erpressung bis hin zu nachrichtendienstlicher Informationsbeschaffung und der Manipulation von Wahlen. Abgesehen von Angreifern, die sich aus finanziellen Motiven zu Angriffen auf öffentliche Verwaltungen entschliessen, bedrohen vor allem staatlich geförderte Hackergruppen die IT-Systeme der öffentlichen Hand. Umso wichtiger ist es, dass sich Beamte, Verwaltungsangestellte und Mitarbeitende im Gesundheitswesen der Cyberrisiken bewusst sind und sie die Taktiken und Methoden der Angreifer erkennen können.

Auch die Sicherheitsverantwortlichen im öffentlichen Sektor werden sich dieses Umstands immer mehr bewusst. Dem ­neuesten "Voice of the CISO"-Bericht von Proofpoint zufolge erachten 43 Prozent der deutschen CISOs in öffentlichen Verwaltungen den Menschen als die grösste Sicherheitsschwachstelle. In der Schweiz dürfte die Wahrnehmung ähnlich ausfallen. Ebenfalls 43 Prozent der Befragten gingen zudem davon aus, dass ihre Organisation innerhalb der nächsten zwei Jahre von einer weitreichenden Cyberattacke getroffen wird – düstere Aussichten für die Cybersicherheit öffentlicher Einrichtungen.

Ausweg: Schulungen und Trainings

Um diesem wachsenden Risiko zu begegnen, müssen die Security-Teams in Behörden für starke technische Sicherheitsvorkehrungen Sorge tragen, die insbesondere den Hauptangriffsvektor E-Mail bestmöglich schützen. Hier gilt es, sicherzustellen, dass gefährliche E-Mails gar nicht erst das Postfach der Mitarbeitenden erreichen, sondern schon zuvor erkannt und gestoppt werden. Technische Massnahmen allein können jedoch nicht gänzlich verhindern, dass gefährliche E-Mails zugestellt werden, insbesondere nicht solche, die keine Malware oder gefährliche Links enthalten beziehungsweise nur der Kontaktaufnahme dienen. Darum müssen die Verantwortlichen ihre Mitarbeitenden für aktuelle Vorgehensweisen und Methoden der Angreifer sensibilisieren.

Genau hier setzen sogenannte Security Awareness Trainings an. Dabei wird in kurzen, interaktiven Trainingseinheiten Fachwissen zu aktuellen Cyberrisiken mit aktuellen Beispielen zu den Taktiken von Angreifern vermittelt. Wichtig ist, dass die Schulungen regelmässig und häufig stattfinden, um das Bewusstsein der Angestellten für Cybergefahren zu schärfen. Gepaart mit fingierten Cyber- und Phishing-Attacken, die in den Arbeitsalltag der Beamten und Mitarbeitenden integriert werden, lässt sich auf diese Weise die Aufmerksamkeit nachhaltig verbessern.

Zusammenspiel von Mensch und Technik

Durch die Kombination umfassender technischer Sicherheitslösungen und Strategien, die den Menschen in den Mittelpunkt der Cyberverteidigung stellen, lassen sich Regierungsstellen und Behörden am besten schützen. Ohne solche Massnahmen drohen massive Schäden für das Allgemeinwohl.

----------

Klassische Trainings haben kaum einen Effekt auf die Verhaltensänderung

Security Awareness Trainings nützen nur etwas, wenn die Trainingseinheiten kurz und interaktiv sind. Wie Proofpoint seine Schulungen gestaltet, erklärt Michele Rapisarda, Senior Channel ­Manager Schweiz & Österreich. Interview: Tanja Mettauer

Welche Mitarbeitenden sind von gezielten Cyberangriffen vor allem betroffen und wie unterscheiden sich die Angriffsweisen je nach Funktion der Mitarbeitenden?

