22.04.2015, 00:00 Uhr
Der Faktor Mensch
Die Sicherheit von Unternehmen wird in erster Linie durch menschliches Verhalten gefährdet und nicht durch Sicherheitslücken im System oder in der Software.
Sicherheits- und Compliance-Anbieter Proofpoint hat eine Studie dazu veröffentlicht, wie Hacker IT-Sicherheitsmechanismen mithilfe psychologischer Tricks überlisten. Der Human Factor Report 2015 zeigt, dass Angreifer im vergangenen Jahr verstärkt Unternehmen ins Visier nahmen und ihre Taktiken mehr auf Firmen als auf Endanwender ausgerichtet wurden. Außerdem wurden anstelle von Massenangriffen vorzugsweise ausgeklügelte Attacken im geringeren Umfang durchgeführt. Aus den Forschungsergebnissen geht hervor, dass die Sicherheit von Unternehmen in erster Linie durch menschliches Verhalten – und nicht durch Sicherheitslücken im System oder in der Software – gefährdet wird und welche Sicherheits-Strategien nötig sind, um vor dem „allgegenwärtigen Klick“ zu schützen.
Im Forrester Research Report vom 17. Dezember 2014 Reinvent Security Awareness To Engage The Human Firewall (Zugriff nur per Abonnement) stellen Nick Hayes, Christopher McClean und Claire O'Malley fest: „Die Tatsache, dass der Mensch die größte Gefahr eines Sicherheitsprogramms darstellt, wird in der Regel ignoriert. Aber genau darin liegt das Problem … Sicherheitstechnologien, die für den Schutz Ihrer Umgebung von größter Bedeutung sind, erweisen sich oft aufgrund menschlicher Faktoren als nutzlos.“ Trotzdem verlassen sich viele Organisationen immer noch ausschließlich auf herkömmliche Gateway-only-Technologien, statt eine mehrschichtige Abwehrstrategie mit Blockier-Verfahren, Schutz vor gezielten Angriffen und Erkennungsmechanismen sowie Technologien zur Bedrohungsbehandlung zu nutzen, die mehr auf Personen als auf Infrastrukturen ausgerichtet ist.
Hier die wichtigsten Erkenntnisse aus dem Human Factor Report 2015:
- In jeder Organisation wird geklickt. Im Schnitt klickt ein Benutzer auf eine von 25 gefährlichen Nachrichten im Posteingang. Keine der in der Studie beobachteten Organisationen war gegen das Klicken auf bösartige Links gefeit.
- Ein größeres Ziel stellt das mittlere Management dar. Manager haben im Vergleich zum Jahr 2013, in dem sie seltener bösartige E-Mails erhielten, ihre Klickraten 2014 effektiv verdoppelt. Außerdem klickten Manager und deren Mitarbeiter doppelt so oft wie höhere Angestellte auf Links in bösartigen Nachrichten.
- Die meisten Vorfälle ereigneten sich in den Abteilungen Vertrieb, Finanzen und Einkauf. In den Abteilungen Vertrieb, Finanzen und Einkauf (Supply Chain) wurde am häufigsten auf Links in gefährlichen Nachrichten geklickt, und zwar durchschnittlich um 50 bis 80 Prozent öfter als in anderen Abteilungen.
- Ein Klick ist schnell geschehen. Organisationen haben nicht mehr Tage oder gar Wochen Zeit, um bösartige E-Mails zu erkennen und zu stoppen, da die Angreifer schon am ersten Tag zwei von drei Nutzern zum Klicken verleiten. Bis zum Ende der ersten Woche wurden 96 Prozent aller Klicks ausgeführt. 2013 wurden nur 39 Prozent aller E-Mails in den ersten 24 Stunden angeklickt. Dieser prozentuale Anteil stieg jedoch 2014 auf 66 Prozent.
- Attacken geschehen meistens während der Geschäftszeiten. Der Großteil der bösartigen Nachrichten wird während der Bürozeiten zugestellt, mit Spitzen am Dienstag- und Donnerstagmorgen. Dienstag ist der Tag, an dem besonders aktiv geklickt wird – um 17 Prozent häufiger als an anderen Wochentagen.
Nutzer lernen zwar schnell, aber Hacker passen sich noch schneller an. Der Einsatz von Social Media-Einladungen als Lockmittel – 2013 der beliebteste und effektivste E-Mail-Köder – ließ 2014 um 94 Prozent nach. E-Mail-Köder, bei denen Anlagen statt URLs verwendet werden – beispielsweise E-Mail-Benachrichtigungen oder Mahnungen an Unternehmen –, haben deutlich zugenommen. Bei Stichproben im Jahr 2014 stellte Proofpoint eine 1.000-prozentige Zunahme der Nachrichten mit gefährlichen Anlagen im Vergleich zum normalen Volumen fest. Zu den beliebtesten E-Mail-Ködern gehörten 2014 E-Fax- und Voicemail-Benachrichtigungen sowie Mahnungen an Unternehmen und Einzelpersonen.
Der Human Factor Report von Proofpoint basiert auf Daten, die Proofpoint seiner Reihe von Threat Protection-Produkten entnommen hat, die ständig innerhalb der Kundenumgebungen im Einsatz sind. Eine Kopie des Human Factor-Berichts von Proofpoint erhalten Sie auf Wunsch unter www.proofpoint.com/humanfactor. [bl]
