Bei internen E-Mail-Bedrohungen das Verhalten der Mitarbeiter berücksichtigen

Anmerkung der Redaktion: Interne E-Mail-Bedrohungen aller Art nehmen zu. Untersuchungen von Mimecast zeigen, dass Bedrohungen durch unvorsichtige Benutzer, kompromittierte Konten und böswillige Insider im letzten Jahr um mindestens ein Viertel zugenommen haben.

Was ist Ihr Plan zur Bekämpfung dieser wachsenden Bedrohung?

Wir haben Sam Curry, Chief Security Officer bei der in Boston ansässigen Cybersicherheitsfirma Cybereason ein und Mitglied des Cyber Resilience Think Tank gebeten, seine Gedanken zum besten Umgang mit internen E-Mail-Bedrohungen zu teilen.

Daten von Mimecast und Vanson Bourne zufolge ist die Mehrheit der IT-Entscheidungsträger nicht davon überzeugt, dass ihre Mitarbeiter interne Bedrohungen erkennen oder verhindern können. Warum werden Ihrer Meinung nach interne Bedrohungen nicht als ebenso riskant angesehen wie externe?

Der Mensch ist bekanntermaßen intuitiv schlecht in der Lage, die relative Wahrscheinlichkeit von Dingen zu erkennen. Intuitiv fürchten wir zum Beispiel Flugzeugabstürze viel mehr als Autounfälle, aber Autounfälle sind statistisch gesehen viel wahrscheinlicher. Das, was unsere Aufmerksamkeit erregt, was sichtbar und aktuell ist und worauf wir reagieren können, steht in unserem Gedächtnis an erster Stelle. Das Gleiche gilt für eine Insider-Attacke - die Daten sind schwer zu bekommen, es ist schwer zu handeln und sie können und wurden lange Zeit ignoriert. Was wirklich zählt, sind die Daten.

Was ist Ihrer Erfahrung nach die häufigste Art von internen Bedrohungsakteuren - böswillig, versehentlich oder unachtsam?

Die bei weitem häufigste ist versehentliche und unvorsichtige interne Vorfälle; aber die schädlichsten sind böswillig. Nur weil jemand Daten versehentlich verloren hat, bedeutet das nicht, dass jemand, der ihren Wert erkennen oder sie nutzen kann, um materiellen Schaden anzurichten, anwesend und bereit ist, sie zu nutzen. Wenn jedoch jemand absichtlich auf Daten zugreift und Maßnahmen ergreift, um sie zu erlangen, wird er ihren Wert für seine Zwecke maximieren, was den potenziellen materiellen Schaden erhöht, der verursacht wird.

Cybersicherheit ist zum Mainstream geworden. Liegt es in der Verantwortung der Mitarbeiter, sich im Umgang mit E-Mails clever zu verhalten? Oder sind Sie der Meinung, dass die Organisation dafür verantwortlich ist, dass das Thema bekannt wird?

Sicherheit, die nicht berücksichtigt, wie sich Menschen und Benutzer wirklich verhalten, ist schlechte Sicherheit. Wir hören oft: "Wir hatten eine Richtlinie, aber der Benutzer hat sie nicht befolgt". Die am besten konzipierten Richtlinien sind wie gutes agiles Computing: Sie sind benutzerorientiert und widersetzen sich nicht den natürlichen Neigungen der Benutzer. Dennoch sind sowohl der Benutzer als auch die Organisation verpflichtet, intelligente Sicherheitsmaßnahmen zu ergreifen. Es reicht nicht aus, zu sagen, dass dies "das Problem von jemand anderem" ist. Die Last ist asymmetrisch zwischen Benutzern und Organisationen, aber es gibt genug Verantwortung und Rechenschaftspflicht für alle.

Welche Maßnahmen können Unternehmen ergreifen, um ihre Mitarbeiter besser zu informieren, zu sensibilisieren und auf die Abwehr von E-Mail-Angriffen vorzubereiten?

Belohne gutes Verhalten und bestrafe nicht nur schlechtes. Wir verunglimpfen und ächten oft Übertreter, obwohl wir eigentlich versuchen sollten, den "Spürsinn" dafür zu nutzen, dass etwas nicht in Ordnung ist, und die Reaktion von der Angst, dumm dazustehen oder nicht dazuzugehören, zu einer Chance zu machen, in den Augen des Unternehmens ein Held zu sein.

Warum gibt es nicht jedes Quartal einen Preis für die "Rettung des Unternehmens", der jemanden auszeichnet, der auf seinen Spürsinn gehört hat, und ihn mit einer finanziellen Belohnung auszeichnet? Wenn es niemanden gibt, nehmen Sie jemanden, der nicht auf einen Phishing-Test hereingefallen ist und die verdächtige E-Mail trotzdem abgeschickt hat - er weiß nicht, dass es kein echter Angriff war, und Sie belohnen das richtige Verhalten!

Derselben Studie zufolge wird der CEO häufig als "schwaches Glied" genannt, wenn es darum geht, sensible Informationen an die falschen Personen zu senden. Glauben Sie, dass das Bewusstsein und die allgemeine Einstellung zur Sicherheit an der Spitze beginnt? Welche Maßnahmen können Sicherheitsexperten ergreifen, um die Führungsetage besser zu informieren - und vorzubereiten?

Die Wahrheit an die Macht zu bringen und seinen Chef aufzuklären, ist schwierig und kann karrierehemmend sein. Sie müssen jedoch getan werden. Wenn man integer sein und das Unternehmen verbessern will, müssen Führungskräfte noch mehr als andere Mitarbeiter informiert und geschult werden. Walfangangriffe sind eine reale Sache.

Nehmen Sie externe Berater und bekannte Namen in Anspruch, wenn es sein muss, um dies zu erreichen. Aber nehmen Sie sich die Zeit, die Sie dafür brauchen, und halten Sie sie frisch. Und wenn Ihnen dies wichtig ist und das Unternehmen Sie dafür bestraft, ist es wahrscheinlich nicht die richtige Kultur für Sie. Bringen Sie Ihren Lebenslauf auf Vordermann und schauen Sie sich proaktiv um.

Verfügen die meisten Unternehmen über die richtige Technologie, um interne E-Mail-basierte Angriffe abzuwehren? Wie können sie das, was sie verwenden, verbessern oder aktualisieren?

Die meisten Unternehmen verfügen nicht über die richtige Technologie, die richtigen Prozesse oder die richtigen Richtlinien, um diesen Angriffen zu begegnen. Es ist von entscheidender Bedeutung, dass Unternehmen alle drei Aspekte und deren Zusammenspiel berücksichtigen, um dem E-Mail-Bedrohungsvektor einen Schritt voraus zu sein.