„Es wird immer notwendiger, menschliche Benutzer systematisch als Sensoren in die Sicherheitsarchitektur zu integrieren“

Command Control 2020 – Briefing mit Ryan Heartfield

23.01.2020: Dr. Ryan Heartfield ist einer der führenden Forscher an der University of Greenwich, der an mehreren britischen und EU EPSRC-Forschungsprojekten im Bereich Cybersicherheit beteiligt ist. In seiner Keynote zum Thema „Active Cyber Defence with the human sensor: Leverage users as the strongest link in security operations against Social Engineering threats“ wird er auch die neuesten Erkenntnisse aus dem EPSRC Projekt ACCEPT vorstellen.

Das zentrale Thema der Command Control 2020 wird Cyber Resilience sein. Was verstehen Sie unter diesem Ansatz? Und warum sollten Unternehmen ihre Sicherheitsstrategie darauf aufbauen?

Heartfield: Aus strategischer und konfrontativer Sicht ist Cyber Resilience die Fähigkeit eines Unternehmens, bei Erkennen von Cyber-Sicherheitsrisiken vorgesehene Eindämmungsmaßnahmen umzusetzen, auch zur Begrenzung potenzieller geschäftlicher Auswirkungen.

Oder, im unternehmerischen Kontext und einfacher ausgedrückt: Bei Gefahr für die Cybersicherheit eines Unternehmens ist der Grad der Cyber Resilience des Unternehmens proportional zu seiner Fähigkeit, Menschen, Prozesse und Technologien zu mobilisieren, um sich effektiv von dem Vorfall zu erholen.

Das Konzept der „Cyber Resilience“ ist tatsächlich kein grundlegend neues Modell. Es wächst vielmehr die Erkenntnis, dass der Einsatz vieler vereinzelter Sicherheitslösungen (z.B. Firewall, Virenschutz, Intrusion-Detection-System und Security-Awareness-Programm usw.) und Teams keine „Sicherheitsarchitektur“ darstellt und dass eine erfolgreiche Unternehmensantwort auf die modernen Sicherheitsbedrohungen eine Cyber-Sicherheitsstrategie erfordert, die alle Aspekte von Prävention, Erkennung und Reaktion beinhaltet. In gewissem Maße erfordert dies eine „aktivere“ Cyber-Verteidigungsstrategie durch regelmäßiges Training des Sicherheits-Ökosystems eines Unternehmens (das Technologie, aber noch wichtiger Menschen umfasst!) mit verschiedenen Gefährdungsszenarien (und ich meine nicht die obligatorischen jährlichen BCDR-Übungen!). Dann ist man letztendlich nicht nur geübter, sondern auch besser darauf vorbereitet, künftig zu reagieren. Dabei kommt es darauf an, nicht auf einen bestimmten Angriff, sondern auf eine Gefährdung im Allgemeinen vorbereitet zu sein.

Gibt es Ihrer Meinung nach einen Unterschied zwischen Cyber Resilience und Cyber-Hygiene?

Heartfield: Cyber Resilience und Cyber-Hygiene sind normalerweise verschiedene Konzepte, schließen sich aber nicht gegenseitig aus. Ein Kernpunkt der Cyber Resilience eines Unternehmens besteht zum Beispiel darin, eine gute Cyber-Hygiene zu praktizieren. Während also Cyber Resilience eher als gesamtheitliche Fähigkeit anzusehen ist, die technologische und menschliche Gesichtspunkte verknüpft, liegt der Schwerpunkt der Cyber-Hygiene auf messbaren technischen und nichttechnischen Prozessen und Verfahren (samt den von diesen generierten Daten), die ein sichereres Benutzerverhalten fördern. Oder anders ausgedrückt: Wenn Sie Ihre Zahnbürste nicht mit einem Kollegen teilen würden, warum dann Ihr Kennwort? Durch Vermeiden schlechter Praktiken und Gewährleistung guter Hygiene wird die Cyber Resilience automatisch verbessert.

Auf der Command Control 2020 halten Sie den Vortrag „Active Cyber Defense with the human sensor: Leveraging users as the strongest link in security operations against social engineering threats“. Können Sie uns einen kleinen Einblick in das gewähren, was die Besucher erwartet?

