Q&A: Bewährte Praktiken für den Aufbau einer Kultur der Cybersicherheit

"Cyberangriffe werden immer häufiger, raffinierter und folgenreicher. Die Verteidigung gegen sie erfordert eine neue Sichtweise auf die Angriffe und die Angreifer". So erklären Keri Pearlson und ihre Co-Autoren in Casting the Dark Web in a New Light , einer Veröffentlichung der MIT Sloan School of Management.

Angesichts der zunehmenden Bedrohung von Unternehmen durch Cyberangriffe brauchen CISOs und Cybersicherheitsexperten neue Ansätze, um ihre Unternehmen zu schützen, sagt Pearlson, Executive Director of Cybersecurity am MIT Sloan. Von zentraler Bedeutung ist es dabei, das Bewusstsein für Cybersicherheit in die Unternehmenskultur einzubringen, und dies, so Pearlson, ist ein unternehmensweites Projekt. "Die Mitarbeiter müssen sich auf mehreren Ebenen engagieren", sagt sie. "Es ist nicht nur die Aufgabe des CISO".

Im folgenden Interview mit der Mimecast-Mitarbeiterin Mercedes Cardona erklärt Pearlson, wie Cyberkriminelle immer besser organisiert sind und welche bewährten Methoden Unternehmen anwenden müssen, um sich zu wehren.

Anmerkung der Redaktion: Dies ist der zweite Teil einer Reihe von Interviews mit führenden Cybersicherheitsexperten aus Hochschulen, Forschungseinrichtungen und dem privaten Sektor.

Mimecast: Wie kann ein Unternehmen also eine Kultur der Cybersicherheit schaffen? Sind Schulungen zum Thema Cybersicherheit hilfreich?

Keri Pearlson: Viele Unternehmen verfügen über Schulungsprogramme zur Einhaltung der Vorschriften, die in vielerlei Hinsicht nützlich sind. Zum einen können sie das Kästchen für die Einhaltung der Vorschriften ankreuzen, dass sie es haben. Zum anderen setzen sie einen Grundstein für ihre Mitarbeiter.

Die effektivste Schulung ist etwas, das in dem Moment geschieht, in dem ich es brauche, und nicht etwas, das ich zu Beginn meiner Tätigkeit absolviert habe. Wir wollen, dass der allgemeine Mitarbeiter - nicht das Cyberteam, sondern Sie und ich - bestimmte Dinge tut. Wir wollen, dass sie nicht auf eine Phishing-E-Mail klicken; wir wollen, dass sie, wenn sie eine merkwürdige Website oder etwas anderes sehen, es melden. Wir wollen, dass sie, wenn sie - aus Versehen oder absichtlich - auf etwas klicken, das etwas auslöst, was sie nicht erwartet haben, uns das mitteilen, damit wir dem nachgehen können. Wir möchten, dass sie keine USB-Sticks einstecken, die sie draußen finden und von denen sie nicht wissen, was darauf ist.

Wir wollen, dass die Teams zusammenarbeiten. Wenn Sie etwas sehen, das seltsam aussieht, möchten wir, dass Sie sich an Ihren Kollegen wenden und sagen: "Ich habe das gerade bekommen, hast du auch so etwas bekommen, oder hast du es gesehen?"

Dies sind Verhaltensweisen, die wir fördern wollen. Aber Verhaltensweisen werden von Werten, Einstellungen und Überzeugungen bestimmt. Wenn Sie eine Sache für wichtig halten, werden Sie wahrscheinlich auch etwas dafür tun.

Mimecast: In Ihren Artikeln sprechen Sie über Sicherheit im Zusammenhang mit Betriebstechnologie und nicht mit Informationstechnologie. Können Sie erklären, was das bedeutet?

