SoSafe ist Strong Performer in „The Forrester Wave™: Human Risk Management Solutions, Q3 2024“. Klicken Sie hier, um mehr herauszufinden.

Ein lächelnd vor seinem Laptop sitzender Mann mit Brille und Bart mit Overlay-Grafik, die die Fortschrittsbalken für „Awareness“, „Verhalten“ und „Kultur“ und ihre Bewertungen zeigt.

Human Risk Management

Warum ein verhaltensbasierter Human Risk Management-Ansatz in der Cyber Security unerlässlich ist

11. September 2024 · 8 Min

Niemand wünscht sich, Ziel eines Cyberangriffs zu werden – weder privat noch beruflich. Doch die Zahl der Opfer von Cyberattacken steigt rasant an. Die Angriffe werden nicht nur immer häufiger, sondern haben auch immer weitreichendere Folgen, und dabei spielt der Faktor Mensch oft eine entscheidende Rolle.

Forrester prognostiziert, dass dieses Jahr bei 9 von 10 Datenschutzverstößen der menschliche Faktor dazu beitragen wird, dass Daten, finanzielle Mittel oder Identitäten gestohlen werden. Auch unsere eigenen Daten bei SoSafe veranschaulichen das Ausmaß der Bedrohung:  Eine Umfrage ergab, dass in den letzten drei Jahren jede zweite Organisation Opfer eines erfolgreichen Cyberangriffs wurde. Und 64 Prozent der betroffenen Unternehmen bewerten ihr Risiko, erneut einem Angriff zum Opfer zu fallen, als hoch. Sicherheitsvorfälle sind schon längst keine Ausnahme mehr, sondern werden immer mehr zur Normalität.

Grafik, die aufzeigt, dass 90 % der Datenschutzverstöße 2024 auf menschliches Versagen zurückzuführen sein werden.

In einer Zeit, in der Cyberangriffe geradezu explodieren, besteht ein immer größerer Teil der Belegschaften aus „Digital Natives“, also Menschen, die mit dem Internet aufgewachsen und in der Online-Welt zu Hause sind. Eine Frage drängt sich auf: Wie kann es sein, dass immer noch so viele Menschen auf Cyberbetrug hereinfallen?

Cyberkriminelle nehmen mit modernsten KI-Tools den Faktor Mensch ins Visier

Die Antwort auf die oben gestellte Frage lässt sich größtenteils damit beantworten, dass ein Cyberangriff heute oft völlig anders aussieht als die Angriffe vor fünf Jahren, zwei Jahren oder sogar vor einem Jahr. Cyberkriminelle und andere böswillige Akteure haben längst erkannt, dass der Faktor Mensch ein einfacher Zugangspunkt in unsere Systeme ist, mit dem sich technologische Schutzmaßnahmen umgehen lassen. Sie nutzen moderne Technologien als Katalysator, um die Effektivität ihrer Angriffsmaschen weiter zu steigern. Dieselben KI-basierten Tools und Large-Language-Modelle, die im Kundenservice und in der Produktentwicklung vielversprechende Möglichkeiten für die Zukunft bieten, missbrauchen sie, um erfundene Szenarien noch überzeugender zu machen – und um noch effektiver an sensible Daten zu gelangen. Tools wie WormGPT und FraudGPT verbreiten sich unaufhaltsam in versteckten Nachrichten und im Darkweb. So könnte beispielsweise eine mit WormGPT generierte E-Mail aussehen:

Ein Laptop-Bildschirm zeigt einen mit WormGPT generierten Entwurf einer Phishing-Mail für einen Business Email Compromise-Angriff (BEC), in der der vermeintliche CEO des Unternehmens einen Account Manager auffordert, eine dringende Rechnung zu begleichen.

Generative KI-Tools helfen Cyberkriminellen, Phishing-Mails bis zu 40 Prozent schneller zu verfassen. Und diese E-Mails sind zudem erschreckend überzeugend und effektiv. Bei SoSafe erstellten wir E-Mails für Angriffssimulationen, die 78 Prozent der Mitarbeitenden öffneten, wobei 65 Prozent persönliche Daten preisgaben und 21 Prozent auf schädliche Links oder Anhänge klickten.