Heartfield: Zu Anfang schaffen wir Klarheit über die High-Level-Kontexte und die Gründe dafür, dass man semantische Social-Engineering-Angriffsvektoren nicht auf rein technische Art angehen kann. Auf dieser Grundlage wird verständlich, warum es immer notwendiger wird, menschliche Benutzer systematisch als Sensoren in die Sicherheitsarchitektur zu integrieren. Aber wie setzt man das zuverlässig um? Wie bindet man menschliche Benutzer als Endgeräte-Schutzsystem oder besser individuelle Intrusion-Sensoren ein (und es geht hier nicht nur darum, Phishing-Mails zu melden)? Wir gehen auf Forschungsergebnisse ein, die zeigen, wie bestehende Metriken und Daten, die in Unternehmen heute vorhanden sind (oder erfasst werden sollten), genutzt werden können, um dieses Potenzial zu erkunden. Auch wenn wir einige technische Konzepte behandeln, ist der Vortrag für alle Kompetenzniveaus geeignet, da sein Hauptziel darin besteht, einen Einblick in das Konzept „Human-as-a-Security-Sensor“ und seine Bedeutung für Unternehmen zu geben. Zum Schluss gehe ich auf weitere Entwick-lungen im HaaSS-Lebenszyklus im Rahmen laufender Forschungsprojekte ein.

Mitarbeiter oder der sogenannte „Faktor Mensch“ werden oft als eine der größten Schwachstellen von Unternehmen im Hinblick auf Cybersicherheit betrachtet. Stellt Ihr Ansatz sicher, dass Cybersicherheits-Mitarbeiter künftig eine Stärke werden? Welche Punkte sollten Industrie und Wirtschaft auf jeden Fall umsetzen?

Heartfield: Ich würde das mit einer rhetorischen Frage beantworten: „Ist ein nicht gepatchter Benutzer unsicherer als eine nicht gepatchte Anwendung oder eine veraltete Virenschutz/EDR-Lösung?“. Oder von einem anderen Standpunkt aus gesehen: „Ist ein nicht abgestimmtes Intrusion-Detection-System zuverlässiger als ein Benutzer, der nicht kürzlich einen Security-Awareness-Test absolviert hat, wenn potenzielle Bedrohungen gemeldet werden?“. Es kommt natürlich auf die Perspektive und den Fokus auf den Faktor Mensch an. Der Fokus der professionellen Cybersicherheit liegt darauf, Systeme auf dem neusten Stand zu halten und Schwachstellen von Plattformen statt bei menschlichen Benutzern zu messen (denn der übliche Ansatz ist, das System vor dem Benutzer zu schützen). Außerdem ist der Faktor Mensch zweifellos komplizierter: Wenn man alle Virenschutz/EDR-Clients mit denselben Signaturdefinitionen aktualisiert, kann man ziemlich sicher davon ausgehen, dass sie mit derselben Zuverlässigkeit funktionieren. Dasselbe kann man von verschiedenen Benutzern, die dieselbe Security-Awareness-Schulung erhalten, nicht so leicht behaupten, aber deswegen ist das Konzept nicht weniger relevant oder überzeugend. Daher ist zu fragen, was man messen soll und wie man die Zuverlässigkeit vorhersagen kann. Ich werde dieses Konzept behandeln und darauf eingehen, welche Industrie von weiteren Untersuchungen profitiert.

Awareness war immer ein wichtiges Thema bei der Prävention. Viele Unternehmen führen bereits regelmäßige Cyberrisiko-Schulungen für ihre Mitarbeiter durch. Was ist neu an Ihrem Ansatz?

Heartfield: Cyberrisiko- und Security-Awareness-Schulungen sind nichts Neues, und tatsächlich gibt es unzählige Modelle, umfangreiche Schulungsunterlagen, Plattformen, Anwendungen und Evening Games, die dazu dienen, das Bewusstsein zu schärfen. Allerdings konzentrieren sich die meisten auf die Nuancen von Phishing-Mails und Websites statt auf Konzepte, die für eine Reihe von Social-Engineering-Angriffscharakteristika gelten. Unser Ansatz ersetzt diese Schulungen nicht, sondern nutzt die bestehenden Modelle für Neuerungen, indem anhand der aus Schulungen (und anderen Quellen) gewonnenen Daten bestimmt wird, wie die Benutzersicherheit effizient gestaltet werden kann.

