Der menschliche Faktor in der Cybersicherheit: Q&A mit Troy Hunt

Trotz der Umstellung auf Fernarbeit während der Coronavirus-Pandemie bleiben die grundlegenden Praktiken der Cybersicherheit die gleichen, sagt Troy Hunt. Die Herausforderungen für Unternehmen drehen sich nach wie vor um grundlegende Praktiken wie das Patchen von Schwachstellen und die Verwendung besserer Passwörter, sagt der Cybersicherheitsexperte, der 2013 Have I been Pwned? ins Leben gerufen hat - eine Website, mit der Benutzer ihre Online-Anmeldedaten überprüfen können, um festzustellen, ob sie kompromittiert wurden. Derzeit arbeitet er an einem Buch mit dem vorläufigen Titel Pwned, , das aus seinem Blog hervorgegangen ist, in dem er sich mit Fragen der Cybersicherheit befasst. Das Buch, das er zusammen mit dem Tech-Autor Rob Conery geschrieben hat, soll noch in diesem Jahr erscheinen.

Mimecast sprach mit Hunt von der relativ COVID-sicheren australischen Goldküste aus über die Veränderungen, die die Telearbeit mit sich bringt, die neue Normalität bei Datenschutzverletzungen und die gemeinsame Verantwortung der Nutzer bei der Aufrechterhaltung der Cybersicherheit.

Mimecast: Wie gut sind die Unternehmen auf die Herausforderungen der Cybersicherheit bei der Telearbeit vorbereitet?

Troy Hunt: Wir haben keine Massenprobleme gesehen, die große Auswirkungen auf Unternehmen und Einzelpersonen hatten, weil wir sehr schnell online gegangen sind. Es gab sicherlich viele Vorfälle, die bemerkenswert waren. Ich denke da vor allem an die Zoom-Bombardements. Plötzlich wurden all diese Personen und Organisationen dazu gedrängt, Prozesse und Tools zu verwenden, mit denen sie keine Erfahrung hatten und für die sie keine Zeit hatten, sie richtig zu erlernen und zu schulen. Aber wir haben das sehr schnell in den Griff bekommen.

Wenn wir an einige der wirklich bemerkenswerten Schadprogramme denken, die wir in der Vergangenheit gesehen haben, wie z. B. Wannacry, dann hatten wir vor der Einführung von COVID viel mehr unter bösartiger Software zu leiden als unter der Tatsache, dass plötzlich jeder sehr schnell online gehen konnte.

Mimecast: Wurde die Verantwortung für die Cybersicherheit zunehmend auf die Mitarbeiter verlagert, die aus der Ferne arbeiten?

Hunt: Jeder musste auf unterschiedliche Weise mehr Verantwortung übernehmen, sowohl Einzelpersonen als auch Organisationen. Sicherlich mussten Einzelpersonen eine Verantwortung übernehmen, die sie vorher nicht hatten, wenn es darum ging, ihr Arbeitsumfeld zu sichern, das jetzt ihr Zuhause ist. Ich erzähle oft die Geschichte, als mein Sohn zu Hause mit dem Unterricht beginnen musste. Ich war wirklich sehr beeindruckt, wie sich eine Gruppe von 10-jährigen Jungen so schnell anpassen konnte. Aber ich war auch sehr amüsiert, als ich bei einer der ersten Microsoft Teams-Sitzungen, die sie hatten, beobachtete, wie der Vater eines der Jungen im Hintergrund herumlief und über die Verbindung sehr gut hörbar ein Geschäftsgespräch führte.

Wir mussten alle sehr schnell und unter Zwang lernen, aber ich habe das Gefühl, dass wir das sehr schnell in den Griff bekommen haben. Denn ich glaube nicht, dass es für den Einzelnen so schwer ist, über die Sicherheit seiner physischen Umgebung nachzudenken.