Hinzu kommt, dass Scammer heute branchen- und unternehmensspezifische Informationen in ihre Mails mit einfließen lassen und außerdem grammatikalisch korrekte, gut formatierte Nachrichten erzeugen können. Die bisher offensichtlichen Anzeichen einer Betrugsmail – wie falsche Schriftarten, seltsame Satzkonstruktionen oder verdächtige Dateiformate – fallen bei modernen Phishingangriffen als zuverlässige Warnsignale weg. Doch noch beunruhigender ist, dass dank der Macht der KI jeder Angriff so weit personalisiert werden kann, dass er sogar Themen und Inhalte aufgreift, die den Interessen der jeweiligen Zielperson entsprechen. Die Ära groß angelegter, personalisierter Spear-Phishing-Angriffe hat begonnen.

Zitat von Ralf Schneider, Allianz Senior Fellow and Head of Cyber Security and NextGenIT Think Tank, in dem er betont, dass Cyberkriminelle immer weniger Skills brauchen, um effektive Angriffe auszuführen.

Technologie-Tools spielen bei unserer Verteidigung eine wichtige Rolle, aber sie allein reichen nicht aus. Wenn sich professionelle Hacker zusammentun, ist es nur eine Frage der Zeit, bis sie praktisch jede technologische Schutzmaßnahme durchbrechen. Doch das nimmt Zeit in Anspruch, ist mühsam und erfordert wahrscheinlich auch das Entwickeln neuer Methoden und Zero-Day-Schwachstellen voraus. Für Angreifende ist es folglich viel einfacher, gezielt User mit den nötigen Zugriffsrechten ins Visier zu nehmen.

Die Endnutzer sind zur häufigsten „Angriffsfläche“ geworden. Sie sind das einfachste Zugangstor für Angreifende zu unseren Systemen, Daten und Ressourcen. Dabei haben die Mitarbeitenden oft nur die besten Absichten, wie Kundenanfragen effizient zu beantworten oder in einer Notlage auszuhelfen. Das beste Beispiel dafür ist der Angriff auf den Softwareentwickler Retool. Nachdem die Angreifenden mittels Smishing die Zugangsdaten eines IT-Mitarbeiters erbeutet hatten, fälschten sie mit der Hilfe von KI und Deepfake-Technologie dessen Stimme, um die MFA zu umgehen. Auf diese Weise verschafften sie sich Zugriff auf mehr als 27 Kundenkonten aus der Krypto-Branche. Die Folge: Viele Kunden verloren Kryptowährung im Millionenwert, darunter auch User wie der Fortress Trust, der 15 Millionen US-Dollar einbüßte.

Ablauf des Cyberangriffs auf Retool.

Dieses Beispiel veranschaulicht drastisch, was gemeint ist, wenn wir in der Cybersicherheit vom „Faktor Mensch“ sprechen.  Der Mensch steht immer an vorderster Front. Genau aus diesem Grund müssen wir beginnen, ihn als wichtigstes Glied der Verteidigungslinie und nicht als die größte Schwachstelle zu betrachten.

Die Lösung: Von Awareness-Training zu sicheren Gewohnheiten

Wissen spielt beim Managen menschlicher Sicherheitsrisiken eine wichtige Rolle.  Der erste Schritt besteht darin, das Bewusstsein dafür zu schärfen, dass Cyberkriminelle es auf wertvolle Unternehmensdaten und -ressourcen abgesehen haben. Compliance-Frameworks berücksichtigen den menschlichen Aspekt schon seit Längerem und stellen Sicherheitsverantwortliche vor eine Reihe von Anforderungen in Bezug auf den Faktor Mensch. Das Erfüllen von Compliance-Anforderungen reicht jedoch nicht aus, da diese Frameworks lediglich auf die Übermittlung allgemeiner Best Practices fokussiert sind – nicht auf die nachhaltige Anpassung von Verhalten. Traditionelle Trainingsprogramme gehen nicht über die Wissensvermittlung hinaus. Doch nur die vorgeschriebenen Awareness-Maßnahmen umzusetzen ist nicht genug. Wenn wir Mitarbeitenden nicht die nötigen Tools an die Hand geben, können sie nicht aktiv zur Verteidigung der Organisation beitragen. Besonders beunruhigend: Eine aktuelle NIST-Studie zeigt, dass 56 Prozent der Sicherheitsbeauftragten Compliance immer noch als wichtigsten Erfolgsindikator für ihre SA&T-Programme betrachten. Gleichzeitig erkannten sie jedoch auch an, dass die Compliance keine Rückschlüsse auf den Erfolg in Bezug auf Verhaltensänderungen und persönliche Einstellungen zulässt.

