Wir stellen unser neuestes Thema zur Cybersicherheit vor: Layer 8 – Der menschliche Faktor
![](https://www.wisdomtree.eu/-/media/eu-media-files/blog/refresh-images/technology/artificial-intelligence/istock-1150209335.jpg?h=564&iar=0&w=1151&sc_lang=de-at&hash=17A9DF0450C5339151A3F5F8176D6B26)
Allein im Jahr 2022 gab es eine wachsende Anzahl aufsehenerregender Cyberangriffe, die das „schwächste Glied“ in der Sicherheitsverteidigung eines jeden Unternehmens wirksam einsetzen: den menschlichen Faktor. Die Ausnutzung von Menschen ist keine neue Strategie für Angreifer im Bereich der Cybersicherheit, aber sie wird immer schlimmer. Denn wir stellen fest, dass Tools und Taktiken in einer Weise eingesetzt werden, die viel effektiver ist.
Was ein jugendlicher Hacker vor zehn Jahren zum Vergnügen tat, hat heute das Potenzial, Städte in den Abgrund zu stürzen. Außerdem war das, was ein Angreifer tun konnte, indem er jemanden in seinem persönlichen Bereich (Smartphone, Tablet usw.) hackte, bisher sehr weit von der Unternehmenswelt entfernt. Aber mit all dem, was in den letzten zwei Jahren mit COVID-19 und der Telearbeit geschehen ist, ist die Trennung zwischen persönlichem Raum und Unternehmensraum aufgehoben worden. Wenn Sie also in Ihrem persönlichen Umfeld angegriffen werden, besteht ein viel größeres Potenzial, auf Ihr Unternehmen überzugreifen.
Dies ist vor allem auf drei Faktoren zurückzuführen: eine breitere Verfügbarkeit von Tools, neue Angriffsvektoren und ermutigte Angreifer. Zum Beispiel:
- Breitere Verfügbarkeit von Tools – Tools, die vor fünf Jahren nur Nationalstaaten zur Verfügung standen, sind jetzt für kriminelle Banden verfügbar, und Tools, die nur kriminellen Banden zur Verfügung standen, sind jetzt für Amateure verfügbar. Mit der Verlagerung der Werkzeuge auf den unteren Markt gibt es eine breitere Verfügbarkeit und eine Reihe neuer Akteure. Mehr gefährliche Werkzeuge und „staatliche Spielregeln“ für weniger qualifizierte oder disziplinierte Personen schaffen ein rücksichtsloses, gefährliches Umfeld.
- Neue Angriffsvektoren – Aufgrund der Digitalisierung und des Trends zur Telearbeit kommt es zu einer beschleunigten Überschneidung zwischen dem Unternehmensleben und den privaten Geräten der Mitarbeiter und umgekehrt. Angreifer machen sich die Tatsache zunutze, dass es keine Trennung zwischen diesen beiden Persönlichkeiten mehr gibt, und greifen eine Person zu Hause an, wo sie nicht über dieselben Verteidigungssysteme verfügt wie in einer Unternehmensumgebung. Ein aktuelles Beispiel dafür war der Vorfall bei Uber im September 2022, bei dem ein jugendlicher Hacker, der vermutlich ein Mitglied der Hackergruppe Lapsus$ ist, die fast vollständige administrative Kontrolle über die Computersysteme des Unternehmens erlangte, einschließlich des Software-Quellcodes und der internen Nachrichtensysteme. Der Angreifer verschaffte sich Zugang, indem er das persönliche Gerät des Auftragnehmers mit einer mehrstufigen Authentifizierungsaufforderung (MFA) bombardierte, bis dieser keine andere Wahl hatte, als sie zu akzeptieren, und sich sogar als Mitglied der IT-Abteilung von Uber ausgab, um sie durch einen Trick dazu zu bringen, ihrer Authentifizierungsdaten preiszugeben. Der Hacker loggte sich dann in das Unternehmens-VPN ein und wanderte durch das Netzwerk auf der Suche nach Zielen1.
- Ermutigte Angreifer - Die Dreistigkeit der heutigen Bedrohungsakteure und ihre ermutigenden Social-Engineering-Versuche nehmen spürbar zu, z. B. durch das Angebot, die Mitarbeiter des Unternehmens, seiner Lieferanten und Geschäftspartner der Zielorganisationen für den Zugang zu Anmeldeinformationen und die Genehmigung der mehrstufigen Authentifizierung (MFA) zu bezahlen. Außerdem verkünden die Angreifer ihre Taten schnell in den sozialen Medien und mischen sich sogar in den internen Prozess für die Reaktion auf Vorfälle bei ihren Zielen ein, was den Druck auf das Opfer erhöht und den Angreifern mehr Einfluss verschafft.
