CyberSecurity: Sensibilisierung und Stärkung der „Schwachstelle“ Mensch zugunsten der Gesamtsicherheit


Publizierter Artikel bei KSGV als PDF: ksgv.ch – Gewerbeverband – CyberSecurity Sensilibisierung – Schwachstelle Mensch – Ausgabe Juli 2018 – Fridels_BLOG_F@R

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der “massiven Interkonnektion”, integrierten Schnittstellen und „Collaboration“.

Durch diese sprunghafte und dynamische Weiterentwicklung und völlig neuen Anforderungen an die Mobilität der Mitarbeiter hat der früher vielfach ausreichende Fokus auf die «Sicherheit der Geräte / Hardware» mittels einem Virenschutz längst ausgedient und entspricht längst nicht mehr dem «Stand der Technik».

In der Analogie zum Schutz der missionkritischen Daten mittels einem Schloss wird in der Grafik gut ersichtlich, dass zwar die Schlösser immer grösser werden jedoch werden die Hämmer (CyberAttacken, Hacker) immer schneller grösser und mittlerweilen verhältnismässig mächtiger (wie ein Vorschlag-Hammer z.B. durch Social Engineering, Künstliche Intelligenz KI / AI) als die Schlösser (Gegenmassnahmen).

In der heutig vielfach angestrebten System-Architektur mit der Strategie auf der Basis von «Security by design» zugunsten der gesamtheitlichen ICT-Sicherheit steht die «umfassende Sicherheit des Benutzers» mit dessen Identität, Zugriff, Berechtigungen, Richtlinien und erweiterten Anforderungen an z.B. Datenschutz, Datensicherheit, Verschlüsselung und Self-Service im Vordergrund.

Die Sensibilisierung der zunehmend angegriffenen „Schwachstelle“ Mensch bzw. dessen Identität und personenbezogenen Daten ist ein zunehmend wichtiger Faktor beim Erreichen eines möglichst hohen Gesamt-Sicherheits-Niveaus.
Dass unverändert und zunehmend der Mensch und dessen Identität und Rechte das wichtigste Angriffsziel bleibt zeigen die folgenden einfachen Statistik-Aussagen: Rund 90% der erfolgreichen Attacken starten mit einem Phishing-Mail basierend auf Social Engineering (Das geschickt manipulierte Ausnutzen der menschlichen Tendenz zur Gutgläubigkeit und Vertrauen). Danach entsteht bei rund 80% der Fälle ein weitergehender Schaden wegen zu schwachen Kennwörtern bzw. Systemschutz oder zu hohen Berechtigungen des angegriffenen Mitarbeiters in der angezielten Systemumgebung.

Der Mensch als kritisches Einfallstor für CyberAttacken muss umfassend informiert, aufgeklärt, unterstützt und geschützt werden damit er überhaupt eine persönliche Mitverantwortung mittragen kann.

Die Technik alleine nicht mehr reicht gegen die dynamischen Bedrohungslagen von CyberCrime und als Beispiele gegen immer ausgereifteren z.B. Phishing-Mails, Phishing-Webseiten bzw. Social Engineering Attacken. Der weltweit sprunghaft ansteigende Wirtschaftsfaktor CyberCrime bedient sich auch von schier unerschöpfbaren monetären und technologischen Ressourcen und nutzt auch die „andere / dunkle Seite der Macht“ (dual use Problematik) von neuesten technologischen Errungenschaften rund um z.B. Künstliche Intelligenz KI / AI oder Super High Computing.

Mittels zusätzlicher Sensibilisierung der EDV-Anwender bezüglich CyberSecurity mit stufengerecht erklärten Kurz-Präsentationen, Visualisierung, Workshops, wiederkehrende Newsletters, interne Informationen, ICT Security Policy und auch Beispiele / Anatomie von erfolgreichen Attacken rund um Gefahren wie z.B. Phishing-Mails, Ransom-Ware, Trojaner, Social Engineering (Das geschickt manipulierte Ausnutzen der menschlichen Tendenz zur Gutgläubigkeit und Vertrauen), Verhaltensansweisungen im Internet / Social Media und beim Datenaustausch / Datenmedien-Nutzung von auch personenbezogenen Daten kann das Gesamt-Schutzniveau zusätzlich effektiv optimiert werden zugunsten der System-Resilienz (z.B. Angriffs- und Betriebs-Sicherheit)
Je nach Rolle oder Risiko-Exposition des Mitarbeiters (z.B. Kader, Aussendienst, Mobile Workplace, HomeOffice etc.) können dann bei Bedarf weitergehende Detail-Instruktionen und Sondermassnahmen erfolgen und implementiert werden.

Vorsorge ist bekanntlich immer besser als Nachsorge und betrifft auch die ICT-Strategie, ICT-Risk-Management, ICT-Audit bis hin zu auch Compliance-Themen und dem Versicherungswesen.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen mit auch sicherer Programmierung mit entsprechendem Fokus auf maximales, auditierbares «Security by design» / «privacy by design» / „Daten-, Zugangs- und Rechte-Minimierung“ / „Stand der Technik“ unterstützt werden. Durch diesen gesamtheitlichen Ansatz kann dem Ziel der bestmöglichen «Angriffs- und Betriebs-Sicherheit von ICT-Systemen» am besten Rechnung getragen werden.

Die Datenschutz-Regulationen wie z.B. CH-DSG oder EU-DSGVO / GDPR erfordern zudem weitergehende und vorallem nachweisbare Prozesse mit der Sicherstellung von maximalen Datenschutz- / Privacy-Aspekten zugunsten der personenbezogenen Daten.

Solche zunehmenden Anforderungen lassen sich selbsterklärend nicht mehr mit einfachen Virenschutz-Massnahmen bzw. ausgedientem Geräte-Schutz abdecken und bedürfen einen anderen, gesamtheitlichen System-Design-Ansatz.

Durch die stark gestiegene Mobilität der EDV-Benutzer, gestiegenen Sicherheitsanforderungen und die zunehmend verteilten ICT-Systemen in Hybrid Clouds oder Public Clouds ist es empfehlenswert, auch die entsprechenden zentralisierten und vollintegrierten Gesamt-Verwaltungs-Lösungen im Umfeld von «Mobility & Security aus der Cloud» zu beziehen als Service.

Durch solche integrierten Cloud-Lösungen auf Basis «Stand der Technik» und maximalen Erfüllungsgraden von international anerkannten Standards oder Sicherheits-Zertifizierungen können entsprechende Regulations- und Strategie-Anforderungen weitgehend erreicht werden.

Mittels integrierten Funktionalitäten in Bereichen des Monitorings und Reportings können mittels Früherkennung und «predictive advanced analytics / threat protection» gar Trends im Zeitalter der dynamischen Bedrohungslagen früher erkannt und dadurch auch die Eintrittswahrscheinlichkeit und Schadenspotential früher und sehr effektiv reduziert werden.

Dass dann hierbei auch entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit gleichgelagerten Technologien (z.B. „cognitive Security“ , „predictive Security“) zum Zuge kommen müssen und der klassische, einfache «Geräte-Virenschutz» nicht mehr genügt liegt nahe.

Weitergehende Funktionalitäten in Richtung von Software-Verteilung oder Provisionierung und gar automatischer Installation von ganzen Arbeitsumgebungen zugunsten der Homogenisierung, Standardisierung und Automatisierung runden solche cloud-basierten Gesamtlösungen ab.

 

Advertisements