Michele Rapisarda: Anders als viele gemeinhin vermuten sind es nicht die Behördenleiter oder die Spitzen eines Ministeriums oder eines Unternehmens der öffentlichen Hand, welche die primäre Zielgruppe für Cyberangriffe darstellen. Vielmehr haben es die Cyberkriminellen vor allem auf Mitarbeitende abgesehen, die auf hierarchischer Ebene im mittleren und unteren Segment zu finden sind, jedoch über weitreichende Zugangsrechte innerhalb der Organisation verfügen. Zu diesen VAPs (Very Attacked People) können etwa Mitarbeitende im Sekretariat zählen, die oft privilegierten Zugang zu Systemen und Anmeldeinformationen haben, die für die Angreifer wertvoll sind. Insbesondere bei zielgerichteten Attacken – sogenanntem Spear Phishing – sind die genutzten Köder individuell an das potenzielle Opfer angepasst. Häufig wenden die Angreifer vor einer gezielten Cyberattacke viel Zeit dafür auf, ihr Ziel auf Basis öffentlich zugänglicher Informationen auszukundschaften – etwa via Social Media. Erst danach entscheiden sie sich für einen passgenauen Köder, der die Wahrscheinlichkeit für einen erfolgreichen Angriff erhöht.

In welchen Verhaltensweisen der Angestellten sehen Sie die grössten Sicherheitsrisiken?

Weit über 90 Prozent aller Cyberangriffe erfordern eine menschliche Aktion aufseiten der angegriffenen Organisation, um erfolgreich zu sein. Und das von den Cyberkriminellen meistgenutzte Kommunikationsmittel ist E-Mail. Besonders hier müssen Angestellte also wachsam sein. Bereits ein unbedachter Klick oder das Öffnen eines vermeintlich harmlosen Dokuments kann zur Katastrophe führen. Mitarbeitende sollten zudem immer darauf achten, welche Links sie öffnen und wo sie ihre Zugangsdaten etwa für M365 eingeben. Denn die von Angreifern präparierten Webseiten erscheinen oft täuschend echt und lassen sich unter Umständen nur anhand der URL als illegitim identifizieren.

Wie funktioniert ein Security Awareness Training von Proofpoint und welche Tools nutzen Sie?

Um die Mitarbeitenden für Cyberbedrohungen zu sensibilisieren, reicht es nicht aus, ein paar Mal im Jahr Schulungen in einer Art Frontalunterricht abzuhalten. Unsere Security Awareness Trainings lassen sich primär in zwei Hauptbestandteile gliedern: Zum einen die Wissensvermittlung mittels kurzer, interaktiver Trainingseinheiten, bei denen die Teilnehmenden mit aktuellen Taktiken der Cyberkriminellen vertraut gemacht werden. Zum anderen umfassen unsere Trainings in den Arbeitsalltag der Mitarbeitenden integrierte, simulierte Phishing-Attacken. Letzteres dient vor allem dazu, die Aufmerksamkeit der Angestellten stets auf hohem Niveau zu halten und sie im Falle einer falschen Reaktion direkt darauf aufmerksam machen und nachschulen zu können.

Welche Themenbereiche deckt ein Security ­Awareness Training ab?

Die Security Awareness Trainings von Proofpoint umfassen unter anderem Module zu den Themen Social-Media-Nutzung, Phishing, Ransomware, Insider-Bedrohungen, Kennwortschutz und E-Mail-Sicherheit.

Wie wollen Sie mit Ihren Schulungen dauerhafte Verhaltensänderungen bei den Mitarbeitenden ­erreichen?

Der Unterschied zu klassischen Trainings, die nachweislich wenig bis gar keinen Effekt in Sachen Verhaltensänderung erzielen, besteht darin, dass unsere Trainings aus kurzen, interaktiven Trainingseinheiten bestehen. Dadurch dass diese zwar kürzer sind, jedoch häufiger und regelmässig stattfinden, können wir, ergänzt durch simulierte Phishing-Angriffe und gegebenenfalls Nachschulungen, nachhaltige Erfolge in puncto Verhaltensänderung der Mitarbeitenden erzielen.