Mimecast: Gibt es jetzt, da wir langsam aus der Abriegelung herauskommen, einen neuen Schwellenwert für die Cyber-Sicherheitsbereitschaft? Müssen wir die Ausbildung im Bereich Cybersicherheit ändern?

Hunt: Ich könnte mir vorstellen, dass bei jeder Sicherheitsschulung, die heute durchgeführt wird, der Schwerpunkt viel stärker auf den Sicherheitsaspekten der Arbeit außerhalb der physischen Unternehmensumgebung liegen würde. Das einfache Konzept, wer sich sonst noch in Ihrer unmittelbaren Nähe befindet, wenn Sie telefonieren - solche Dinge müssten sicherlich stärker im Vordergrund stehen als früher.

Welches sind die Risiken, die heute mehr im Vordergrund stehen als früher? Wenn die Mitarbeiter von zu Hause aus arbeiten, haben sie Geräte, die anderen in die Hände fallen könnten. Wir als Unternehmen haben keine Kontrolle mehr über die physische Umgebung, in der die Mitarbeiter ihre Arbeit verrichten. Worauf müssen wir also achten, wenn es um die Sicherung der Endgeräte geht? Jemand hat einen Computer zu Hause; wie viele verschiedene verrückte USB-Sticks wird er dort hineinstecken? Er wird in seinem Heimnetzwerk mit all dem ungepatchten IoT-Zeug sitzen; wie können wir uns davor schützen?

Die Wahrscheinlichkeit, dass jemand ein Gerät physisch in die Hand nimmt und es entwendet, ändert sich ebenfalls. Ich weiß nicht unbedingt, ob es schlimmer wird. Es werden viele Dinge aus dem Unternehmensumfeld gestohlen.

All diese Faktoren befinden sich heute in einem größeren Abstand zum Unternehmensauftrag für IT und Sicherheit als früher. Das muss sicherlich eine Rolle spielen, und zwar nicht nur bei der Art und Weise, wie wir unsere Schulungen durchführen, sondern auch bei der Art und Weise, wie wir unsere SOCs, unsere Überwachung und alles, was damit zusammenhängt, tatsächlich konfigurieren.

Mimecast: Müssen wir mehr Wert auf menschliche Faktoren legen, z. B. "Führen Sie keine heiklen Gespräche, während Ihr Kind auf Zoom ist?"

Hunt: Eines der bemerkenswertesten Dinge bei den Veränderungen im Bereich der Sicherheit im letzten Jahr war die menschliche Seite, insbesondere die des Social Engineering und des Phishing. Die Abgrenzung zwischen Arbeit und Privatleben ist eine weitere Sache, die natürlich viel schwieriger ist, wenn man zu Hause ist. Viele Unternehmen sagen: "Sehen Sie, es ist angemessen, während der Mittagspause soziale Medien zu nutzen. Das gehört zu einem attraktiven Arbeitsumfeld dazu." Was passiert aber, wenn man zu Hause ist? Wo ist da die Grenze? Die ist nämlich oft sehr viel unschärfer.

Das hat viel mit menschlichem Verhalten zu tun. Wir wissen, dass wir in der IT-Sicherheit sehr oft all diese wunderbaren technischen Kontrollen aufbauen, und dann kommt ein Mensch und vermasselt es, weil er etwas Dummes tut. Das hat sich nicht geändert; es ist sogar noch wichtiger geworden als früher.

Mimecast: Die Automatisierung im Sicherheitsbereich hat zugenommen, aber sind wir zu abhängig von diesen Tools geworden?