Cyber Security Training kann extrem eintönig sein – mit endlosen Folien, auf die der User alle 20 oder 30 Sekunden klicken muss, damit seine Teilnahme anerkannt wird, und sinnlosen Tests mit viel zu offensichtlichen Antworten. Solche Programme gehören der Vergangenheit an. Heute müssen Unternehmen ihre Teams über die Awareness-Ebene hinaus befähigen, um sich gegen die komplexe Cyber-Bedrohungslage zu schützen.

Sie benötigen Programme, die in der Lage sind, die individuellen menschlichen Risiken einer Organisation zu erkennen und zu priorisieren und einen Aktionsplan zu ihrer Reduzierung aufzustellen. Das fördert die Entwicklung und Verbreitung sicherer Gewohnheiten, sodass jeder Einzelne Bedrohungen zuverlässig erkennen und selbstbewusst darauf reagieren kann. Die Programme müssen menschliche Sicherheitsrisiken in ihrer Gesamtheit berücksichtigen und die nachhaltige Verhaltensanpassungen fördern, um diese Risiken effektiv zu reduzieren. Dabei ist es wichtig, menschliche Verhaltensweisen in seiner Gesamtheit zu betrachten, einschließlich kultureller Einflüsse, Motivationsfaktoren, Denkweisen, des individuellen Kontextes und emotionaler Reaktionen. Der Fokus muss auf den verhaltenspsychologischen Prinzipien liegen, die unser Verhalten im digitalen Raum beeinflussen, und es werden Kommunikationstools benötigt, die uns unterstützen, unabhängig davon, zu welchen Formaten und Technologien wir in Zukunft wechseln.

Zitat von Andrew Rose: „Security Awareness und Training bilden das Fundament, sind aber nicht genug. Wir müssen einen Schritt weitergehen und alle Risiken, die mit menschlichem Verhalten in Verbindung stehen, aktiv überwachen und managen.“

Trainingsprogramme müssen motivieren.  Natürlich ist es wichtig, Informationen zu vermitteln, aber in erster Linie geht es darum, die Lernenden in die Lage zu versetzen, das Gelernte in der Praxis anzuwenden, sichere Gewohnheiten zu entwickeln und ein Bewusstsein für die Bedeutung der Cybersicherheit zu schaffen. Die gute Nachricht ist, dass wir dabei von bewährten verhaltenspsychologischen Ansätzen profitieren können, die uns in der Praxis hin zu einem Multi-Channel-Ansatz und kontextbasierten Lernerfahrungen führen. Behavioral-Change-Programme vermitteln Wissen in kleinen, leicht verdaulichen Lerneinheiten und nutzen dabei Strategien wie Gamification, Micro-Learning, kontinuierliche Lerninhalte, interaktive Komponenten, kontextuelles Nudging und Storytelling. Im Vordergrund steht die positive Verstärkung von Lernerfolgen statt Lernen durch Angst.

Verhaltensbasiertes Human Risk Management ist der einzige Weg, überlastete Security-Teams zu unterstützen

Unternehmen, die jetzt nicht reagieren, riskieren, dass der Druck auf ihre Sicherheitsexperten immer weiter ansteigt. Burnout in Sicherheitsteams nimmt weiter zu. 66 Prozent der Sicherheitsbeauftragten in den USA und Europa berichteten von extremem Arbeitsstress, während es weltweit 3,9 Millionen unbesetzte Positionen im Bereich Cybersicherheit gibt. Sicherheitsbeauftragte brauchen Unterstützung von außen, um ihre Aufgabe zu erfüllen. Cyber Security muss zur Verantwortung aller werden – und die einzelnen Personen zu den wahren Cyber-Heroes, die für die Sicherheit der Unternehmen sorgen. Ihr wachsames Auge für Bedrohungen macht sie zum wichtigsten Verbündeten und anpassungsfähigsten Teil unserer Verteidigungsstrategie zur aktiven Risikominimierung.