Pearlson: Wir sprechen hier über Technologien, die für den Betrieb eines Unternehmens eingesetzt werden. Dabei kann es sich um Fertigungs- oder Industriesteuerungen, Versorgungseinrichtungen, Heizkessel und Kühlanlagen oder große Offshore-Ölplattformen handeln. Es gibt alle möglichen Technologien, mit denen unsere Unternehmen heutzutage arbeiten, und die Leute, die sie betreiben, sind OT - operational technologists. Informationstechnologen sind in der Regel Menschen, die mit Informationen arbeiten, und der Kern ihrer Arbeit ist digital - z. B. Bankwesen oder Kreditkartenverarbeitung oder irgendeine Art von Organisationsdaten.

Die OT-Leute haben bereits eine sehr ausgeprägte Sicherheitskultur. Sie befinden sich auf einer Bohrinsel, in einer Kessel-Kühlanlage oder in einer Produktionsstätte, in der Maschinen in Betrieb sind. Sie sind bereits sicherheitsbewusst; Sie werden Ihren Finger nicht auf ein Gerät legen, nur weil Sie sehen wollen, ob es heiß ist.

Wir wollen sicherstellen, dass sich diese Sicherheitskultur auch auf die Informationssicherheit erstreckt. Sie wollen zum Beispiel nicht, dass sich jemand einhackt und die Einstellungen ändert - den Heizkessel so hochdreht, dass er explodiert. Diese operativen Systeme sind digital, aber nicht so, wie wir uns das traditionell unter Informationssystemen vorstellen. IT-Abteilungen verwalten nicht unbedingt die OT. Die OT wird von einer separaten Gruppe verwaltet, in der Regel von den Mitarbeitern, die den Betrieb leiten.

Wir wollen die gleichen strengen Sicherheitsvorschriften, die bereits in diesen OT-Umgebungen gelten, auch auf die Informationen oder die digitale Seite ihrer Tätigkeiten anwenden. Aber vielleicht denken sie nicht so darüber.

Mimecast: Wie schafft man diese Art von Bewusstsein für Cybersicherheit in einer rezessiven Wirtschaft, wenn Unternehmen mit so vielen anderen konkurrierenden Prioritäten konfrontiert sind?

Pearlson: Das ist die Kunst des Managements. Manager müssen herausfinden, was die Prioritäten sind und worauf sie ihre Aufmerksamkeit richten. Was ich Ihnen sagen kann, ist dies: Wenn Sie Ihre Aufmerksamkeit nicht auf den Cyber-Schutz Ihres Unternehmens richten, setzen Sie sich großen Risiken aus. Das ist die Entscheidung, die Manager treffen müssen.

Es gibt bestimmte Werte, Einstellungen und Überzeugungen in Bezug auf Sicherheit, die Sie nicht kontrollieren können. Sie können nicht kontrollieren, in welchem Land Sie sich befinden, und einige Länder legen mehr Wert auf Sicherheit und Privatsphäre als andere. Sie können die Vorschriften, denen Sie unterliegen, nicht wirklich direkt kontrollieren.

Aber es gibt viele Dinge, die eine Führungskraft tun kann, und wir nennen diese Führungsmechanismen. Das sind Dinge, die Manager tun können, um die Herzen und Köpfe der Menschen zu verändern.

Ein Unternehmen, mit dem wir zusammenarbeiten, eine Versicherungsgesellschaft, hat eine Führungskraft eingestellt, um eine Kultur der Cybersicherheit aufzubauen. Dies war eine Entscheidung der Geschäftsleitung; sie haben Ressourcen dafür bereitgestellt. Es wurde eine Person eingestellt, deren Aufgabe es ist, dafür zu sorgen, dass die Werte, Einstellungen und Überzeugungen in Bezug auf die Internetsicherheit mit den Vorstellungen des Unternehmens übereinstimmen.

Ich persönlich halte das für eine brillante Entscheidung, denn ein Marketingfachmann weiß, wie man Herzen und Köpfe verändert. Darum geht es beim Marketing. Es geht darum, dass man versteht, was wichtig ist.

Mimecast: Die Zustimmung des Managements zu erhalten ist eine gängige Weisheit, aber wie arbeitet man sich die Leiter hinunter zu den Endbenutzern des Unternehmens?

