Die Cyber-Bedrohungslage verschärft sich zusehends. Das Bundeskriminalamt verzeichnet für 2021 einen neuen Höchstwert bei Straftaten im Cyberspace. Ausgeklügelte Ransomware- und Lieferkettenangriffe haben im vergangenen Jahr regelmäßig für Schlagzeilen gesorgt. Auch weiterhin starten viele der Angriffe beim Faktor Mensch, meist mit einer Phishing-Mail. Der Grund dafür: Mitarbeitende lassen sich auch trotz starker technischer Infrastruktur immer ähnlich angreifen – über emotionale Manipulation. Gerade in gesellschaftlich unsicheren Zeiten, wie zuletzt während der Corona-Pandemie und des Angriffskrieges auf die Ukraine, ergeben sich für Cyberkriminelle optimale Erfolgschancen.
Wir haben mit Dr. Niklas Hellemann, Diplom-Psychologe und Geschäftsführer der SoSafe GmbH, über diese Entwicklungen gesprochen. In dem vor kurzem erschienenen Human Risk Review 2022 ordnet das Unternehmen die Cybergefahren in den allgemeinen Bedrohungskontext ein – und gibt Organisationen Empfehlungen, wie sie sich ganzheitlich schützen können. Ein Kernthema ist für SoSafe dabei, Informationssicherheit für alle Mitarbeitenden zugänglich zu machen – auf Basis von verhaltens- und lernpsychologischen Methoden.
Was sind Ihrer Meinung nach die Trends, die Organisationen hinsichtlich zunehmender Cyberkriminalität im Blick behalten müssen?
Generell erkennen wir eine starke Professionalisierung der Cyberkriminalität. Organisationen sehen sich einer innovativen Dark Economy gegenübergestellt, in der Cybercrime-as-a-Service das gängige Geschäftsmodell ist. Taktiken werden beinahe im Minutentakt weiterentwickelt. Für uns auf der Verteidigerseite bedeutet das, dass wir nie ausgelernt haben.
Neben der Professionalisierung haben wir in unserer Studie vor allem die folgenden Trends identifiziert: Zunächst war das vergangene Jahr von großangelegten Ransomware-Angriffen geprägt. Die ENISA spricht sogar von „der goldenen Ära von Ransomware“. Dabei setzen Cyberkriminelle hauptsächlich auf Mehrfacherpressungen und drohen Organisationen damit, höchstsensible Daten zu veröffentlichen. Auch Partner und Kunden betroffener Unternehmen können sich nicht mehr in Sicherheit wiegen. Sogenannte Supply-Chain-Angriffe legen ganze Lieferketten lahm. Immer mehr Organisationen machen die Informationssicherheit ihrer Partner deshalb zu einem Auswahlkriterium für Geschäftsbeziehungen.
Der Dauerbrenner bleibt aber weiterhin Phishing – insbesondere ausgeklügelte Methoden wie Spear Phishing. Gerade gesellschaftliche oder geopolitische Veränderungen werden instrumentalisiert und sorgen für gehäufte Angriffswellen. Neue Arbeitsmodelle und Rahmenbedingungen wie Homeoffice machen Phishing-Angriffe darüber hinaus besonders einfach. Das setzt Organisationen unter Druck: Sie müssen ihre Mitarbeitenden für solche Angriffe sensibilisieren – denn rein technisch können gefährliche von unschädlichen Nachrichten kaum noch unterschieden werden. Der Mensch spielt also eine zentrale Rolle: Unternehmen haben die Chance, ihre Mitarbeitenden als weitere Verteidigungslinie in ihre Sicherheitsstruktur einzubinden.
Worauf sollten Organisationen achten, wenn sie ihre Mitarbeitenden in Informationssicherheit schulen?
Den Menschen. Das mag im ersten Moment simpel klingen, aber letztlich sehen wir, dass viele Organisationen ihre Schulungen in Informationssicherheit bisher vor allem darauf ausgerichtet haben, Compliance-Anforderungen zu erfüllen. Die Schulungen sollen notwendiges Security-Wissen vermitteln, damit Regularien erfüllt werden. Das ist zwar erst einmal verständlich. Aber eigentlich geht es um etwas ganz Anderes: Die Mitarbeitenden nachhaltig dazu zu befähigen, ihre Organisation vor Angriffen zu schützen. Ein wichtiger Faktor ist dabei, dass Organisationen in eine langfristige Sicherheitskultur investieren. Daten aus unserer Plattform zeigen, dass mithilfe systematischer – und eben auf den Menschen fokussierter – Schulungsmaßnahmen die Cyberrisiken um bis zu 90 Prozent minimiert werden können.
Von welchen verhaltenspsychologischen Methoden sprechen Sie?
In unserem diesjährigen Human Risk Review haben wir aufgeschlüsselt, worauf es beim beim Stärken der Cyber Security Awareness in Organisationen ankommt. Unser „Behavioral Security Model“ veranschaulicht, dass bei einer starken Informationssicherheit vier Faktoren ins Spiel kommen: Wissen, Kontext, Motivation und Verhalten. Diese Faktoren hängen eng miteinander zusammen. Ziel von Security-Awareness-Maßnahmen ist es dementsprechend nicht nur, Wissen zu vermitteln, sondern auch Mitarbeitende dabei zu unterstützen und zu motivieren, ihr Verhalten zu reflektieren und sichere Routinen einzuüben.
Bei jeder dieser Dimensionen rücken andere lernpsychologische Methoden in den Vordergrund. So kann die Motivation der Mitarbeitenden beispielsweise mit Gamification nachhaltig erhöht werden. Unsere Daten zeigen, dass die Aktivierungsrate durch Gamification um 53 Prozent gesteigert werden kann. Auch sogenanntes „verteiltes Lernen“ und regelmäßige Lernstupser (sogenanntes „Nudging“) sind psychologisch sinnvoll: Wird Wissen regelmäßig wiederholt, wird das Erlernte besser verinnerlicht – und kann leichter angewendet werden. Macht man das nicht, zeigt sich schnell der gegenteilige Effekt: Mitarbeitende können Phishing-Mails schon nach einer Lernpause von vier Wochen weniger gut erkennen – die Klickraten steigen im Schnitt um 31 Prozent. Wir setzen diese und weitere psychologisch fundierte und datenbasierte Methoden deshalb sowohl in unserem E-Learning als auch in unseren lernorientierten Phishing-Simulationen ein. So helfen wir Organisationen, ihre Cybersicherheit zu erhöhen und das Risiko, Opfer eines Cyberangriffs zu werden, zu senken.
Über SoSafe
SoSafe hilft Organisationen, eine starke Sicherheitskultur aufzubauen und Cyberrisiken zu minimieren. Die psychologisch fundierte und DSGVO-konforme Awareness-Plattform setzt auf personalisierte Lerninhalte und intelligente Angriffssimulationen. Mitarbeitende lernen so, sich aktiv vor Online-Bedrohungen zu schützen. Die Plattform ist einfach implementier- und skalierbar; umfassende Analysen messen den ROI und zeigen Schwachstellen auf. Damit fördert SoSafe das sichere Verhalten aller Mitarbeitenden.