Der Layer 8 als Schlüssel-Element der IT-Security

Viele Risiken können durch mehrschichtige Security-Technologien abgewehrt werden. Das grosse Restrisiko sehen viele Security-Verantwortliche beim User. Ein letztes, lern-resistentes Glied in dieser fragilen Kette? So können wir den User zu unserem Partner in Crime bzw. Partner against Crime machen.

Luser, DAU, Layer 8 Problem, EIFOK – die Liste mit den «lustigen» Bezeichnungen für die User ist lang. Oftmals bilden sich zwei Fronten: die IT- bzw. IT-Security-Abteilungen gegen die Anwendenden. Es fehlt an einem grundlegenden, gemeinsamen Verständnis und dem Respekt gegenüber der Aufgabe des anderen. Der User will seinen Job erledigen, möglichst schnell und einfach – er interessiert sich meist weder für IT und schon gar nicht für IT-Security. Es wird eher als ein notwendiges Übel angesehen. Und genau so sieht es vielfach auf der anderen Seite aus: die IT-Abteilungen wollen ihre Vorgaben durchsetzen, interessieren sich aber oftmals nicht wirklich für die Abläufe des Users. Eine denkbar schlechte Ausgangslage, um unser gemeinsames Ziel zu erreichen: unsere Arbeit erledigen, ohne dabei Opfer eines Cyberangriffs zu werden. In diesem Szenario sind beide Seiten Losers, weil unnötige Grabenkämpfe geführt werden, Energie verpufft und das Ziel am Schluss oftmals nicht erreicht wird.

Wir müssen unsere Augen vor der Realität öffnen: Der User kann nicht zum Security-Verständnis gezwungen werden. Sind die Guidelines zu lang und zu umständlich geschrieben, wird er sie nicht lesen. Ist das Awareness-Training zu langweilig gestaltet, wird er nicht zuhören. Und sind die Abläufe zu kompliziert, wird er einen Weg finden, diese zu umgehen. Zwang funktioniert also nicht, um unser Ziel zu erreichen. Ganz abgesehen davon sind wir nicht in Nordkorea. Warum also nicht den User zum Kooperationspartner machen? Anstatt von oben nach unten zu diktieren – vom Experten runter auf den «DAU» – können wir ja auch gemeinsam auf ein Ziel hinarbeiten – als Partner auf Augenhöhe. Und als Security-Abteilung können wir wirklich jede Verstärkung brauchen, die wir bekommen können. Denn egal wie clever die künstliche Intelligenz unserer Security-Technologien ist, sie ist eben doch nicht in jedem Fall cleverer als ein menschliches Hirn. Gerade gezielte Angriffe können nur schwer abgefangen werden. Mit all den Usern in der Firma haben wir aber ganz viele menschliche Hirne zur Verfügung, die wir gewinnbringend einsetzen können. Wir müssen diese Hirne nur für uns aktivieren.

Henry Ford hat das schon früh realisiert: «Das Geheimnis des Erfolges ist, den Standpunkt des anderen zu verstehen».

Wir möchten die Anwendenden also proaktiv mit an Bord holen. Wir möchten, dass sie unseren Standpunkt verstehen und aktiv mithelfen, Security-Vorgaben einzuhalten. Ein wichtiges Element dazu ist die Begründung von Massnahmen. Menschen fällt es leichter, etwas zu akzeptieren, wenn sie den Grund dafür kennen. Es ist vollkommen unerheblich, dass der Grund nichts an der eigentlichen Tatsache ändert, dennoch ist er für die Akzeptanz zentral. So gibt beispielsweise die SBB seit einigen Jahren wenn möglich an, aus welchem Grund ein Zug verspätet ist. Obwohl das keinerlei Einfluss auf die Verspätung hat, können die Pendler offenbar besser damit leben, wenn sie den Hintergrund kennen.

