"Die Neugierde mancher Menschen ist maximal"

5. September 2022, 07:22
image

Computersicherheit ist ein soziologisches Problem, kein technisches, sagt uns Cern-Ciso Stefan Lüders nach dem Phishing-Test in der Forschungsstätte im Interview.

Jedes Jahr fallen hunderte Mitarbeiter auf interne Phishing-Tests rein und es werden kaum weniger. Tausende Phishing-E-Mails verschickte kürzlich das IT-Security-Team des Cern und sprach nach dem Test von einem "traurigen Ergebnis". Warum die Kampagnen trotzdem wichtig und als Erfolg zu werten sind, erklärt Stefan Lüders, Ciso beim Cern, im Gespräch.
Sie haben im Rahmen eines Phishing-Tests 22'731 E-Mails verschickt, 1800 Personen haben den Link angeklickt. Ist das jetzt eine gute oder eine schlechte Nachricht? Die Zahl ist völlig irrelevant. Es gibt immer Menschen, die klicken, weil ihre Neugierde maximal ist. Viel wichtiger ist, dass sich Mitarbeitende, die unsicher sind oder meinen, einen Phishing-Versuch erkannt zu haben, sofort bei uns melden. Dann können wir reagieren und Schaden verhindern.
War das die erste Kampagne dieser Art? Nein, die machen wir jährlich. Die Klickrate bewegt sich jedes Jahr irgendwo zwischen 8 und 10%. Wer klickt und versucht, sein Passwort einzugeben, erhält eine Trainingsseite angezeigt, die aufklärt und Tipps gibt.
Aber warum sinkt die Klickrate nicht, ist das kein Ziel? Weil wir eine hohe Fluktuation haben. Forschende kommen und gehen, weshalb es stets viele neue Mitarbeitende gibt, die noch sensibilisiert werden müssen. Viel mehr wollen wir die Leute trainieren, uns im Zweifel zu kontaktieren. Weil das immer besser klappt, sind die Kampagnen ein Erfolg.
Die Zahl ist und bleibt aber hoch … … sie ist aber auch fiktiv. Wäre die Phishingmail echt, würden wir nach wenigen Minuten eingreifen. So lassen wir sie durchlaufen und die Mitarbeitenden absichtlich ins Messer laufen. Um es salopp auszudrücken. Ausserdem hängt die Zahl von der Qualität der Phishingmail ab: je gezielter, desto höher die Klickrate.
Was kostet Sie die Cybersicherheit im Cern? Wenn ich eine Zahl nennen würde, wäre sie falsch. In meinem Team arbeiten 8 bis 10 Menschen, zusätzlich gibt es viele weitere Personen, die sich um unsere Cybersicherheit kümmern, beispielsweise Datenbankadministratoren, Webmaster und unser Identity Management Team. Cybersicherheit ist auf viele Teams verteilt, weshalb sich nicht klar beziffern lässt, was die Cybersicherheit insgesamt kostet.
Wie kann man Personen näher an die Phishing-Problematik heranführen? Was ich immer wieder gerne mache, ist Folgendes: Ich wedle vor neuen Mitarbeitenden mit einem Plastiksäckchen, das ich mit Backpulver fülle und frage nach Freiwilligen, die es über die Grenze nach Frankreich schmuggeln. Logischerweise meldet sich niemand. Von klein auf ist uns antrainiert, dass das verboten und gefährlich ist.
Aber … … aber in der digitalen Welt kommt eine E-Mail in der steht: "Klicken Sie hier." Und die Menschen klicken. Wir bringen unseren Kindern von klein auf Schwimmen bei und wie sie sicher über die Strasse gehen. Wie sie sich sicher im Internet bewegen, wird ausgeklammert. Das ist ein Fehler.
Sensibilisierung der Mitarbeitenden sehen Sie also als Ihre Hauptaufgabe an? Ja, leider wird Multifaktor-Authentifizierung immer noch als Störfaktor gesehen, die Menschen das aber beim E-Banking ohne zu Zucken akzeptieren. Bei uns wird immer die akademische Freiheit der Forscher betont, aber sie sollen auch bei der Nutzung der Computer anfangen nachzudenken. Sie sind ein Stück weit selbst verantwortlich für ihren Schutz.
Ist das nicht ein Abschieben von Verantwortung? Die Technik muss in erster Linie für den nötigen Schutz sorgen, damit solche Mails gar nicht erst bei den Menschen ankommen. Nein, Computersicherheit ist ein soziologisches Problem, kein technisches. Autohersteller übernehmen auch nicht die Verantwortung, dass die Fahrer bremsen. Bis zu einem gewissen Masse kann Technik schon schützen, aber je mehr sie es tut, umso grösser sind die Einschränkungen. Es ist essenziell, dass ich in meiner Rolle eine ausgewogene und angepasste Balance zwischen akademischer Freiheit, dem operativen Geschäft des Cerns und der Cybersicherheit finde. Und diese sieht in meinem Umfeld nun mal anders aus als in einer Bank oder in der Industrie.
Stefan Lüders spricht an der Swiss Cyber Storm 2022, die am 25. Oktober in Bern stattfindet.

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Adfinis ernennt einen CTO

CEO Nicolas Christener, bisher auch CTO des Open-Source-Dienstleisters, will sich vermehrt mit Wachstumsplänen beschäftigen.

publiziert am 3.10.2022
image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022