Pearlson: Menschen lieben Belohnungen. Ein anderes Unternehmen erzählte uns, was es macht: Es führte eine Kampagne durch, bei der die Leute einen Keks bekamen, wenn sie etwas vorführten. Es war ein Schokoladenkeks, und so viele Leute taten, was von ihnen verlangt wurde, weil sie einen Keks wollten. Es ist sehr simpel, aber dieses Belohnungssystem hat die Werte der Menschen verändert, ihre Überzeugungen verändert.

Ein anderes Beispiel: Der Cybersecurity-Evangelist derselben Bank ging herum und klebte kleine Post-it-Zettel an unkonventionelle Orte: ""Haben Sie Ihr Passwort in letzter Zeit geändert?" "Haben Sie Ihren Computer abgeschlossen, bevor Sie zu diesem Kaffeeautomaten kamen?" Um das Thema anzusprechen, führte er seine Kampagne dort durch, wo sich die Leute versammelten.

Bei einer Versammlung aller Mitarbeiter eines anderen Unternehmens - also aller Mitarbeiter - begann der Geschäftsführer mit einem Moment der Cybersicherheit. Ich würde gerne ein Buch mit dem Titel Cybersecurity Can be Free, schreiben, denn es gibt so viele kleine Dinge, die man tun kann, die wenig oder gar nichts kosten, wie z. B. ein Keks oder wie man seine Mitarbeiterversammlungen mit einer fünfminütigen Diskussion über das neueste Cybersicherheitsproblem beginnt.

Mit solchen Dingen gewinnt man die Herzen und Köpfe aller Mitarbeiter im Unternehmen. Wenn Sie glauben, dass es für Ihren Chef wichtig ist, werden Sie eher glauben, dass es auch für Sie wichtig sein sollte. Und umgekehrt: Wenn Ihr Chef es nie erwähnt, wissen Sie vielleicht nicht, dass es ihm wichtig ist.

[Wir haben zum Beispiel ein anderes Projekt im Bereich der Produktentwicklung. Wir erforschen, wie man die Herzen und Köpfe der Produktentwickler verändern kann, so dass sie für die Cybersicherheit bauen, genauso wie sie für die Herstellbarkeit, Benutzerfreundlichkeit und Wartung bauen. In einem von uns untersuchten Unternehmen haben die Manager ihren Entwicklern nie gesagt: "Wir wollen, dass Sie für die Cybersicherheit bauen." Sie gingen einfach davon aus, dass sie es wüssten.

Mimecast: Wenn immer mehr IoT-Geräte online gehen, von Ihrem Auto bis zu Ihrem Kühlschrank, werden diese dann nicht auch Teil der Gleichung?

Pearlson: Natürlich, und eine unserer anderen Erkenntnisse ist, dass die Kunden bei großen Markenprodukten davon ausgehen, dass die Cybersicherheit bereits eingebaut ist.

Aber wenn das wahr ist, wie kommt es dann dazu? Nicht, weil der Designer daran gedacht hat, es einzubauen. Wenn es sicher ist, dann deshalb, weil der Entwurfsprozess dafür gesorgt hat, dass das Produkt sicher ist. Das ist eine ganz andere Sache. Es ist viel teurer, etwas mit Sicherheitsmerkmalen nachzurüsten, als etwas von Anfang an mit Blick auf die Cybersicherheit zu entwickeln.

Mimecast: Sie haben einen Bericht über das Dark Web mitverfasst, in dem das neue Geschäftsmodell der Cyberkriminalität erörtert wird. Wie verändert sich das Wesen der Cyberkriminalität?

Pearlson: Hollywood möchte uns glauben machen, dass die Hacker allesamt vermummte, tätowierte, gepiercte Menschen sind, die in dunklen Räumen mit mehreren Bildschirmen vor sich sitzen. Und diese Leute gibt es tatsächlich. Aber heute ist es ein größeres Geschäft als das. Und genau das war der Aha-Moment in diesem Papier. Bei unseren Nachforschungen stießen wir im Dark Web auf eine Reihe von Cybercrime-as-a-Service-Angeboten.