Dieses Wissen sollten wir uns auch in Bezug auf die Anwendenden zu Nutze machen. Wir sollten nicht nur erklären, dass sie etwas machen sollen, sondern auch warum sie es machen sollen. Und im Idealfall auch noch, was passiert, wenn man es nicht macht. Dazu sollte man unbedingt das Ganze an verständlichen (!) Beispielen illustrieren. Ich betone hier bewusst «verständlich» – das bedeutet, dass es für den User von A-Z begreiflich sein muss – die Bedeutung eines jeden verwendeten Wortes muss dem User klar sein.

Das klingt jetzt vielleicht trivial, ist aber gar nicht so einfach, denn viele Worte gehören für die Security-Spezialisten zu ihrem Alltag, die User wissen teilweise aber nicht im Detail, was sie bedeuten. So z.B. Phishing, Schadcode, Patching, Proxy und was überhaupt eine Firewall ist und wie die Cloud funktioniert. Wir müssen uns bewusst sein, dass der User normalerweise aus einem völlig anderen Gebiet kommt und nur ganz selten mit diesen Begriffen in Berührung kommt. Er weiss vielleicht, dass Phishing etwas mit E-Mails zu tun hat, wie es dann letztendlich aber funktioniert, weiss er oftmals nicht. Wollen wir, dass der Anwendende unsere Ausführungen versteht, müssen Worte benutzt werden, deren Bedeutung er genau kennt.

Man sollte also lieber weniger technische Details erwähnen und auf vereinfachte Erklärungen setzen, denen jeder folgen kann. Was ist bei anderen Firmen passiert? Wie gehen Angreifer vor? Wer sind die Angreifer überhaupt und was wollen sie? Wie wurden Mitarbeitende in die Falle gelockt? Was war der Schaden, der dadurch entstanden ist? Es hilft, wenn gezeigt wird, dass die Security-Abteilung nicht komplett paranoid ist, sondern sich an realen Szenarien orientiert. Diese realen Gefahren, in verständlicher Sprache kommuniziert, werden den User überzeugen, denn am Schluss will niemand der Auslöser für einen Virus-Grossbefall sein.

Wir wissen jetzt also schon mal, dass wir den User auf unserer Seite haben wollen und dass wir dazu verständlich kommunizieren müssen. Jetzt wollen wir das Ganze nur noch in der bestmöglichen Form transportieren. Das Tolle an der IT- Security ist, dass es so einfach ist, eine gute Story zu bauen. Im Vergleich zu anderen Abteilungen, die ebenfalls ihre Interessen durchbringen wollen, haben wir eine Steilvorlage. Wenn die Buchhaltungsabteilung uns erzählt, warum wir jetzt diese und jene Kostenstelle verwenden müssen und weshalb die Kostenart unbedingt immer gleich (falsch) angegeben werden muss, schläft einem zu Recht das Gesicht ein. Und mein Mitgefühl gilt ganz den armen Buchhaltern, denn die Story taugt beim besten Willen nicht zum Kassenschlager. Ganz anders in der IT-Security! Während Cybercrime vor einigen Jahren noch erklärungsbedürftig war, so ist es heute in aller Munde, auf den Titelseiten der Zeitungen und sogar im Kino – Edward Snowden sei Dank!

Diese Ausgangslage bietet die idealen Voraussetzungen für eine unterhaltsame Anwenderschulung, bei der nicht pausenlos gegähnt werden muss. Auch Simulationen von Attacken sind hervorragend geeignet dafür, da selber Erlebtes noch besser im Gedächtnis hängen bleibt. Am besten orientieren wir uns dafür an den Geschichten, die das Leben schreibt und uns in Hülle und Fülle zur Verfügung stellt. Wie wäre z.B. der Maersk-Case? Der ist jedem in der Security-Welt bekannt – die meisten Normalsterblichen haben aber noch nie davon gehört. Oder vielleicht lieber der Meier-Tobler-Fall? Beispiele gibt es zu Genüge und lassen sich für jedes Szenario finden – leider…