Den menschlichen Faktor in InfoSec steuern: Ein ganzheitlicher Ansatz für GRC und Risikomanagement

Wenn Sie glauben, dass Technologie Ihre Sicherheitsprobleme lösen kann, dann verstehen Sie die Probleme nicht und Sie verstehen die Technologie nicht.

Dieser Spruch ist seit Jahrzehnten das Mantra des InfoSec Ökosystems. Da Risikomanagement, Governance und Compliance immer komplexer werden, bleibt der „menschliche Faktor“ ein kritischer und oft unterschätzter Teil des Puzzles.

Wahrscheinlich müssen Sie nur einen Blick auf Ihr eigenes Unternehmen werfen, um zu erkennen, dass die Nuancen der Zugriffsrechte, die Bedenken hinsichtlich der Einhaltung von Vorschriften und die inhärente Sensibilität der Mitarbeiter hinsichtlich ihres Platzes im neuen digitalen Ökosystem zu einem internen Kontrollsystem führen können, bei dem die Menschen sowohl das schwächste als auch das stärkste Glied sein können.

In diesem Artikel gehen wir auf die „4 P’s des Risikomanagements“ ein und befassen uns mit den Herausforderungen, die das menschliche Element mit sich bringt. Wir sprechen über die Rolle von Governance, Risk und Compliance (GRC) bei der Verbesserung der Sicherheit und zeigen auf, wie Sie Risiken nachhaltig reduzieren können, indem Sie diese „menschlichen Faktoren“ berücksichtigen.

Die 4 P’s des Risikomanagements

Das Risikomanagement umfasst Menschen, Orte, Prozesse und vorausschauende Maßnahmen. Während Technologie und Prozesse eine zentrale Rolle spielen, ist es das menschliche Element, das oft zum schwächsten Glied in der Sicherheitskette wird. Die Angst der Mitarbeiter, dass ihnen der Zugang zu Informationen verwehrt wird oder sie sich aufgrund unterschiedlicher Zugriffsrechte ausgeschlossen fühlen, kann zu Schwachstellen führen. Ein umfassender und wirksamer Ansatz für das Risikomanagement muss daher die Feinheiten des menschlichen Verhaltens am Arbeitsplatz berücksichtigen.

Der zufällige Insider

Viele Untersuchungen deuten darauf hin, dass Menschen einen wesentlichen Beitrag zu Sicherheitsverletzungen und Betrug in Unternehmen leisten.

Eine Studie von Jeff Hancock, Professor an der Stanford University, und dem Sicherheitsunternehmen Tessian aus dem Jahr 2022 zeigt, dass satte 88 % der Datenschutzverletzungen auf Fehler von Mitarbeitern zurückzuführen sind. Und der IBM Cyber Security Intelligence Index 2023 beziffert diese Zahl sogar noch höher, nämlich auf schwindelerregende 95 %.

Diese Statistiken unterstreichen die Notwendigkeit für Unternehmen, die menschlichen Risikofaktoren in ihren Cybersicherheitssystemen zu verstehen, so dass sie Maßnahmen ergreifen können, um diese Risiken durch zusätzliche Schulungen, Aufsicht oder Eingriffe mit Hilfe von GRC-Tools und -Software zu mindern.

Schauen wir uns also einige der wichtigsten Schwachstellen an.

Social Engineering: Das Hacken menschlicher Emotionen

Im Mittelpunkt des Social-Engineering-Betrugs steht die Manipulation von Personen, damit diese vertrauliche Informationen preisgeben. Im Gegensatz zu herkömmlichen Hacking-Methoden, bei denen digitale Systeme gezielt angegriffen und gewaltsam „geknackt“ werden, werden bei Social-Engineering-Betrug menschliche Emotionen ausgenutzt – Vertrauen, Angst, Gier und der Wunsch nach dringendem Handeln. Die Auswirkungen sind nach wie vor beträchtlich: Etwa 6 von 10 Sicherheitsverletzungen in Europa, dem Nahen Osten und Afrika gehen auf Social Engineering-Betrug zurück.

Die häufigsten Arten von Social-Engineering-Betrug, auf die Sie achten sollten, sind:

• Nachahmung: Vorgeben, eine andere, in der Regel vertrauenswürdige Person zu sein, um die Opfer über verschiedene Kanäle zu täuschen und auszubeuten.
• Phishing: Versenden von gefälschten E-Mails oder Nachrichten, um an sensible Informationen zu gelangen oder die Opfer dazu zu bringen, auf schädliche Links zu klicken.
• Spear-Phishing: Phishing bestimmter Personen oder Organisationen mit personalisierten und recherchierten Nachrichten.
• Köder: Das Anbieten von etwas Attraktivem, z. B. einem kostenlosen Download, um heimlich persönliche Informationen oder Systemzugriff zu erhalten.
• Spoofing: Verändern von Informationen oder Daten, um die wahre Quelle zu verbergen und die Kommunikation legitim erscheinen zu lassen.