Hunt: Es ist schwierig zu sagen, dass wir uns zu sehr oder zu wenig darauf verlassen. Stattdessen müssen wir einfach erkennen, dass es hier mehrere Faktoren gibt. Es gibt digitale Kontrollen, und der andere Teil der Lösung sind die Menschen. Ich fürchte, dass sich Sicherheitsexperten sehr oft nur auf technische Kontrollen konzentrieren, was oft zu Lasten der Menschen geht. Ich möchte Ihnen ein perfektes Beispiel dafür geben: Wenn wir uns etwas wie die Zwei-Faktor-Authentifizierung ansehen, ist das eine fantastische technische Kontrolle. Selbst die SMS-basierte Zwei-Faktor-Authentifizierung ist fantastisch, verglichen mit der Ein-Faktor-Authentifizierung. Die Leute wollen das also wirklich vorantreiben, und das ist großartig. Aber das Problem ist: Es ist eine absolut schreckliche Benutzererfahrung.

Durch die Beeinträchtigung der Benutzerfreundlichkeit wird oft die allgemeine Sicherheitslage geschwächt, weil die Menschen Abkürzungen nehmen. Es gibt einen wirklich faszinierenden Bereich in unserer Branche, nämlich die ganzheitliche Betrachtung der Sicherheit unter dem Gesichtspunkt der menschlichen Auswirkungen.

Mimecast: Sie haben in Ihrem Blog über eine Reihe von Datenschutzverletzungen in jüngster Zeit berichtet. Haben wir einen Anstieg oder nehmen wir sie nur mehr wahr?

Hunt: Wenn wir uns die Faktoren ansehen, die zu Datenschutzverletzungen führen, stellen wir fest, dass dies der Fall ist, und dafür gibt es einige sehr gute Gründe. Ein Grund ist, dass wir mehr Systeme als je zuvor haben. Wir stellen immer mehr Websites online. Wir stellen mehr und mehr Backend-Dienste online als je zuvor. Das liegt einfach in der Natur des Wachstums. Wir stellen die Dinge viel schneller online als wir sie offline nehmen.

Es sind mehr Menschen online, nicht nur in Märkten wie den USA und Australien. Vor allem in den Schwellenländern, in denen der Anteil der Online-Bevölkerung noch vergleichsweise gering ist, wächst er sehr, sehr schnell. Wir verbinden auch mehr Dinge miteinander. Ich habe mehr als 100 IP-Adressen in meinem Haus. Ich bin ein bisschen speziell; ich habe viel mit IoT-Automatisierung zu tun, also gibt es mehr Dinge in meinem Haus.

Die Cloud hat die Möglichkeit geschaffen, riesige Datenmengen sehr schnell und sehr billig online zu stellen - und sie sehr schnell und sehr billig zu vermasseln. Viele der Datenverstöße in "Have I been Pwned?" gehen auf Dinge wie falsch konfigurierte S3-Buckets oder offene MongoDBs ohne Passwort zurück. Dieses Problem hatten wir vor 10 Jahren noch nicht.

Ich bin mir sicher, dass wir, wenn wir diese Diskussion in drei Jahren führen, die gleiche Feststellung treffen werden, nämlich dass es gefühlt mehr Datenschutzverletzungen als je zuvor gibt.

Mimecast: Was sind Ihrer Meinung nach die besten Methoden zum Schutz der Systeme, wenn wir uns auf diese neue Normalität einstellen?

Hunt: Es sind alles dieselben alten Dinge, die wir schon seit vielen, vielen Jahren sagen. Das heißt, von der Bereitstellung von Werkzeugen zur Erstellung sicherer Passwörter - wie Passwort-Manager - über die ständige Aktualisierung der Systeme und die Schulung bis hin zur Überwachung der Netzwerke. Ich stelle fest, dass viele Unternehmen nicht in der Lage sind, zu erkennen, wenn große Datenmengen durch das Netzwerk wandern. Die meisten Unternehmen wissen nicht, wenn jemand Terabytes ihrer Daten abgezweigt hat.

Ich glaube nicht, dass es im Moment etwas allzu Neues gibt, außer vielleicht eine größere Bedeutung für die Sicherheit in einer Remote-Office-Umgebung.

Mimecast: Welches ist das am häufigsten übersehene Cybersicherheitsrisiko: Ist es das Versäumnis, Patches zu installieren und die Software zu aktualisieren?