Möchtegern-Hacker können alle Komponenten, die sie benötigen, als Dienstleistung kaufen und sie dann zu ihrem Angriffsvektor zusammenbasteln. Und das Dark Web ist so gut organisiert, dass es Support-Desks gibt. Es gibt jemanden, den man im Dark Web anrufen oder mit dem man verhandeln kann und der einem hilft, alles zusammenzustellen.

Das sind normale Geschäftsleute mit schlechter Ethik. Sie tauschen untereinander Informationen aus, damit sie wissen, wie sie den Wert ihres Geschäfts maximieren können.

[Umgekehrt gilt: Wenn wir keine Informationen darüber austauschen, wie wir angegriffen werden, können wir nicht voneinander lernen, und wir stellen uns darauf ein, ständig angegriffen zu werden.

Mimecast: Konzentrieren sich Unternehmen immer noch auf den Hacker im Keller? Müssen sie anerkennen, dass die Cyberkriminalität jetzt ein organisiertes Verbrechen ist?

Pearlson: Ich glaube, viele Unternehmen haben das inzwischen begriffen. Aber ich bin mir nicht sicher, ob sie überhaupt darüber nachdenken, wer es ist, außer dass es sich um einen Nationalstaat oder einen Hacker handelt, oder ob es einfach jemand ist, der Geld will. Diese Leute sind organisiert - aber sie sind nicht unbedingt das organisierte Verbrechen. Es sind einfach nur sehr clevere, technologisch versierte Geschäftsleute.

Mimecast: Welche Schritte müssen die Unternehmen in Anbetracht dessen unternehmen, um sich besser zu schützen?

Pearlson: Die Behörden sind sehr gut darin - die Behörden mit den drei Buchstaben: Homeland Security, FBI, was auch immer Ihre lokalen Behörden sind. Sogar viele größere Polizeidienststellen haben jetzt Cyberabteilungen. Sie haben Newsletter, die sie verschicken. Sie sind sehr gut darin, weiterzugeben, was sie haben, was sie wissen und was sie weitergeben können. Das ist eine Möglichkeit, sich zu schützen: sich mit der für Ihr Unternehmen zuständigen Behörde in Verbindung zu setzen.

In Chatrooms und im Dark Web können Sie Anzeichen dafür erkennen, dass ein Angriff im Gange ist. Dann können Sie sich proaktiv schützen.

Wenn Sie zum Beispiel wüssten, dass sich jemand darauf vorbereitet, Versicherungsunternehmen anzugreifen, indem er [bestimmte] Prozesse stört, könnten Sie Schritte unternehmen, um sich zu schützen. Sie könnten zum Beispiel Ihre Verteidigungsmaßnahmen auf diesen Bereich ausrichten.

Mimecast: Was sollten die obersten Prioritäten für CISOs und Sicherheitsexperten sein?

Pearlson: Ich bin ein wenig voreingenommen; ich denke, dass die menschliche Seite eine Priorität sein sollte. Ich denke, dass Ihre Mitarbeiter sowohl Ihr schwächstes Glied als auch Ihre beste Verteidigung sind. Wenn ich nach neuen Initiativen für mein Unternehmen suchen würde, würde ich mich ernsthaft damit befassen. Wo sind die Lücken? Wo sind die Schwachstellen? Wie können wir sie stopfen?

Ich denke, es ist eine Selbstverständlichkeit, dass alle Ihre Technologien auf dem neuesten Stand sind. Alle Patches, die für Ihre Systeme herausgegeben wurden, wurden installiert und behoben. Es gibt einige grundlegende Hygienemaßnahmen, die durchgeführt werden müssen.

Bei den kleineren Unternehmen müssen Sie dort anfangen: Stellen Sie sicher, dass Sie sich um die Hygiene kümmern. Bei größeren Unternehmen oder Unternehmen, bei denen der Tisch gedeckt ist, sollten Sie sich als nächstes um Ihre Mitarbeiter kümmern.

Aus diesem Grund ist unsere Forschung im Bereich Kultur so wichtig: Wie kann man die Herzen und Köpfe seiner Mitarbeiter verändern? Wie kann man eine Kultur der Cybersicherheit aufbauen?