Reden wir über Sicherheit im Netz und von Gefahren, die einer digitalen Infrastruktur eines Unternehmens drohen können, dann bleibt am Ende stets der letzte immer gleiche Unsicherheitsfaktor.
Es ist wie in der griechischen Mythologie: Die Antwort des Ödipus auf die Frage der Sphinx: „Es ist der Mensch!“, die schon von Horkheimer und Adorno als Stereotyp der Aufklärung erkannt worden war, findet hier ihre Fortsetzung in virtuelle Welten. Die Schnittstelle zwischen analoger und digitaler Welt ist daher auch die Schnittstelle zwischen Sicherheit und Anfälligkeit. Spiegelbildlich übrigens der Faktor auf der anderen, kriminell angreifenden Seite.
Daraus folgt zunächst, dass Awareness das Mittel der Wahl sein muss, wenn es um weitergehende – nichttechnische – Prävention geht. Die traurige Erkenntnis lautet: Social Engineering lässt sich nicht verhindern.
Das ist zunächst ja nichts neues – und von daher eigentlich auch nicht der Rede wert.
Daneben ist aber auch zu bedenken, dass wesentliche Angriffsszenarien auf kommunikatives Verhalten auf Seiten der Angegriffenen zurückzuführen sind. Offensichtlich ist dies beim Phishing und damit verwandten Methoden. Es muss sich daher die Frage stellen, welche Kommunikationsmittel das Mittel der Wahl sind – sei es bei der internen als auch bei der externen Kommunikation. Solches ist zugegebenermaßen kostspielig und aufwändig. So müssen sich entsprechende Entscheidungen in einer Kosten-Nutzen-Rechnung auch bewähren.
Hier werden Defizite der Digitalisierungsstrategien besonders deutlich: Am anfälligsten dürften Kommunikationswege sein, die versuchen, analoge Wege digital abzubilden. Warum ist die E-Mail nach Jahrzehnten immer noch das Mittel der Wahl, wenn es darum geht, Informationen von a nach b zu bringen? Weshalb sind Dokumente aus Textverarbeitungsprogrammen heraus zwingend mit E-Mail zu versenden?
Auch hier gibt es doch durchdachte Lösungen, die über kontrollierte und definierte upload- und download-Verfahren und restriktive Zugangskontrollen das Verteilen intern und nach außen unmöglich und überflüssig machen. Gleiches ist für die Kommunikation mit Kund:innen zu bedenken. Was spricht dagegen, hier sichere und echte E2EE-Kommunikation über upload-download-Architekturen zu führen?
Sicherlich ist es auch hierbei noch möglich, Zugangsdaten und Passwörter zu ergaunern. Aber es macht es schwerer.
Ein weiteres Thema dürfte die (Un-)Sitte sein, alles und jedes über WhatsApp-Gruppen und andere Kanäle zu verbreiten, dies auch über private Endgeräte, deren dienstliche Nutzung geflissentlich nicht nur geduldet, sondern auch gewünscht wird.
Oder was ist davon zu halten, wenn eine Einladung zu einer Awareness-Schulung über Firmen-Mail verschickt wird, in offenem cc: an alle Mitarbeiter:innen und zur Sicherheit nochmals auch an hinterlegte private Mail-Accounts – und wenn dann diese Einladung als word-Datei verschickt wird, deren Features erst dann funktionieren, wenn auch Makros aktiviert werden?
Vor der Schulung steht daher die Haltung und die gelebte Unternehmenskultur im Umgang mit digitalen Medien. Medienkompetenz auf allen Ebenen ist daher das primäre Mittel der Wahl. Durchdachte Strategien, die auch in digitalen Dimensionen rechnen und nicht nur die analogen Prozesse bestmöglich abbilden – dann hat auch der Faktor Mensch eine Chance, die Herausforderungen des social engineerings zu meistern – und die Anfälligkeiten für Angriffe wenn schon nicht völlig auszuschließen, dann doch zu minimieren.
elfstricheins 