Hunt: Ich denke, eines der Dinge, die ich derzeit am häufigsten sehe, ist die Fehlkonfiguration, vor allem in Bezug auf die Sicherheitslage. Zu den Fehlkonfigurationen zähle ich auch die unzureichende Verwendung von Anmeldeinformationen sowie in manchen Fällen das völlige Fehlen von Anmeldeinformationen. Wir sehen eine Menge Datenbank-Backups auf öffentlich zugänglichen Websites.

Wenn ich meine Workshops gebe (die privat sind und in denen ich einige Dinge zeigen kann, die ich in der Öffentlichkeit wahrscheinlich nicht zeigen würde), zeige ich, wie einfach es ist, Datenbanksicherungen im Internet zu finden. Es ist nur eine Google-Suche. Eine einfache, kleine Google-Suche und Sie finden all diese Datenbanksicherungen in einem Ordner, auf einer Website, die oft "Backup" heißt. Sie gehen auf die Website, Schrägstrich "back up" und siehe da, hier sind Gigabytes und Gigabytes von Datenbanksicherungen.

Mimecast: Was würden Sie einer Organisation raten, die ein effektives Programm zur Förderung des Sicherheitsbewusstseins für ihre Mitarbeiter entwickeln möchte?

Hunt: Eines der Probleme, die Unternehmen haben, ist, dass sie dies nicht als eine kontinuierliche Übung betrachten. Sie betrachten es als eine einmalige Übung in einer Art regelmäßigem Rhythmus, normalerweise jährlich. Das ist natürlich keine gute Sache. Mir gefallen die Sicherheitsprogramme, in denen Unternehmen kontinuierlich Schulungen zu Themen wie Phishing erhalten. Ich liebe die simulierten Phishing-Angriffe, die jederzeit aus heiterem Himmel erfolgen können. Das hält die Leute auf Trab.

Mir missfällt der Ansatz vieler Organisationen, dass es sich dabei um eine Übung handelt, um ein Kästchen anzukreuzen, um einen Compliance-Beauftragten zufrieden zu stellen, so dass sie, wenn später etwas schief geht, sagen können: "Nun, wir haben unser Bestes getan. Wir haben die Schulung durchgeführt. Sie müssen die Schulung absolviert haben; sie haben unterschrieben." Das macht die Anwälte glücklich und erfüllt ein Kästchen, aber in der Praxis bringt es nicht wirklich viel.

Mimecast: Wenn man bedenkt, dass so viele Risiken auf die menschliche Natur und die Art und Weise, wie Menschen ihre Arbeit tun, zurückzuführen sind, wie sehr kann die IT-Abteilung dann überhaupt für die Cybersicherheit verantwortlich sein?

Hunt: Ich bin der Meinung, dass Sicherheit immer eine geteilte Verantwortung sein wird. Ein gutes Beispiel dafür ist, wenn Sie auf Twitter nach "Netflix hack" suchen und sich die Ergebnisse ansehen. All diese Leute tweeten Dinge wie: Jemand hat mein Netflix gehackt und die gesamte Sprache auf Spanisch umgestellt. Könnt ihr bitte damit aufhören?" Ich werde ein bisschen lachen und sagen: "Weißt du, das ist kein Netflix-Hack. Du hast ein dummes Passwort." Ich schreibe es in Präsentationen und die Leute drehen sich um und sagen: "Oh, du beschuldigst die Opfer."

Nun, warten Sie einen Moment; sie haben hier eine gewisse Verantwortung. Ich denke, Unternehmen wie Netflix sind dafür verantwortlich, die Verbreitung von Credential Stuffing und Angreifern, die sich mit dem Benutzernamen und dem Passwort des Opfers anmelden, zu verringern. Aber es ist eine gemeinsame Verantwortung. Beide Parteien haben eine Rolle zu spielen.