Cyber Awareness - Lektionen auf einer Zugfahrt gelernt

Vor etwa einem Monat bin ich nach der Arbeit mit dem Zug nach Hause gefahren. Für alle, die Melbourne nicht kennen: Mein Büro ist gleich um die Ecke von der Flinders Street Station, was bedeutet, dass ich das Glück habe, die erste Haltestelle der Linie zu sein, was mir wiederum garantiert, dass ich einen Sitzplatz bekomme und die nächsten 20 Minuten bis zu meiner Heimkehr Kopfhörer anschließen kann.

Was mir nicht so gut gelingt, ist, mir Dinge zu merken (ein Lob an die Passwort-Manager), und in diesem Fall stellte ich fest, dass ich meine Kopfhörer in meinem Schreibtisch auf der Arbeit vergessen hatte. Also musste ich ohne Kopfhörer im Zug sitzen und versuchen, keinen peinlichen Augenkontakt mit meinem Gegenüber herzustellen.

Das Schöne daran war jedoch, dass ich Zeuge eines Paradebeispiels dafür wurde, was man nicht tun sollte. Eine Dame beschwerte sich bei ihrem Kollegen über ihre IT-Abteilung. Sie kennen die üblichen Kommentare: "Sie reagieren langsam, was machen sie überhaupt den ganzen Tag", die allgemeine Art von unfairen Ruf, den IT-Teams haben. Also stellte die Kollegin die Frage: "Was ist denn los, was haben die falsch gemacht?"

Für den nächsten Teil werde ich unseren beiden Stars Namen geben, damit es einfacher ist, ihnen zu folgen. Karen ist der Name der Dame und der Mann heißt Glen.

"Nun, jemand hat mir per E-Mail eine wirklich wichtige Datei für meinen Chef geschickt, aber ich konnte den Anhang nicht öffnen", antwortete Karen verärgert.

"Ah, und was hast du gemacht?", antwortete Glen leicht verwirrt.

"Was würde ein normaler Mensch tun? Ich habe es an meine Kollegen geschickt, aber es ließ sich auf keinem ihrer Computer öffnen", fragte Karen.

Glen sah leicht besorgt aus, nickte aber zustimmend.

"Also habe ich mich an die IT-Abteilung gewandt, und die waren verärgert, dass ich jemanden direkt angerufen habe, anstatt ein Ticket zu erstellen", sagt Karen.

"Warum hast du keinen Strafzettel geschrieben?", fragte Glen.

"Als ich anfing, sagte man mir, ich solle diesen Mann und diese Nummer anrufen, wenn ich jemals ein Problem mit meinem Computer hätte und Hilfe bräuchte, und er sagte mir dann, ich solle stattdessen ein Ticket erstellen.

Leute, ich überlasse es eurer Fantasie, was mit dem Rest dieses Gesprächs hätte passieren können, aber lasst uns die Sache aus der Perspektive der organisatorischen Sicherheit betrachten und herausfinden, was schief gelaufen ist.

Der ahnungslose Benutzer
In diesem Beispiel waren sich Karen und möglicherweise auch Glen nicht bewusst, dass es keine gute Idee war, bösartige Anhänge zu öffnen und sie an andere Computer weiterzugeben. Sobald ein einzelner Benutzer in einer Organisation kompromittiert ist, ist es sehr einfach, andere zu infizieren.

Der Eskalationsprozess
Ich bin sicherlich nicht auf der Seite von Karen, wenn es darum geht, wie sie diesen potenziellen Sicherheitsangriff eskalieren ließ, aber gleichzeitig tut mir die Situation, in der sie sich befand, auch ein wenig leid. Sie wusste nicht einmal, dass es sich um ein Sicherheitsrisiko handelte, und sie kannte nicht das richtige Verfahren, um Hilfe zu holen oder ein potenzielles Risiko zu melden.

Wie können wir uns verbessern?

Diese Organisation ist in einer sehr guten Position, um ein Cyber-Bewusstseins-Programm zu starten, sei es über Phishing-Simulationen, E-Mails, Poster, Lunch & Learn-Sitzungen, was auch immer die Methode sein mag: Diese Organisation braucht keine Cyber-Resilienz-Experten, aber sie muss das Gespräch über die Risiken von E-Mails beginnen.

Es klingt so, als ob Karen sich des korrekten Eskalationsprozesses nicht bewusst war. Hätte Karen anders reagiert, wenn sie gewusst hätte, dass die von ihr durchgeführten Maßnahmen möglicherweise zu einem größeren Sicherheitsvorfall geführt hätten? Viele Unternehmen verfügen nicht über eine spezielle Eskalationsstelle für Risiko- und Sicherheitsvorfälle, aber dies ist ein perfektes Beispiel dafür, dass eine solche Stelle hilfreich gewesen wäre.

Bei der IT-Sicherheit handelt es sich nicht mehr nur um ein IT-Problem. Es gibt eine Konvergenz, bei der es zu einem organisatorischen & IT-Risiko wird, und das ist wichtig, weil es bedeutet, dass alle Bereiche des Unternehmens zusammenkommen müssen, um sich dieses Problem zu eigen zu machen.