Die Bedrohungslage im Jahr 2020 ist vielfältig. Gibt es Szenarien/Bedrohungen, bei denen der „menschliche Sensor“ besonders effektiv ist?

Heartfield: Das Konzept des menschlichen Sensors besteht in der Systematisierung der Benutzer für die direkte Bekämpfung von Cyber-Sicherheitsbedrohungen, die auf den Faktor Mensch abzielen statt direkt auf ein Informationssystem. Das heißt, spezielle Angriffe, die Betrugsvektoren statt technischer Exploits einsetzen, um Benutzer zu täuschen und zu Aktionen zu veranlassen, welche die Informationssicherheit ihrer Systeme gefährden.

Command Control hat drei Hauptbesuchergruppen: Informationssicherheitsexperten, Datenschutzexperten/Risikomanager und Vertreter der obersten Führungsebene. Für welche der drei Zielgruppen bietet Ihr Vortrag den größten Nutzen?

Heartfield: Dieser Vortrag richtet sich an alle, die mit Cybersicherheit zu tun haben. Informationssicherheitsexperten in Security Operations und Incident Response, Datenschutz- und Risikomanagement-Experten sowie Vertreter des gehobenen Managements werden alle von dem Vortrag profitieren und durch das Konzept „Human-as-a-Sensor“ neue Einblicke erhalten. Ziel ist es, zunächst einmal zu erklären, WARUM Benutzer bei der Prävention und Erkennung von hohem Wert sein können und zweitens, WIE dieser Wert für Unternehmen nutzbar gemacht werden kann. In der Praxis, wenn es um die erfolgreiche Umsetzung von Cyber-Hygiene und benutzerbasierter Sicherheit im Unternehmen geht, sind die Kenntnisse und die Unterstützung sämtlicher Stakeholder des Unternehmens, also Geschäftsleitung, Sicherheitsexperten, IT Ops, Softwareent-wickler und natürlich Benutzer, erforderlich.

Ihr Vortrag stützt sich auf umfangreiche Studien. Können Sie mir mehr darüber sagen, mit wem (Firma/Lehrstuhl/Forschungspartner) Sie zusammenarbeiten und auf welche Bereiche sich die Forschung in den nächsten Monaten konzentrieren wird? Konnten Sie Firmen ausmachen, die Sie als Beispiel für Best Practice nennen würden?

Heartfield: Ich kann zwar aus Datenschutzgründen nichts zu Unternehmen oder Personen sagen, die an Forschungsexperimenten teilnehmen, aber ich arbeite zurzeit mit einigen britischen Universitäten zusammen an weitergehenden Forschungen, die das Konzept der HaaSS-Feedbackschleife beinhalten. Ich hoffe, während der Konferenz selbst mehr darüber mitteilen zu können.

Ganz allgemein: Warum freuen Sie sich auf die Command Control?

Heartfield: Für mich ist das die Gelegenheit, viele verschiedene Perspektiven der Verantwortung für Cybersicherheit in Unternehmen unter einem Dach zusammenzubringen. Wo zum Beispiel der CISO, Entwickler, CEO, Benutzer, SOC-Manager, Risiko- und Auditmanager, Pentester usw. Gelegenheit haben, ihre Perspektive und Rolle im selben konzeptionellen Problemraum zu sehen und dann deshalb besser verstehen, wie ihre Interaktionen innerhalb des Unternehmens alle gemeinsam zu einer effizienteren und ausgereifteren Cyber Resilience beitragen. Ich bezeichne das gern als Aufbau von Empathie im Unternehmen - und es ist zweifellos entscheidend für die Verbesserung der Cybersicherheit.

Besucher
Ein Ticket – volle (Command) Control

Sichern Sie sich jetzt Ihr reduziertes Online-Ticket und werden Sie Teil der Command Control 2020! 6 Meet-ups. 2 Summit-Tage. 8...

Tickets & Preise
Besucher
Lernen Sie Ihre Ansprechpartner kennen

Das Team der Command Control unterstützt Sie mit professioneller Beratung rund um Ihre Teilnahme.

Beratung & Kontakt
Programm
Internationale Sprecher

Hochkarätige Referenten aus Wirtschaft, Politik und Wissenschaft teilen neueste Erkenntnisse und zeigen Zukunftsperspektiven auf.

Sprecher