Die Fortschritte in der KI-Technologie fügen dem Problem noch eine weitere, raffiniertere Ebene hinzu, da die Betrüger jetzt äußerst realistische Sprach- und sogar Videoklone erstellen können. Alles, was sie bräuchten, um Ihren CFO in einem Team-Anruf überzeugend zu imitieren, wären ein paar Minuten Video von einer kürzlich gehaltenen Grundsatzrede. Weitere Informationen zu diesem Thema finden Sie in diesem Artikel, in dem einige der Methoden beschrieben werden, mit denen Betrüger die künstliche Intelligenz einsetzen, sowie die Methoden der psychologischen Manipulation, die ihnen zum Erfolg verhelfen. Dazu gehören:

• Ausnutzung von Vertrauen und Autorität – Betrüger geben sich als vertrauenswürdige Kontakte oder Autoritätspersonen aus, um die Opfer zum Einlenken zu zwingen.
• Dringlichkeits- und Angsttaktik: Die Opfer werden in ein vorgetäuschtes Szenario hineingezogen, das starke Emotionen hervorruft, wie z. B. einen möglichen finanziellen Verlust oder Ärger mit dem Gesetz.
• Psychologische Manipulation durch NLP (Natural Language Programming) und frei verfügbare generative KI-Tools ermöglichen es Betrügern, maßgeschneiderte Nachrichten zu verfassen, die „von vornherein“ sehr überzeugend sind.

Zugang verweigert, oder nicht

Zugriffsrechte sind ein weiterer Punkt, der beim Risikomanagement beachtet werden muss. Dabei handelt es sich um die Berechtigungen oder Privilegien, die Benutzer haben, um auf Informationen und Ressourcen in einem System oder Netzwerk zuzugreifen, sie zu ändern oder zu löschen. Sie sind entscheidend für die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und der zugrunde liegenden Infrastruktur.

Zugriffsrechte stellen jedoch auch ein erhebliches Risiko für menschliches Versagen, Fahrlässigkeit oder böswillige Absichten dar, die die Sicherheit von Informationen und Systemen gefährden können. Einige der üblichen menschlichen Faktoren, die zu Verstößen gegen die Zugriffsrechte führen können, sind:

• Mangelndes Bewusstsein oder mangelnde Schulung: Die Benutzer kennen möglicherweise nicht die Sicherheitsrichtlinien und -verfahren, die ihre Zugriffsrechte regeln, oder sie werden nicht ausreichend darin geschult, wie sie diese ordnungsgemäß und sicher nutzen können. Dies kann zu unbeabsichtigten Fehlern führen, wie z. B. der Verwendung schwacher Passwörter, der Weitergabe von Anmeldedaten, dem Klicken auf Phishing-Links oder dem Herunterladen bösartiger Anhänge.
• Mangelnde Einhaltung oder Durchsetzung: Es kann vorkommen, dass Nutzer die Sicherheitsrichtlinien und -verfahren, die ihre Zugriffsrechte regeln, nicht einhalten oder dass sie bei Verstößen gegen diese Richtlinien keine Konsequenzen zu befürchten haben. Dies kann zu beabsichtigtem oder unbeabsichtigtem Missbrauch führen, z. B. zum Zugriff auf unbefugte oder sensible Informationen, zur Änderung oder Löschung von Daten oder zur Gewährung von Zugang für andere ohne Genehmigung.

Fehlende Überwachung oder Prüfung: Es kann sein, dass die Nutzer nicht überwacht oder auf ihre Zugriffsrechte hin überprüft werden oder dass sie nicht für ihre Handlungen zur Rechenschaft gezogen werden. Dies kann zu unentdeckten oder nicht gemeldeten Verstößen wie Datenlecks, Diebstahl oder Sabotage oder zu Insider-Angriffen wie Spionage, Betrug oder Sabotage führen.

Diese Faktoren können durch eine Kombination von technischen, organisatorischen und pädagogischen Maßnahmen angegangen werden, die Verletzungen der Zugangsrechte verhindern, aufdecken und darauf reagieren sowie die Menschenrechte von Nutzern und anderen von Cybersicherheitsvorfällen Betroffenen schützen können.

Compliance durch Komplizenschaft

Compliance durch Komplizenschaft ist ein Risikoelement, das schwer zu erkennen sein kann, da es die Auslagerung kritischer Aufgaben mit sensiblen Informationen an Dritte beschreibt, die möglicherweise nicht das gleiche Maß an Verantwortlichkeit, Transparenz oder ethischen Standards haben wie Ihr Unternehmen. Die Verwendung von öffentlichen KI-Tools wie ChatGPT erhöht dieses Risiko noch, da Arbeitnehmer sensible Texte auf den Plattformen eingeben, die dann Teil der verfügbaren Trainingsdaten des Large Language Model werden. Samsung ist das jüngste in einer langen Reihe von internationalen Unternehmen, die ihren Mitarbeitern die Nutzung dieser Tools am Arbeitsplatz verbieten.