Es ist auch erwähnenswert, dass angesichts des aktuellen makroökonomischen Umfelds und des Potenzials für Massenentlassungen (z. B. Twitter, das die Hälfte seiner Mitarbeiter entlassen hat2, Meta, das 11.000 Mitarbeiter entlassen hat3, und Amazon, das 10.000 Mitarbeiter in Unternehmens- und Technologiebereichen entlassen hat4) die Bedrohung durch Insider zunimmt und Unternehmen einem höheren Risiko für Angriffe durch Insider ausgesetzt sein können. Eine weitere Auswirkung von COVID-19 besteht darin, dass viele Mitarbeiter eingestellt werden, ohne jemals einen Mitarbeiter des Unternehmens persönlich kennen gelernt zu haben. Das bedeutet, dass es für jemanden, der böse Absichten hat, viel leichter ist, Unternehmen zu infiltrieren, indem er einfach Mitarbeiter dort platziert. Laut dem Ponemon 2022 Cost of Insider Threats Global Report haben die Vorfälle mit Insider-Bedrohungen in den letzten zwei Jahren um 44 Prozent zugenommen, wobei die Kosten pro Vorfall um mehr als ein Drittel auf 15,38 Millionen USD gestiegen sind5.
Als Reaktion auf die oben genannten Bedrohungen und Risiken entstehen eine Reihe von Lösungen, die sich auf diese Probleme konzentrieren, einschließlich, aber nicht beschränkt auf:
- Anti-Phishing-Lösungen
- Verhinderung des Missbrauchs von Berechtigungsnachweisen
- Social Engineering und Lösungen zur Kompromittierung von Geschäfts-E-Mails
- Simulation von Vorfällen und andere Tools zur Verhinderung von Fehlkonfigurationen
- Bildungs-, Schulungs- und Sensibilisierungslösungen für Cybersicherheitsexperten, Anwendungsentwickler und normale Benutzer
- Lösungen für Insider-Bedrohungen, einschließlich User Entity Behavior Analysis (UEBA) usw.
Aufgrund der zunehmenden Tendenz von Angriffen, die „menschliche Schwächen“ ausnutzen, und der wachsenden Zahl von ausgereiften Lösungen zu ihrer Bekämpfung haben wir beschlossen, ein neues Cybersicherheitsthema in unsere Liste aufzunehmen: Layer 8 – Der menschliche Faktor.
Der Begriff Layer 8 bezieht sich auf die „Anwenderebene“ über dem OSI- (Open Systems Interconnection)-Modell von Computernetzwerken, das aus 7 Schichten besteht.6 Das bedeutet, dass es eine Reihe von Sicherheitsvorkehrungen gibt, die überhaupt nicht im technologischen Bereich stattfinden - sie sind nur die menschlichen Kontrollprozesse, die die technologischen Komponenten des Systems umgeben oder in einigen Fällen in Abwesenheit davon funktionieren. Letztendlich haben Menschen eine Angriffsfläche, sie sind Teil des Systems, und deshalb muss die Sicherheit auf diese Angriffsfläche und auf Abhilfemaßnahmen achten, die in dieser Umgebung tatsächlich funktionieren.
Hinzu kommt, dass Menschen auf der menschlichen Ebene viel langsamer und weniger effizient arbeiten als Maschinen, was eine weitere Einschränkung für ihre technologische Verteidigung darstellt. Erschwerend kommt hinzu, dass diese angeborenen Einschränkungen des Menschen eine Angriffsfläche schaffen, die nur durch kompensierende Kontrollen ausgeglichen werden kann, d. h. man kann einen Menschen nicht patchen. Jede andere Schicht außer der physikalischen Schicht kann durch Patches gelöst werden.