Zitat von Stéphane Duguin, das besagt: „Das zugrunde liegende Problem, das wir derzeit in der Cyber-Security-Industrie überall beobachten können: Burnout. Wir haben zu viele Daten, zu viele Fälle, aber nicht genug Zeit.“

Am einfachsten lässt sich die Transformation, die in Unternehmen stattfinden muss, anhand eines altbekannten Sprichworts veranschaulichen: „Gib einem Mann einen Fisch, und du ernährst ihn für einen Tag; lehre ihn zu fischen, und er hat Nahrung für ein ganzes Leben. “ Der einzelne Fisch steht dabei für die technologischen Schutzmaßnahmen. Sie können zwar einen Angriff abwehren, lösen aber nicht das zugrundeliegende Problem. Nur indem Organisationen ihre Mitarbeitenden durch ein ganzheitliches Human Risk Management-Programm aktiv befähigen, können sie Resilienz aufbauen und Cyberrisken langfristig reduzieren.

Wie hilft Ihnen SoSafe, Ihre menschlichen Risiken zu minimieren?

SoSafe ist die führende Human Risk Management-Plattform. Durch ihr verhaltenspsychologisches Fundament stellt sie sicher, dass sicheres Verhalten zur Intuition wird. Wir sind überzeugt, dass Menschen von Natur aus das Richtige tun wollen, dabei manchmal jedoch Unterstützung benötigen. Im Angesicht KI-getriebener Cybercrime-Innovationen ist das wichtiger denn je. Deshalb liegt unser Fokus auf dem Aufbau von Sicherheitskulturen, die die digitale Selbstverteidigung ganzheitlich stärken und Mitarbeitende befähigen, effektiv zur Minimierung menschlicher Risiken beizutragen.

Mit diesem Ziel fokussiert sich SoSafe auf verschiedene Schlüsselbereiche: E-Learning mit Gamification- und Storytelling-Elementen, personalisierte Lernerfahrungen – wie Phishing-Simulationen mit detaillierten Lernseiten –  und ein kontinuierlicher Support, der das Training noch effektiver macht. Unser Phishing-Meldebutton ermöglicht Mitarbeitenden, Erlerntes in der Praxis anzuwenden und aktiv zum Schutz des gesamten Unternehmens beizutragen. Doch es geht noch weiter: Dank unseres KI-basierten Chatbot Sofie können Sie Ihre Mitarbeitenden schnell und einfach in Ihren Kollaborationstools erreichen. Aktivieren Sie Rapid-Micro-Learning und halten Sie mit Cyberbedrohungen Schritt, schicken Sie Ihren Teams Alerts zu den neuesten Angriffsmaschen und machen Sie sie so zu Ihrer stärksten Verteidigungslinie.

Darüber hinaus ermöglicht Ihnen unser Risk Scoring und Culture Automation-Dashboard, eigene sowie Drittdaten einzuspeisen, Aktivitäts- und Risikometriken zu verfolgen, menschliche Sicherheitsrisiken zu bewerten, Schwachstellen zu identifizieren und datenbasierte Entscheidungen zu treffen – alles an einem zentralen Ort.

Infografik der wichtigsten Features von SoSafe zum Aufbau einer starken Sicherheitskultur: Teach, Transfer, Act und Connect.

Das könnte Sie auch interessieren:

Bleiben Sie Cyberkriminellen immer einen Schritt voraus

Melden Sie sich für unseren Newsletter an, um die neuesten Beiträge zum Thema Informationssicherheit sowie News zu Events und Security-Ressourcen zu erhalten.
Immer up-to-date – immer sicher!

Newsletter visual

Demo anfragen

Erfahren Sie, wie unsere Plattform Ihrem Team dabei hilft, Cybergefahren kontinuierlich abzuwehren und Ihre Organisation abzusichern. Vereinbaren Sie jetzt eine Produktdemo und wir melden uns zeitnah bei Ihnen.