Das Problem des Betrugs

Natürlich tun Menschen nicht nur aus Versehen schlechte Dinge. Bei der Entwicklung eines ganzheitlichen GRC-Ansatzes muss das Betrugsrisiko berücksichtigt werden. Die Bekämpfung der Umweltfaktoren, die nachweislich die Wahrscheinlichkeit erhöhen, dass eine Person Betrug begeht, ist ein guter Ansatzpunkt. Einige dieser Faktoren sind:

• wenn sie glauben, dass sie nicht erwischt oder bestraft werden
• wenn sie unter Druck stehen, um Leistungsziele oder Fristen einzuhalten
• wenn sie Zugang zu sensiblen oder vertraulichen Informationen oder Vermögenswerten haben
• wenn sie einen Mangel an Fairness oder Transparenz in der Organisation wahrnehmen
• wenn sie von Gleichaltrigen oder externen Parteien, die in Betrug verwickelt sind, beeinflusst werden

Das „Menschenproblem“ ist in diesem Zusammenhang nicht auf eine bestimmte Untergruppe von Mitarbeitern innerhalb der Unternehmenshierarchie beschränkt. Nach Angaben der Association of Certified Fraud Examiners (ACFE) macht das Management mit 39 % der Fälle und einem durchschnittlichen Schaden von 125 000 $ den größten Anteil der Betrugsfälle aus. Angestellte hingegen begehen 37 % der Betrugsfälle, was zu einem durchschnittlichen Verlust von 50.000 Dollar führt.

Die 2020 Global Fraud Study der Association of Certified Fraud Examiners (ACFE) hat ergeben, dass ein typisches Unternehmen 5 % seines Jahresumsatzes durch Betrug verliert, was einem potenziellen weltweiten Verlust von fast 3 Billionen US-Dollar entspricht. Diese Zahl spiegelt jedoch möglicherweise nicht die Auswirkungen der COVID-19-Pandemie und die daraus resultierenden neuen Betrugstrends wider.

Risiko nach einer Pandemie

Die Zukunftsprognosen für Betrug durch Angestellte sind nicht sehr optimistisch, denn es wird erwartet, dass die Betrüger die durch die COVID-19-Pandemie verursachten wirtschaftlichen und sozialen Herausforderungen und die daraus resultierenden Veränderungen im Verbraucher- und Geschäftsverhalten ausnutzen werden. Einige der sich abzeichnenden Betrugstrends, die 2024 zu beachten sind, sind:

• Gefälschte SMS vom Chef: Betrüger geben sich als Arbeitgeber oder Manager aus und senden Textnachrichten an Angestellte, in denen sie diese auffordern, Geschenkkarten zu kaufen oder Zahlungen in ihrem Namen zu leisten.
• Frankenstein-Käufer und Social-Media-Shopping-Betrug: Betrüger verwenden synthetische Identitäten oder gestohlene Anmeldedaten, um gefälschte Online-Käuferprofile zu erstellen und betrügerische Einkäufe auf E-Commerce-Plattformen oder Social-Media-Seiten zu tätigen.
• Betrug mit autorisierten Push-Zahlungen (APP): Betrüger verwenden verschiedene Social-Engineering-Techniken wie Phishing, Vishing oder Spoofing, um Opfer dazu zu bringen, Geld oder persönliche Daten an betrügerische Konten oder Plattformen zu senden.

Aufbau eines robusten Rahmens für Governance, Risiko und Compliance

Aber wir können nicht die ganze Verantwortung für das Versagen der Cybersicherheit auf die Schultern der Menschen legen, die die Technologie nutzen. Ja, die Menschen sollten für die Risiken sensibilisiert und zusätzlich geschult werden, damit sie Probleme vermeiden können. Aber man kann nicht von allen Mitarbeitern erwarten, dass sie Experten für Cybersicherheit sind, so wie man auch keinen Pilotenschein braucht, um mit dem Flugzeug zu fliegen.

Der renommierte Sicherheitsexperte Bruce Schneider hat gesagt: „Eine Menge Benutzerschulung verdeckt ein schlechtes Sicherheitsdesign„.