Charles Blauner, CISO in Residence bei Team8 und ehemaliger Global Head of Information Security bei Citi, meint dazu: „Bei der Durchführung von Sicherheitsmaßnahmen sind immer auch Menschen beteiligt. Ganz gleich, wie viel Geld ein Unternehmen in Sicherheitskontrollen investiert, Menschen werden sie immer überwinden. Wir müssen uns quer durch alle Bereiche damit befassen, wie wir den Menschen aus der Gleichung herausnehmen. Menschen machen Fehlkonfigurationen, Menschen werden Opfer von Phishing, Menschen haben Excel-Tabellen mit all ihren Benutzernamen und Kennwörtern. Ein gutes rotes Team gewinnt immer, denn das Einzige, worauf es sich verlassen kann, ist menschliche Schwäche. In Layer 8 geht es darum, wie wir Menschen ausbilden, wie wir sie befähigen, wie wir sie überwachen oder wie wir sie in bestimmten Fällen aus dem Kreislauf herausnehmen.“
Auch wenn der menschliche Faktor ein interessantes, neues Thema ist, das wir offiziell zu verfolgen beginnen, war es für die Cybersicherheit im Allgemeinen ein arbeitsreiches Jahr, sei es im Hinblick auf die Geopolitik und den Russland-Ukraine-Krieg, die Deglobalisierung, die Professionalisierung von Ransomware und die Cyber-Innovation. So wie es jetzt aussieht, wird es auch im Jahr 2023 nicht anders sein. Bleiben Sie dran! Bald erscheint die vollständige aktualisierte Liste der Themen für das Jahr 2023, die das zukünftige Wachstum der Cybersicherheit vorantreiben, die Anfang 2023 veröffentlicht wird.
Team8-Veröffentlichung
Dieser Artikel – Layer 8 – Der menschliche Faktor - stellt die Meinung von Team8 Labs Inc. („Team8“) dar und dient nur zu Informationszwecken. Sie sollten eine von Team8 geäußerte Meinung nicht als konkreten Anreiz für eine Investition in ein bestimmtes Wertpapier betrachten, sondern lediglich als Ausdruck der Meinung von Team8. Die Aussagen und Meinungen von Team8 können ohne vorherige Ankündigung geändert werden. Team8 ist nicht als Anlageberater gemäß dem Investment Advisers Act von 1940 in seiner aktuellen Fassung (dem „Advisers Act“) registriert und beruft sich auf den „Ausschluss der Verleger“ von der Definition des Anlageberaters gemäß Abschnitt 202(a)(11) des Advisers Act. Die in diesem Artikel – Layer 8 – Der menschliche Faktor – enthaltenen Informationen berücksichtigen daher keine bestimmten Anlageziele, finanziellen Verhältnisse oder Bedürfnisse und sind nicht als persönliche Anlageberatung gedacht und sollten in keiner Weise als solche ausgelegt werden. Die Informationen in diesem Artikel - Layer 8 - Der menschliche Faktor - dienen ausschließlich zu Informations- und Diskussionszwecken und sind nicht als Empfehlung für eine Transaktion oder Investition oder als Finanz-, Steuer-, Anlage- oder sonstige Beratung jeglicher Art durch Team8 gedacht und dürfen auch nicht als solche angesehen oder ausgelegt werden. Sie sollten selbst entscheiden, ob Sie mit den in diesem Artikel – Layer 8 – Der menschliche Faktor – enthaltenen Informationen einverstanden sind. Bestimmte Wertpapiere, auf die in diesem Artikel – Layer 8 – Der menschliche Faktor – Bezug genommen wird, können derzeit oder von Zeit zu Zeit Bestandteil eines Index sein, der von WisdomTree Investments, Inc. unter Verwendung der von Team8 bereitgestellten Daten entwickelt und gepflegt wird und der gegen eine Gebühr an einen oder mehrere Investmentfonds lizenziert wurde oder wird. Darüber hinaus können bestimmte leitende Angestellte oder Mitarbeiter von Team8 oder Fonds oder andere mit Team8 verbundene oder assoziierte Personen oder Unternehmen Aktien von einigen oder allen Emittenten der Wertpapiere, auf die in diesem Artikel – Layer 8 – Der menschliche Faktor – verwiesen wird oder die in einem solchen Index enthalten sind, halten, leitende Angestellte oder Direktoren sein oder anderweitig mit ihnen verbunden sein. Team8 lehnt ausdrücklich jede Haftung für Handlungen oder Unterlassungen ab, die auf der Grundlage der in diesem Artikel – Layer 8 – Der menschliche Faktor – enthaltenen Informationen vorgenommen werden, und gibt keine Garantie oder Zusicherung in Bezug auf diese.
Quellen
2 Quelle: https://www.nytimes.com/2022/11/04/technology/elon-musk-twitter-layoffs.html
3 Quelle: https://www.nytimes.com/2022/11/09/technology/meta-layoffs-facebook.html
4 Quelle: https://www.nytimes.com/2022/11/14/technology/amazon-layoffs.html
Zudem könnte Sie folgende Lektüre interessieren...
+ Haben Sie Erfahrung mit der „Tool-Ausbreitung“ in der Cybersecurity?