In einem Beitrag auf ResearchGate wird die kritische Rolle menschlicher Faktoren in Informationssicherheitssystemen hervorgehoben und ein Rahmen für das Verständnis und die Bewältigung des „Menschenproblems“ im Zusammenhang mit der Sicherheit vorgeschlagen. Die Autoren argumentieren, dass trotz fortschrittlicher technischer Lösungen die menschlichen Faktoren die Achillesferse der Informationssicherheit bleiben. Sie plädieren für einen kooperativen Ansatz mit Unternehmen oder Organisationen, um Fallstudien zu sammeln, die wertvolle Einblicke in die Dynamik des menschlichen Verhaltens und seine Auswirkungen auf die Sicherheit liefern.

GRC und seine Rolle bei der Sicherheit

Governance, Risiko und Compliance (GRC) spielen eine zentrale Rolle bei der Stärkung der Informationssicherheit gegen menschenbezogene Risiken. GRC umfasst einen strategischen Rahmen, der Governance-, Risikomanagement- und Compliance-Aktivitäten integriert. Dieser ganzheitliche Ansatz stellt sicher, dass Unternehmen nicht nur die Vorschriften einhalten, sondern auch ihre Strategien auf die allgemeinen Geschäftsziele abstimmen. GRC dient als Leitfaden für die Einrichtung interner Kontrollsysteme, die die mit dem Faktor Mensch verbundenen Risiken mindern.

Die Überschneidung von Informationstechnologie (IT) und GRC führt zu IT GRC, bei dem es um das Management von IT-bezogenen Risiken innerhalb des breiteren GRC-Rahmens geht. IT-GRC stellt sicher, dass die Technologie mit den Geschäftszielen übereinstimmt, die Vorschriften einhält und die Risiken im Zusammenhang mit menschlichen Faktoren bei der Informationssicherheit wirksam verwaltet. Durch die Integration der IT in GRC können Unternehmen eine nahtlose Abstimmung von Technologie, Governance und Risikomanagement erreichen.

GRC-Werkzeuge und -Software: Umfassende Sicherheit ermöglichen

Um das menschliche Element in der Informationssicherheit effektiv zu verwalten, können Unternehmen GRC-Tools und -Software einsetzen. Diese Tools automatisieren und rationalisieren GRC-Prozesse und bieten eine zentrale Plattform für die Überwachung und Bewertung von Risiken und die Reaktion darauf. GRC-Tools enthalten Funktionen, mit denen Unternehmen die Einhaltung von Vorschriften verfolgen, Schwachstellen bewerten und Vorfälle im Zusammenhang mit dem Faktor Mensch verwalten können. Die Implementierung von GRC-Tools und -Software ist entscheidend für die Aufrechterhaltung proaktiver Sicherheitsmaßnahmen angesichts der sich entwickelnden Bedrohungen.

Wichtige Erkenntnisse und Zukunftsperspektiven

• Der Faktor Mensch ist ein grundlegender Aspekt der Informationssicherheit, der die Zugriffsrechte, die Einhaltung von Vorschriften und das Risikomanagement beeinflusst.
• Mitarbeiterfehler und Social-Engineering-Betrug tragen erheblich zu Datenschutzverletzungen bei, was die Notwendigkeit robuster Schulungs- und Überwachungsprogramme unterstreicht.
• Ein ganzheitlicher Ansatz für das Risikomanagement sollte sich auch auf das Verständnis und die Berücksichtigung menschlicher Faktoren konzentrieren.
• GRC, einschließlich GRC-Sicherheit und Cybersicherheit, spielt eine entscheidende Rolle bei der Stärkung der Informationssicherheit gegen menschenbezogene Risiken.
• IT GRC integriert die Informationstechnologie in den breiteren GRC-Rahmen und sorgt für eine nahtlose Abstimmung von Technologie, Governance und Risikomanagement.
• GRC-Tools und -Software ermöglichen es Unternehmen, die menschliche Komponente der Informationssicherheit umfassend zu verwalten.

Man kann mit Fug und Recht behaupten, dass die Navigation durch die Feinheiten der Cybersicherheit nicht einfacher werden wird. Es ist daher von entscheidender Bedeutung, die zentrale Rolle des „menschlichen Faktors“ zu erkennen. Indem sie die Komplexität menschlichen Verhaltens anerkennen, verstehen und berücksichtigen, können Unternehmen robuste Rahmenbedingungen schaffen, die die Sicherheit verbessern, Risiken verringern und eine Kultur des Bewusstseins und der Verantwortung fördern. Schließlich ist der Mensch in der sich ständig weiterentwickelnden Landschaft des digitalen Geschäftslebens sowohl das schwächste als auch das stärkste Glied.

Wissen Sie, wie es in Ihrem Unternehmen mit der Umsetzung des Internen Kontrollsystems aussieht und welche Faktoren dabei zentral sind?

Sprechen Sie mit uns darüber: Wir sind langjährige, praxiserprobte Experten nicht nur für die Konzeption, sondern auch für die Umsetzung.

Ich freue mich auf Ihre Kontaktaufnahme

Priska Altorfer, Managing Partner wikima4 AG